GDPR - Ny personvernlov. Hva er det, hva betyr det, hva gjør vi. En presentasjon fra DIGFO

1. INFORMASJON, SYSTEM OG NETTVERKSSIKKERHET
Som spesialister innen GDPR får vi din virksomhet
i samsvar med den nye personvernloven.

2. NY PERSONVERNLOV
GENERAL DATA PROTECTION REGULATION

3. DIGFO modellen
Person
Prosess
Teknologi
Agenda: GDPR – Ny personvernlov
• Hva er det
• Hva betyr det
• Hva gjør vi

4. Tydelige krav til fremgangsmåte ved
behandling av personopplysninger
• Informasjon
• Risikobasert tilnærming
• Åpenhet og etterprøvbarhet

5. Alle virksomheter som behandler personopplysninger om egne
ansatte, kunder, brukere eller andre må følge de nye reglene
Alle virksomheter som har registrerte i EU/EØS får nye plikter
• Man skal gi god informasjon om hvordan personopplysninger behandles
• Vurdere risiko og personvernkonsekvenser
• Bygge personvern inn i nye løsninger
• Mange må opprette personvernombud
• Databehandlere får nye plikter
• Alle bør samarbeide i egne nettverk og følge bransjenormer
• Alle får krav til avvikshåndtering
• Alle må oppfylle borgernes nye rettigheter

6. EU
• Belgia
• Bulgaria
• Danmark
• Estland
• Finland
• Frankrike
• Hellas
• Irland
• Italia
• Kypros
• Litauen
• Latvia
• Luxembourg
• Malta
• Island,
• Liechtenstein
• Norge
EØS
• Nederland
• Polen
• Portugal
• Romania
• Slovakia
• Slovenia
• Spania
• Storbritannia
• Sverige
• Tsjekkia
• Tyskland
• Ungarn
• Østerrike
Når gjelder
GDPR?

7. Antall ord

10. Definisjoner
Behandlingsansvarlig:
Den som definerer formål og grunnlag.
Databehandler:
Oppdragsmottaker.
Registrerte:
Personen/Kunden
Tilsynsmyndighet:
Rådgiver, Tilsyn, Bøter, Klage.
Prossessering:
Samle inn, bruke, overføre, slette/arkivere.
(Manuelt/Automatisk)
Personlig data:
Opplysning/Informasjon som kan direkte eller
indirekte identifisere en person

11. Hva er en personopplysning, og hva
er sensitive personopplysninger?
Personopplysninger er alle
opplysninger og vurderinger som kan
knyttes til deg som enkeltperson.

12. Personopplysninger
• Navn
• Adresse
• Telefonnummer
• Epost
• Fødelsnummer
• Bilde
• Lydopptak
• Adferd
• Personnummer
Særlige kategorier (Sensitiv)
• Politisk oppfatning
• Religion
• Filosofisk overbevisning
• Fagforeningsmedlemskap
• Helseopplysninger
• Seksuelle forhold og legning
• Straffedommer
• Lovovertredelse
• Genetiske og biometriske opplysninger

13. Dine rettigheter
Artikkel 15. Rett til innsyn
Artikkel 16. Rett til retting
Artikkel 17. Rett til sletting
Artikkel 18. Rett til begrensning
Artikkel 20. Rett til dataportabilitet
Artikkel 21. Rett til å protestere
Artikkel 22. Rettigheter ved automatiserte avgjørelser

14. Personvern på arbeidsplassen
• Relevant for alle – enten som arbeidsgiver eller arbeidstaker
• Arbeidsgiver er behandlingsansvarlig
• Arbeidstaker har rettigheter som en registrert
• Personopplysningslovens generelle regler må overholdes
• I tillegg noen særnorske regler som gjelder i arbeidsforhold

15. Virksomhetenes plikter
01. Fastsette formål
02. Ha behandlingsgrunnlag
03. Informasjon og åpenhet
04. Legge til rette for rettigheter
05. Retting og sletting
06. Personvernombud
07. Vurdering av personvernkonsekvenser
og forhåndsdrøftelse
08. Innebygd personvern
09. Etablere internkontroll
10. Informasjonssikkerhet
11. Protokoll over behandlingsaktiviteter
12. Databehandleravtale
13. Håndtere avvik
14. Spesielt om overføring av opplysninger
til utlandet

16. Sanksjoner – overtredelsesgebyr
Brudd på behandlingsansvarliges (også databehandleres) forpliktelser
10 millioner euro, eller 2% årlig global omsetning
Overtredelse av grunnprinsippene (inkludert samtykke)
20 millioner euro, eller 4% av årlig global omsetning
Overtredelse av påbud fra Datatilsynet
20 millioner euro, eller 4% av årlig global omsetning

17. Samtykke
Samtykket kan trekkes
• Forhånds avkryssede
"samtykkebokser "
ikke lenger tillat
• Person opplysninger
skilles tydelig fra
andre forhold
Dataportabilitet
Rett til å få utlevert
personopplysninger
• Rett til å gi dem
videre til en ny
leverandør
• Overføres direkte
mellom gammel og
ny tjenesteyter
Sletting
Kreve å få informasjon
slettet i registre
• Underleverandører
som har mottatt
informasjon
• Slette
personopplysninger
som ikke lenger er
nødvendige
Varsling
Leverandør er pliktig å
varsle innen 72 timer
• Underleverandør er
pliktig å varsle innen
72 timer

18. Hvordan oppnå
samsvar? Hvor står vi Hvor skal vi Plan & innføring
1 2 3
Hvilken data lagres?
Hvor mye data lagres?
Hvorfor lagres det?
GAP Analyse
Risikostyring
Konsekvensutredning
Rutiner
Prosesser
Systemer
Prosess

19. Hvordan oppnå samsvar med forordningen?
6 prinsipper: Artikkel 5
Paragraf 1
Løsning:
1. Lovlighet, rettferdighet og åpenhet. (a) Informere tydelig hva som blir innhentet og hvorfor.
Transparens og Samsvar.
2. Formålsbegrensninger. (b) Innsamlet persondata kan kun brukes til avtalt formål.
Nytt samsvar kreves for nytt bruk.
3. Data minimering. (c) Innhente minst mulig, skal være bregrenset til formålet.
4. Nøyaktighet. (d) Data skal kunne korrigeres/oppdateres og skal sikres.
5. Lagringsbegrensninger. (e) Data som muliggjør identifisering av den registrerte skal
ikke lagres lengre enn nødvendig. Slett etter bruk.
6. Integritet og konfidensialitet. (f) Data skal vernes mot uatorisert/ulovlig behandling.
Beskyttelse mot tap, ødeleggelse og skade.

20. Opprydding
Klassifiser data med
forretningsverdi
Identifisere sensitiv og
risikofylt informasjon
Fjerne eldre veriløs
data
Strategisk informasjon

21. Geir André Strømsvold
Daglig leder og fagansvarlig
geir@digfo.no
Følg oss:
DIGFO.no
Facebook
LinkedIn
Twitter