en analyse av forordningen og annen tilknyttet …...› begrenset til det som er nødvendig for...
TRANSCRIPT
Dataminimeringsprinsippet
En analyse av forordningen og annen tilknyttet lovgivningAdvokat Line Coll, Wikborg Rein
Dataminimeringsprinsippet
Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
I det store bildet
Overvåking og kontroll
BorgereKunder
Den digitale revolusjon
BIG DATA og AI
Personvern(GDPR)
AnsatteForbrukervern
Grunnleggende menneskerettighet
Brukere
Dataminimering – når aktualiseres det?
Behandlingsperioden
Innsamlingstidspunktet Avslutningstidspunktet
Innsamlingstidspunktet› Før innsamling skjer› Hvilke opplysninger det er nødvendig å
behandle for å oppnå behandlingsformålet› Kan formålet med rimelighet oppfylles på annen
måte enn å behandle personopplysninger?
› GDPR fortalepunkt 36: Personopplysninger bør behandles bare dersom formålet med behandlingen ikke med rimelighet kan oppfylles på annen måte. […]
› Viktigheten av å formulere gode behandlingsformål
› Hvis nødvendig, må vurdere om opplysningene er: › Adekvate
› Relevante
› Begrenset til det som er nødvendig for formålene de behandles for
Behandlingsperioden› Dataminimering for hver behandling som
gjøres› "Behandling" er vidt definert og omfatter i
prinsippet alle former for operasjoner eller rekke av operasjoner som gjøres med personopplysninger
› Behandling av personopplysninger kan generere nye personopplysninger› Sammenstilling, profilering
› Flere formål under en og samme prosess› Formålsutglidning
Avslutning av behandling› Dataminimaliseringsprinsippet møter
lagringsbegrensningsprinsippet› Personopplysninger som ikke lenger er
nødvendige for formålet skal slettes› Alternative behandlingsgrunnlag? › Lovpålagt oppbevaringsplikt
› Arkivloven› Regnskapsloven› Bokføringsloven
Data om ansatte › Rekrutteringsfasen
› CV› Bakgrunnssjekk› Screening› Rekrutteringsdatabase
› Personaladministrasjon under ansettelsesforholdet› Vanlige HR-prosesser› HMS› Varsling› Personalsaker
› Avslutning av arbeidsforholdet› Oppbevaring av opplysninger etter endt
arbeidsforhold› Sletting av opplysninger i personalmapper,
personalportaler ol.› Ustrukturerte data
Data om kunder- og brukere › Etablering av kundeforholdet eller
brukerrelasjonen› Behandling av opplysninger i avtaleperioden,
abonnentsperioden, brukerperioden› Behandling av sensitive data, for
eksempel brukere og pasienter› Avslutning av avtaleforholdet, eller relasjonen
med bruker› Formålet oppnådd› Annet behandlingsgrunnlag› Dataminimimeringsprinsippet møter
lagringsbegrensningsprinsippet
Digital tillit og digital troverdighet
DIGITAL TILLIT
Lover og regler Etikk
Sikkerhet
Digital tillit og digital troverdighet
Omdømmetap
Markeds- og aksjeverdier Ansvar og
bøter
Erstatningskrav
Interne kostnaderStyreansvar?
wr.no
Oslo ● Bergen ● London ● Shanghai ● Singapore
Takk for meg!
LINE COLL+47 900 90 [email protected]
Foto: Wikborg Rein, Erik Burås/STUDIO B13, Ilja Hendel, istockphoto.com
Ansvarsforhold: Denne presentasjonen inneholder en overordnet beskrivelse av enkelte regler i norsk rett. Den utgjør ikke juridisk rådgivning, og ingen forretningsmessige beslutninger bør baseres på den.