Download - Personvern i ikt kontrakter.pptx
Personvern i IKT-kontrakteradvokat Eva I. E. Jarbekk
April 13, 20232
Gi oversikt over regelverk og mulige løsninger for noen personvernspørsmål i IKT-kontrakter
Mål
• Advokat og assosiert partner i Kluge Advokatfirma DA
• Partner i FAKTUM AS – tverrfaglig informasjonssikkerhet, granskning og personvern
• Leder av Personvernnemnda
• Leder advokatforeningens lovutvalg for IKT- og personvern
Bakgrunn – Eva Jarbekk
Agenda
April 13, 20234
• Utgangspunkter, rettslig ramme og ansvar
• Typesituasjoner
– IKT-kontrakter generelt
– Databehandleravtaler
– Overføring til utlandet
• Hovedregler
• Safe harbour
• EUs standardavtaler
• Binding corporate rules
• Cloud
Litt om nemndas praksis, compliance og reaksjoner
Utgangspunkter
April 13, 20235
Litt om hvorfor personvern
April 13, 20236
Utgangspunkt; pol § 1Lovens formålFormålet med denne loven er å beskytte den enkelte mot at
personvernet blir krenket gjennom behandling av personopplysninger.Loven skal bidra til at personopplysninger blir behandlet i samsvar
med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.
Formålsparagrafen er tolkningsmoment i vurderinger med skjønn..forts.
Litt om hvorfor personvern
April 13, 20237
• Sikre forsvarlig bruk av personopplysninger– Hver enkelts personvern og kontroll med opplysninger– Opplysninger skal forbli der de forventes å befinne seg
– Forventninger om diskresjon øker behov for personvern/beskyttelse• passord øker forventing om diskresjon• E-post derfor annerledes enn sentralt lagrede dokumenter• Sosiale medier antas å være mer lukket enn de er
• Informasjonssikkerhet er en sentral del av personvern
• Bruken av reglene skal balansere effektiv informasjonsbehandling og hensynet til individene
• Informasjonslekkasjer er dårlig personvern – og dårlig bedriftsvern
Rettslig rammeverk
April 13, 20238
• Personopplysningsloven (EU-basert)• Forskrifter• Datatilsynets praksis • Personvernnemndas praksis• Noe rettspraksis• Avgjørelser fra statsadvokat og riksadvokat• Nye forskrifter om innsyn i e-post
.. forts.
Rettslig rammeverk
April 13, 20239
• Særlovgivning; – helsepersonell – arbeidsmiljølov – politiets registre
• Datatilsynet– Veiledningsplikt – mye på nett– Kontrollerende organ
• Personvernnemnda
Personopplysningslovens virkeområde
April 13, 202310
Info knyttet direkte/indirekte til individ omfattes av loven
– Alt fra telefonnummer til medarbeidersamtaler og sykehistorikk omfattes
Hva er ”behandling” av personopplysninger
April 13, 202311
Personopplysningsloven § 2,1,2:
Enhver formålsbestemt bruk av personopplysninger
Innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon
Når kan man behandle personopplysninger?
April 13, 202312
Personopplysningsloven § 8• Ved samtykke (§8,1)• Nødvendig for å oppfylle avtale med den registrerte (§8a)• Den behandlingsansvarlige har en berettiget interesse i behandlingen som ikke overstiger den registrertes interesse (§8f)
Viktig begrensning i bruk av PO
April 13, 202313
PO kan brukes til det den opprinnelig ble innhentet for, §11
– ikke noe annet!
Dette medfører at grunnlaget/hjemmelen for bruken er viktig
Dette er viktig i alle kontrakter med PO
En tekst som danner grunnlag for samtykke fra den registrerte til en bestemt ”behandling” må omfatte den bruken man ser for seg i praktisk fremtid – ellers må nye samtykker innhentes når ny bruk tenkes implementert
Samtykketekster kan likevel ikke bli for generelle – en balansegang
Flyt av PO – typisk situasjon for virksomhet
April 13, 202314
Kunder Ansatte
Virksomhet:
Salg av varer, tjenester - i Norge
Databehandler Morselskap
Databehandler Søsterselskap
Databehandler Søsterselskap/kundesenter
Ekstern samarbeidspartner Nytt produkt
Ekstern samarbeidspartner Utenlandsk tjeneste
Konsern
April 13, 202315
• Ofte selvstendige AS - separate behandlingsansvarlige
• Ofte ønske om å dele PO på tvers i konsern– I noen grad kan DBA åpne for deling
• PO kan typisk deles til kundesenter i konsern via DBA– Åpner ikke for å samkjøre med PO fra andre konsernselskaper, – Avhenger litt at hvordan grunnlaget for behandling av PO ser ut (er deling tatt med i
samtykker eller lignende?)
Ulike markedssegment har ulike konsesjoner fra DT
Generelt om IKT-kontrakter og personvern
April 13, 202316
Mange ulike standard-kontrakter;Utvikling KjøpLagring CRM
PO er svært ofte en del av et større hele – PO er alltid ”IKT”
Kravsspekk skrives – PO lagres – hvor lenge? – når spørres DT?
Lagringstid og hvor mange skal ha tilgang til PO er viktig
”Privacy by design”
Hvem er ansvarlig
April 13, 202317
• Ledelsen i bedriften
• Behandlingsansvarlig: den som bestemmer hvordan PO skal brukes og hvilke hjelpemidler som skal brukes
• Ved ekstern delegasjon/outsourcing MÅ ansvaret for opplysningene omtales, jfr. § 15, i en såkalt ”databehandlerklausul”
Databehandleravtaler
April 13, 202318
Pol § 15
April 13, 202319
§ 15. Databehandlerens rådighet over personopplysninger
En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.
I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av § 13.
§ 13. Informasjonssikkerhet
Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.
For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.
En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd.
Databehandler
April 13, 202320
• Den behandlingsansvarlige er fremdeles ansvarlig selv om databehandler brukes
• Databehandler: den som behandler PO på vegne av den behandlingsansvarlige
• Databehandler kan bare råde over opplysningene slik det er skriftlig avtalt med den behandlingsansvarlige – kan ikke gjøre noe annet
• Datatilsynet har veileder om databehandleravtaler (DBA) og utkast til DBA på hjemmesidene
Databehandleravtale – typiske best.
April 13, 202321
Formål
• hvilke personopplysninger skal behandles
• hvilke behandlinger omfattes av avtalen
• hva er rammene for databehandlers håndtering av personopplysninger
Databehandleravtale – typiske best.
April 13, 202322
Databehandlers plikter
• Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde.
• Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.
• Behandlingsansvarlig har rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes. Databehandler plikter å gi nødvendig bistand til dette.
• Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen.
Databehandlingsavtale – typiske best.
April 13, 202323
Bruk av underleverandør
• Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med
behandlingsansvarlige før behandlingen av personopplysninger starter.
• Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.
Databehandlingsavtale – typiske best.
April 13, 202324
Sikkerhet
• Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.
• Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at
avviksmelding sendes Datatilsynet
– (ved utlevering til tredjepart)
Databehandleravtale – typiske best.
April 13, 202325
Sikkerhetsrevisjoner
• Det skal gjennomføres jevnlige sikkerhetsrevisjoner
Revisjon
• Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak
Databehandleravtale – typiske best.
April 13, 202326
Opphør• Ved opphør av avtalen plikter databehandler å tilbakelevere alle personopplysninger
som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen.
• Det skal avtales at databehandler skal slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier.
Kortversjon; databehandlerklausul
April 13, 202327
”…plikter å gjennomføre sikringstiltak i henhold til personopplysningsloven § 13 og § 15 om informasjonssikkerhet. Dette omfatter bl.a. at… skal sørge før å ivareta konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.
Den fremgangsmåte, herunder risikovurdering, organisatoriske tiltak og tekniske sikkerhetstiltak som gjennomføres av …, skal være dokumentert og tilgjengelig slik personopplysningsloven foreskriver. Personopplysningene skal kun behandles i forbindelse med oppfyllelse av denne Avtale.”
Overføring av PO til utlandet
April 13, 202328
Overføring av PO til utlandet
April 13, 202329
Regler om overføring til utlandet gjelder bare overføring av personopplysninger til en adresse i et tredjeland
Opplysninger som blir lagt ut på Internett, og i prinsippet kan leses av alle, vil som hovedregel ikke rammes av de strenge vilkårene for overføring til tredjeland
Om man sender e-post til en adressat i utlandet, regner man dette som overføring til utlandet
Sender man derimot e-post til en adressat i Norge, vil det ikke regnes som overføring selv om den er innom en server som ligger i utlandet på veien
Kilde: www.datatilsynet.no
Overføring av PO til utlandet
April 13, 202330
§ 29. Grunnleggende vilkår
Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling.
I vurderingen av om behandlingen sikres på forsvarlig måte, skal det bl.a. legges vekt på opplysningenes art, den planlagte behandlingens formål og varighet samt de
rettsregler, regler for god forretningsskikk og sikkerhetstiltak som gjelder ivedkommende stat. Det skal også legges vekt på om staten har tiltrådt Europarådets behandling av personopplysninger.
Hovedregel i §29
April 13, 202331
Utgangspunkt: POLs generelle krav til behandling av personopplysninger er oppfylt (§§8,9,11);
– PO kan overføres til land innen EU og EØS-området – PO kan overføres til land som Europakommisjonen har godkjent – PO kan overføres til enkeltbedrifter i USA som har sluttet seg til Safe Harbor
Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i konsesjonssøknad eller melding knyttet til hovedformålet
Safe Harbor
April 13, 202332
• Safe Harbor-avtalen er en særavtale mellom EU og USA fra 2000 som regulerer overføring av personopplysninger• Formålet er å få amerikanske behandlingsansvarlige til å tilfredsstille kravet til et ”tilstrekkelig vernenivå” (POL § 29) • Kun amerikanske selskaper – underlagt Federal Trade Commission (FTC) eller The Department of
Transportation (DoT)• En selvreguleringsavtale som amerikanske virksomheter frivillig inngår • Virksomhetene forplikter overfor seg United States Department of Commerce til å oppfylle syv
prinsipper Enkeltperson kan klage til FTC eller DoT
• FTC og DoT kan kontrollere virksomhetene og reise tiltale mot virksomhetene
Safe Harbor
April 13, 202333
Syv prinsipper omtales som Safe Harbor-avtalen:
1. Informasjon til de registrerte om behandling om dem
2. Valgfrihet hva gjelder bruk av PO til annet enn opprinnelig innsamlet
3. Utlevering til tredjepart krever informasjon og opt-out mulighet
4. Informasjonssikkerhet
5. Relevant bruk
6. Innsyns- og rettemulighet for den registrerte
7. Enforcement
http://eur-lex.europa.eu/LexUriServ/site/en/oj/2000/l_215/l_21520000825en00070047.pdf
Overføring til andre tredjeland og vsh i USA utenfor Safe Harbor
April 13, 202334
Må følge ”unntakene” i § 30
I utgangspunktet er overføring ikke tillatt med mindre unntak kan brukes.
Overføring av PO til utlandet
April 13, 202335
§ 30. Unntak
Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av opplysningene dersom
a) den registrerte har samtykket i overføringen,
b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av medlemskap i internasjonal organisasjon,
c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den ønske før en slik avtale inngås,
d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den registrertes interesse,
e) overføringen er nødvendig for å vareta den registrertes vitale interesser,
f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav,
g) overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller
h) det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register.
Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i konsesjonssøknad eller melding knyttet til hovedformålet
Overføring av PO til utlandet
April 13, 202336
§ 30. Unntak
Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen.
Kongen kan gi forskrift om overføring av personopplysninger til utlandet, herunder om å stanse eller begrense overføring til bestemte stater som ikke tilfredsstiller kravene i § 29.
Typisk eksempel på ”garanti”: •EUs standardavtaler•Binding Corporate Rules (BCR)
EUs standard avtaler
April 13, 202337
• Overføring til databehandler i utlandet (kontrollen beholdes i Norge)- (controller til processor)
• Overføring til en annen virksomhet som skal bruke opplysningene til eget formål, 2 alternative kontrakter foreligger
– (controller til controller)
EUs standard avtaler
April 13, 202338
Overføring til databehandler i utlandet (ny 2010)
• ”Vanlige definisjoner”, applicable law
• Applicable law (der data exporter er etablert) på personvern skal overholdes
• PO skal kun brukes slik data exporter kan
• Informasjonssikkerhet overholdes
• For sensitive data; den registrerte er informert/informeres om overføring til tredjeland (Clause 4f)
• Bruk av underleverandører krever skriftlig samtykke (Clause 5h)
• Avtalen skal ikke endres
• Governing law is the law where the data exporter is established
• Den registrerte skal få se avtalen og hovedtrekk i sikkerhetstiltak (Clause 4h)
EUs standard avtaler
April 13, 202339
Overføring til en annen virksomhet som skal bruke opplysningene til eget formål
(Controller til controller)
2 alternative kontrakter / vedleggssett
forskjell på:
• audit bestemmelser,
• exporørens ansvar for å kontrollere at importer er kompetent og
• liability
Virksomheten kan selv velge den kontrakten som passer best.
Det er tillatt å gjøre endringer i standardkontraktene for å tilpasse disse til virksomhetenes behov, men Datatilsynet anbefaler at de benyttes i uendret form
EUs standard avtaler
April 13, 202340
Overføring controller til controller (avtale I)
• Applicable law (der data exporter er etablert) på personvern skal overholdes• Informasjonssikkerhet overholdes• For sensitive data; den registrerte er informert/informeres om overføring til tredjeland (Clause 4b)• Governing law is the law where the data exporter is established
VEDLEGG ANGIR: • Formål m overføring• Other recipients /utlevering• Storage limit (months/years)
Binding Corporate Rules
April 13, 202341
Aktuelt når konsern opererer i flere EU-/EØS-land, og ønsker å overføre personopplysninger fra disse til filialer eller datterselskap i land utenfor EU/EØS
Bindende konsernregler (BCR) for overføring av opplysninger er ikke nevnt spesifikt verken i personverndirektivet eller i personopplysningsloven
I praksis godtatt som grunnlag for overføring når de gir tilstrekkelige garantier for den registrertes personvern
• rettslig grunnlag i pol § 30 annet ledd (godkjenning av DT) • artikkel 29 – gruppen har retningslinjer for fremgangsmåten
DT er positiveMange konsern vurderer dette – mange i EU har begynt med ansatte-opplysninger (lettere å kartlegge) og ikke kundeopplysninger – mange synes det er like lett å bruke standardavtalene videre – BCR tar lang tid
Binding Corporate Rules
April 13, 202342
Konsekvenser
• Godkjent BCR er gyldig grunnlag for overføringer fra samtlige EU-/EØS-land
• Slipper administrasjon av standardavtaler eller kontroll av at annet overføringsgrunnlag finnes
standardavtalene krever en avtale for hver type overføring og ved mange overføringer kan dette bli mye administrasjon – BCR kan utformes mer generelt
• ”Fri flyt” av personopplysninger
• Lik praksis i konsernet
• Enklere internkontroll og compliance
Gjelder kun innenfor konsernet – tredjepartsselskaper omfattes ikke
Binding Corporate Rules – typisk innhold
April 13, 202343
Personvernprinsipper
• Gjennomsiktighet
• Datakvalitet
• Informasjonssikkerhet
Verktøy som sikrer at BCR-ene får effekt i praksis
• Internkontroll, opplæring internt
• Klagebehandling
• Ansvar
Element som viser at BCR-ene er bindende
• Unilaterale erklæringer
• Bilaterale avtaler mellom selskapene
Se sjekklister fra artikkel 29-gruppen, særlig WP108 innledningsvis – og husk utkast til art 43 i ny forordning fra EU
Binding Corporate Rules – prosedyre
April 13, 202344
Utpeke Lead Authority
Utgangspunktet:
Personvernmyndigheten der hvor konsernets europeiske hovedkvarter er plassert - naturlig det norske Datatilsynet
Eventuelt:
• Personvernmyndigheten der hvor selskapet med delegert behandlingsansvar er plassert
• Personvernmyndigheten der de fleste beslutninger om behandlingsformål og hjelpemidler tas
• Personvernmyndigheten i det medlemslandet som eksporterer mest personopplysninger til tredjeland
Binding Corporate Rules – prosedyre
April 13, 202345
Samarbeid mellom Datatilsynet og søker
• Forberedende dialog og veiledning
Selskapet • må selv utforme utkast til BCR • må fylle ut og sende standardsøknad (WP 133) og BCR-utkast
beskrive behandlinger, rutiner, etc - ihht faste og oppsatte krav
Datatilsynet • går gjennom utkastet og søknaden • gir tilbakemeldinger
Selskapet • Sender endelig søknad (med endringer etter tilsynets tilbakemeldinger)
Binding Corporate Rules – prosedyre
April 13, 202346
Mutual Recognition Procedure (MRP) - raskere godkjenning
• Bakgrunn: to år å behandle én søknad • Samarbeid mellom personvernmyndighetene i Europa • Lead Authority tar seg av grovarbeidet (drahjelp av to andre DPA) • De andre myndighetene i ordningen aksepterer vurderingen gjort av Lead Authority• No one-stop-shop; en formell søknad må sendes til hvert land, men dette
forsinker ikke prosessen (nevneverdig)
Noen EU-land står utenfor Mutual Recognition Procedure:Disse landene – for eksempel Sverige – deltar ikke pga. nasjonale begrensninger i adgangen til å ”delegere” godkjenning - Personvernmyndighetene i disse landene skal derfor godkjenne BCR-ene parallelt med Lead Authority
Binding Corporate Rules
April 13, 202347
Godkjente BCR pt: • GE – ICO (UK) • Atmel – ICO (UK) • Accenture – ICO (UK) • BP – ICO (UK) • e-Bay – Luxemburg • Hyatt ICO – (UK) • Sanofi Aventis – CNIL (FR) • Michelin – CNIL (FR) • JPMC – ICO (UK) • Safran – CNIL (FR) • Spencer Stuart – ICO (UK) • Care Fusion – ICO (UK) • Hewlett Packard – CNIL (FR) • International SOS – CNIL (FR) • Bristol Myers Squibb – CNIL (FR)
Cloud og personvern/informasjonssikkerhet
April 13, 202348
• Cloud er ikke et entydig begrep; private clouds, community clouds, public clouds, hybrid clouds;
• Tysk DPA (Data Protection Authority) 2010 om cloud/pv: – Lovvalg – Tilsynsmulighet – Problemer med tredjeparts tilgang – Hva skal være minimumskrav? – Informasjonssikkerhet – Hvordan håndtere clouds utenfor EU
– Safe Harbor er alene ikke tilstrekkelig beskyttelse for cloud-sammenheng
– BCR (binding corporate rules) kan fungere for clouds
Cloud og personvern/informasjonssikkerhet
April 13, 202349
• Overføring til utlandet? Hvilke utland? Hvor er underleverandører? – Hvis utenfor EU/EØS kan tillatelse fra DT være nødvendig – Noen cloud tilbydere tilbyr derfor å ikke sende data ut av EU
• Kontroll?• Innsyn?• Revisjonsmulighet?• Teknisk oppsett kan avgjøre om noen anses som databehandler eller behandlingsansvarlig, det kan bli delt
• Behandlingsansvaret tilsier omfattende databehandleravtaler
Nemnda, compliance og reaksjoner
April 13, 202350
Personvernnemnda
April 13, 202351
• Meget konkrete saker – noen generelle prinsipper kan utledes og noe skrives eksplisitt av nemnda– PVN-2009-07 (Keisersnitt): det kan ikke være slik at hovedregelen om samtykke ikke skal følges når det gjelder de manges personvern, bare når det gjelder de fås personvern
• Flest saker om hjemmel for behandling ihht lov– Type informasjon (samtykke, avtale), lagringstid, bruk ifht opprinnelig informasjon til den registrerte
• Sjelden om informasjonssikkerhet ihht forskriften hos behandlingsansvarlig – Kun 5 treff: nevnes senere Altinn 2009/14, Rogaland 2009/15
• Ingen om overføring av personopplysninger til utlandet
Aktuelle compliance-områder
April 13, 202352
• Foreligger hjemmel for bruk av opplysninger ?
• Er formålet med behandlingen tilstrekkelig klart?
• Foreligger hjemmel for lagringstid?
• Finnes det (egentlig) oversikt over hvor hvilke opplysninger som lagres?
• Finnes det oversikt over hvor lenge opplysningene lagres?
• Finnes databehandleravtaler – eks ved outsourcing?
Reaksjoner
April 13, 202353
• Datatilsynet kan pålegge den som har overtrådt denne loven eller forskrifter i medhold av den, å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil 10 ganger grunnbeløpet i folketrygden
• Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt
• Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen. Den behandlingsansvarlige kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig
Utvikling i EU – forslag 2011
April 13, 202354
• Transparency: specifying what information privacy notices must contain and how they should be made available (e.g., in relation to minors)
• Personal data breach notification: introducing a general personal data breach notification requirement
• Rights of the data subjects: improving the ways in which individuals can exercise their rights, for example, by introducing deadlines to respond to individuals’ requests and strengthening the “right to be forgotten” (i.e., the right for individuals to have their data deleted when they are no longer needed for legitimate purposes)
• Consent: clarifying and strengthening the rules on consent
• Sensitive data: examining whether to consider other types of personal data as “sensitive data” (e.g., genetic data)
• Registrations: examining the possibility for a uniform EU-wide registration form
• Applicable law: revising and clarifying the existing provisions on applicable law with a view
• Data Protection Officer: CPO becomes mandatory?
• Privacy by design: examining the concept of “privacy by design” and its concrete implementation
• International data transfers: improving and streamlining the current procedures for issuing adequacy decisions and international data transfers
