4. Tydelige krav til fremgangsmåte ved
behandling av personopplysninger
• Informasjon
• Risikobasert tilnærming
• Åpenhet og etterprøvbarhet
5. Alle virksomheter som behandler personopplysninger om egne
ansatte, kunder, brukere eller andre må følge de nye reglene
Alle virksomheter som har registrerte i EU/EØS får nye plikter
• Man skal gi god informasjon om hvordan personopplysninger behandles
• Vurdere risiko og personvernkonsekvenser
• Bygge personvern inn i nye løsninger
• Mange må opprette personvernombud
• Databehandlere får nye plikter
• Alle bør samarbeide i egne nettverk og følge bransjenormer
• Alle får krav til avvikshåndtering
• Alle må oppfylle borgernes nye rettigheter
6. EU
• Belgia
• Bulgaria
• Danmark
• Estland
• Finland
• Frankrike
• Hellas
• Irland
• Italia
• Kypros
• Litauen
• Latvia
• Luxembourg
• Malta
• Island,
• Liechtenstein
• Norge
EØS
• Nederland
• Polen
• Portugal
• Romania
• Slovakia
• Slovenia
• Spania
• Storbritannia
• Sverige
• Tsjekkia
• Tyskland
• Ungarn
• Østerrike
Når gjelder
GDPR?
10. Definisjoner
Behandlingsansvarlig:
Den som definerer formål og grunnlag.
Databehandler:
Oppdragsmottaker.
Registrerte:
Personen/Kunden
Tilsynsmyndighet:
Rådgiver, Tilsyn, Bøter, Klage.
Prossessering:
Samle inn, bruke, overføre, slette/arkivere.
(Manuelt/Automatisk)
Personlig data:
Opplysning/Informasjon som kan direkte eller
indirekte identifisere en person
11. Hva er en personopplysning, og hva
er sensitive personopplysninger?
Personopplysninger er alle
opplysninger og vurderinger som kan
knyttes til deg som enkeltperson.
12. Personopplysninger
• Navn
• Adresse
• Telefonnummer
• Epost
• Fødelsnummer
• Bilde
• Lydopptak
• Adferd
• Personnummer
Særlige kategorier (Sensitiv)
• Politisk oppfatning
• Religion
• Filosofisk overbevisning
• Fagforeningsmedlemskap
• Helseopplysninger
• Seksuelle forhold og legning
• Straffedommer
• Lovovertredelse
• Genetiske og biometriske opplysninger
13. Dine rettigheter
Artikkel 15. Rett til innsyn
Artikkel 16. Rett til retting
Artikkel 17. Rett til sletting
Artikkel 18. Rett til begrensning
Artikkel 20. Rett til dataportabilitet
Artikkel 21. Rett til å protestere
Artikkel 22. Rettigheter ved automatiserte avgjørelser
14. Personvern på arbeidsplassen
• Relevant for alle – enten som arbeidsgiver eller arbeidstaker
• Arbeidsgiver er behandlingsansvarlig
• Arbeidstaker har rettigheter som en registrert
• Personopplysningslovens generelle regler må overholdes
• I tillegg noen særnorske regler som gjelder i arbeidsforhold
15. Virksomhetenes plikter
01. Fastsette formål
02. Ha behandlingsgrunnlag
03. Informasjon og åpenhet
04. Legge til rette for rettigheter
05. Retting og sletting
06. Personvernombud
07. Vurdering av personvernkonsekvenser
og forhåndsdrøftelse
08. Innebygd personvern
09. Etablere internkontroll
10. Informasjonssikkerhet
11. Protokoll over behandlingsaktiviteter
12. Databehandleravtale
13. Håndtere avvik
14. Spesielt om overføring av opplysninger
til utlandet
16. Sanksjoner – overtredelsesgebyr
Brudd på behandlingsansvarliges (også databehandleres) forpliktelser
10 millioner euro, eller 2% årlig global omsetning
Overtredelse av grunnprinsippene (inkludert samtykke)
20 millioner euro, eller 4% av årlig global omsetning
Overtredelse av påbud fra Datatilsynet
20 millioner euro, eller 4% av årlig global omsetning
17. Samtykke
Samtykket kan trekkes
• Forhånds avkryssede
"samtykkebokser "
ikke lenger tillat
• Person opplysninger
skilles tydelig fra
andre forhold
Dataportabilitet
Rett til å få utlevert
personopplysninger
• Rett til å gi dem
videre til en ny
leverandør
• Overføres direkte
mellom gammel og
ny tjenesteyter
Sletting
Kreve å få informasjon
slettet i registre
• Underleverandører
som har mottatt
informasjon
• Slette
personopplysninger
som ikke lenger er
nødvendige
Varsling
Leverandør er pliktig å
varsle innen 72 timer
• Underleverandør er
pliktig å varsle innen
72 timer
18. Hvordan oppnå
samsvar? Hvor står vi Hvor skal vi Plan & innføring
1 2 3
Hvilken data lagres?
Hvor mye data lagres?
Hvorfor lagres det?
GAP Analyse
Risikostyring
Konsekvensutredning
Rutiner
Prosesser
Systemer
Prosess
19. Hvordan oppnå samsvar med forordningen?
6 prinsipper: Artikkel 5
Paragraf 1
Løsning:
1. Lovlighet, rettferdighet og åpenhet. (a) Informere tydelig hva som blir innhentet og hvorfor.
Transparens og Samsvar.
2. Formålsbegrensninger. (b) Innsamlet persondata kan kun brukes til avtalt formål.
Nytt samsvar kreves for nytt bruk.
3. Data minimering. (c) Innhente minst mulig, skal være bregrenset til formålet.
4. Nøyaktighet. (d) Data skal kunne korrigeres/oppdateres og skal sikres.
5. Lagringsbegrensninger. (e) Data som muliggjør identifisering av den registrerte skal
ikke lagres lengre enn nødvendig. Slett etter bruk.
6. Integritet og konfidensialitet. (f) Data skal vernes mot uatorisert/ulovlig behandling.
Beskyttelse mot tap, ødeleggelse og skade.