nytt personvernregelverk fra eu forum for ikt og personvern

FORUM FOR IKT-RETT OG PERSONVERN

Nytt personvernregelverk fra EU

-hovedregler

Advokat Eva Jarbekk

21. januar 2016

Tittel på presentasjon 2

• Generelt• Personopplysning• Fravær av melde- og konsesjonsplikt• Behandlingsgrunnlag – samtykke og avtale• Big data• One-stop-shop/organisering av Datatilsynet

fremover• Klageadgang• Økonomiske sanksjoner


Generelt

Når i kraft• Primo 2018

• Omrokkering av struktur

Forordning

Bindende tekst for landene uten rom for endringer, verken strengere eller mildere

- nesten…

“Additional safeguards” tillates på enkelte områder: • Myndighetsalder 16/13• Arbeidsrett• Vitenskapelig og historisk forskning• Og en del andre spesialregler

Sentrale endringer

• Plikt til å informere mottakere av informasjon når den registrerte krever data rettet/slettet og krever at mottakere av opplysningene får vite dette (ny art 17b)

• Den registrerte kan «restrict» behandlingsansvarliges rett til å behandle data når dataenes korrekthet bestrides i en periode inntil korrektheten verifiseres (ny art 17a)

Copyright © 2014 Foyen All Rights Reserved. 6

Avvik – mye strengere enn i dag

• In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent, unless the personal data breach is unlikely to result in a risk for the rights and freedoms of individuals.

• The processor shall notify the controller without undue delay after becoming aware of a personal data breach.

Copyright © 2014 Foyen All Rights Reserved. 7


Avvik – mye strengere enn i dag

• When the personal data breach is likely to result in a high risk for the rights and freedoms of individuals the controller shall communicate the personal data breach to the data subject without undue delay.


Personopplysning - definisjon


Definisjon

Vanlig PO:

• ..any information relating to an identified or identifiable natural person 'data subject'; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person;


Definisjon

Sensitiv PO:

• The processing of personal data, revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and the processing of genetic data, biometric uniquely identifying a person or data concerning health or sex life and sexual orientation shall be prohibited


Teknisk mer detaljert definisjon - metadata

• When using online services, individuals may be associated with online identifiers provided by their devices, applications, tools and protocols, such as Internet Protocol addresses, cookie identifiers or Radio Frequency Identification tags

• Identification numbers, location data, online identifiers or other specific factors as such should not be considered as personal data if they do not identify an Individual or make an individual identifiable


Når er noe identifiserbart?

• To determine whether a person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by any other person to identify the individual directly or indirectly

• To ascertain whether means are reasonable likely to be used to identify the individual, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration both available technology at the time of the processing and technological development


Konsekvens

• Rom for å forstå mange typer data og metadata som personopplysning

• Gir regelverket stor anvendelse • Feiloppfatning av hva som er «personopplysning»

kan bli dyrt• Sørg for å ha god dokumentasjon om vurderinger

som er gjort


Fra forhåndskontroll til etterhåndskontroll

Konsesjonsplikt og meldeplikt forsvinner


Forsvinner all Datatilsynets forhåndskontroll?

Ja og nei.

I hovedsak blir det etterfølgende kontroll. Det betyr..


Behandlingsansvarlig må enten selv – evt med bistand fra personvernombudet og andre – gjøre egne vurderinger av

• hvordan formålet med behandlingen skal beskrives• hjemmelsgrunnlag• om proporsjonalitet mellom opplysninger og formål• mene noe om minimumsprinsipp • mene noe om nødvendighet• beskrive og vurdere risiko for de som er registrert• vurdere om sikkerhetstiltak er gode nok

• dokumentere vurderinger

Etterhåndskontroll medfører at ..


De som er databehandlere må gjøre en del av dette.

Risikoen for å ha vurdert feil – og eventuelle økonomiske konsekvenser – er den behandlingsansvarliges – og ofte databehandlerens.

Ref det som kommer om økonomiske sanksjoner og økonomisk ansvar mellom behandlingsansvarlig og databehandler.

Dette gjelder de aller fleste typer behandling av personopplysninger.

Men…

Etterfølgende kontroll medfører at..

Behandlingsansvarlige må beskrive:

• hvordan formålet med behandlingen skal beskrives

• hjemmelsgrunnlag• om proporsjonalitet mellom

opplysninger og formål• mene noe om minimumsprinsipp • mene noe om nødvendighet• beskrive og vurdere risiko for de

som er registrert• vurdere om sikkerhetstiltak er

gode nok



Konsultasjonsplikt med Datatilsynet – ikke entydig..

Artikkel 34• The controller shall consult the supervisory authority prior to the

processing of personal data where a data protection impact assessment indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk

Fortalen• Where a data protection impact assessment indicates that processing

operations involve a high risk which the controller cannot mitigate by appropriate measures in terms of available technology and costs of implementation, a consultation of the supervisory authority should take place prior to the processing


Resultat av konsultasjon

• Where the supervisory authority is of the opinion that the intended processing referred would not comply with this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, it shall within a maximum period of eight weeks following the request for consultation give advice to the data controller, and where applicable to the processor

• Tilsynene, om “advice” ikke følges, kan gjøre alt fra å stanse behandlingen til å sette vilkår, ref art 53

• Annerledes enn konsesjonsplikt? Færre tilfeller. Kanskje.


Hva er en DPIA/PIA?

• a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the individual or significantly affect the individual


Data Privacy Impact Asessment DPIA/PIA - innhold

• a description of the envisaged processing operations, the purposes of the processing

• an assessment of the necessity and proportionality of the processing operations in relation to the purposes

• an assessment of the risks to the rights and freedoms of data subjects

• the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation

• Where appropriate, the controller shall seek the views of data subjects or their representatives on the intended processing, without prejudice to the protection of commercial or public interests or the security of the processing operations


Når skal DPIA/PIA gjennomføres?

• Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk for the rights and freedoms of individuals, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data

risikovurdering før PIA, PIA, risikovurdering etter PIA

Noe skjønnsmessig når det skal gjennomføres, men noen klare regler ..forts


Når skal DPIA/PIA gjennomføres?

• processing on a large scale of special categories of data referred to in Article 9(1), of data relating to criminal convictions and offences referred to in Article 9a, or of biometric data

• a systematic monitoring of a publicly accessible area on a large scale


Data Privacy Impact Asessment DPIA/PIA

• The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. The supervisory authority shall communicate those lists to the European Data Protection Board

• The supervisory authority may also establish and make public a

list of the kind of processing operations for which no data protection impact assessment is required. The supervisory authority shall communicate those lists to the European Data Protection Board


Behandlingsgrunnlag – særlig om avtaler og samtykker


Behandlingsgrunnlag

• Samtykke og avtalegrunnlag må ses i sammenheng selv om det er to ulike hjemmelsgrunnlag

..først litt generelt om behandlingsgrunnlag


Relevante behandlingsgrunnlag – vanlige PO

• the data subject has given unambiguous [klart, utvetydig,entydig] consent to the processing of their personal data for one or more specific purposes

• processing is necessary for the performance of a contract to

which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract

• processing is necessary for the purposes of the legitimate

interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child


Relevante behandlingsgrunnlag – sensitive PO

• the data subject has given explicit [tydelig, klar, bestemt, uttrykkelig] consent to the processing of those personal data

• processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law

• processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other non-profit-seeking body with a political, philosophical, religious or trade-union aim

• the processing relates to personal data which are manifestly made public by the data subject

…forts


Relevante behandlingsgrunnlag – sensitive PO • processing is necessary for reasons of substantial public interest, on the

basis of Union law, or Member State law which shall provide for suitable and specific measures to safeguard the data subject's legitimate interests

• processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union law or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, such as professional secrecy; or

• processing is necessary for archiving purposes in the public interest or

historical, statistical or scientific purposes


Samtykke som behandlingsgrunnlag

• Rettslig definisjon: 'consent' means any freely given, specific and informed indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed

• When assessing whether consent is freely given, account shall be taken of the fact whether the performance of a contract or service, is made conditional on the consent to the processing of data that is not necessary for the performance of this contract• Hvis binding mellom avtale og samtykke – da er det ikke «freely

given»


Utforming av samtykke og avtale

• If the data subject's consent is given in the context of a written declaration which also concerns other matters, the requirement for consent must be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of the declaration which constitutes an infringement of this Regulation that the data subject has given consent to shall not be binding.

• Bevisbyrde• Where processing is based on consent, the controller

shall be able to demonstrate that consent was given by the data subject to the processing of their personal data


Utforming av samtykke og avtaler

• When the processing has multiple purposes, unambiguous consent should be granted for all of the processing purposes. (fortalen)

Ett samtykke per formål uansett om samme tjeneste Identifiser ulike formål og beskriv dem i teksten

• Antakelig negativt for forretningsmodeller som baserer seg på reklameinntekter basert på profiler – eksplisitte samtykker må innhentes


Utforming av samtykke og avtaler

• Avtale kan ikke «erstatte» samtykker fordi hva som er «nødvendig» for avtalen skal tolkes strengt

• Samtykke kan ikke «bundles» inn i avtalen

• Fremover må man ofte bruke en kombinasjon av avtaler og samtykker fordi minimumsprinsippet slår inn for hva som er nødvendig å innhente ifbm avtaler


Datatilsynet, Bjørn Erik Thon i DN 6/8-15:

• Det foreslås at samtykkeerklæringen tydelig skal skilles fra andre opplysninger som gis, og at det skal brukes et «klart og tydelig» språk. Dette høres kanskje ut som en floskel, men en slik formulering i et lovverk vil gi oss i Datatilsynet stor mulighet til å stille krav til både form og innhold. Formuleringer av typen «vi vil bruke dine data til å forbedre våre tjenester» kan være saga blott


Samtykke kan trekkes tilbake

• The data subject shall have the right to withdraw his or her consent at any time

• The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw consent as to give it

• Da må videre behandling opphøre – vurdere hva som skal skje med eksisterende opplysninger


Big Data – gjenbruk av data(further use)


• Anonyme data – utenfor loven – Big Data er lett• Vilkår for anonymitet nesten

strengere enn i dag • ref tidligere sitat om indirekte

identifikasjon

• Pseudonymiserte data har ofte bedre datakvalitet

• Lettere f eks å følge dataenes utvikling over tid ved at kobling finnes

• Pseudonymiserte data er personopplysninger – må følge reglene

Gjenbruk av data – Big data – bruk til nye formål

• 'pseudonymisation' means the processing of personal data in such a way that the data can no longer be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution to an identified or identifiable person


Utgangspunkt for mulig gjenbruk av data – Big data

Personal data must be:

• processed lawfully, fairly and in a transparent manner in relation to the data subject

• collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes; (“purpose limitation”)

• adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (“data minimisation”)

…likevel en åpning for Big Data?


Inkompatabilitetsforbud for nye formål

• Where the processing for another purpose than the one for which the data have been collected is:

• not based on the data subject’s consent or on a Union or • Member State law which constitutes a necessary and

proportionate measure in a democratic society [ref EMK],

• the controller shall, ascertain whether processing for another purpose is compatible with the purpose for which the data are initially collected, taking into account the following

..forts


Vurderingstema - inkompatabilitet

• the context in which the data have been collected• reasonable expectations of data subjects based as to their

further use• the nature of the personal data• the consequences of the intended further processing for data

subjects• the existence of appropriate safeguards in both the original

and intended further processing operations

• Åpning for historisk/vitenskaplig forskning – men det er noe annet enn Big Data (for de fleste)


Big data, bruksmønster, CRM eller lignende basert på pseudonymiserte eller identifiserbare metadata?

Behandlingsansvarlige må beskrive:

• hvordan formålet med behandlingen skal beskrives

• Hjemmelsgrunnlag• Kompatabilitet mellom opprinnelig og

nytt formål• om proporsjonalitet mellom

opplysninger og formål• mene noe om minimumsprinsipp • mene noe om nødvendighet• beskrive og vurdere risiko for de som

er registrert• vurdere om sikkerhetstiltak er gode

nok



One-stop-shopDatatilsynenes rolle videre


Hvordan skal Datatilsynene organiseres

• Omfattende beskrivelser i kap VI

• Deltakere oppnevnes for ikke mindre enn fire år • Opp til enkeltland å fastlegge lenger funksjonstid

– skille «members» og «staff»

• Kompetansekrav til «members»

• Usikker fremtid for Personvernnemnda


Datatilsynene

• Omfattende fullmakter, mye internasjonalt samarbeid

• Full innsynsrett, gi advarsler, pålegg, endre, stoppe, varsle til registrerte, stanse overføring til tredjeland, etc, etc


One-stop-shop for bedriftene?

• Ikke helt slik det ble presentert – at man får svar fra der hovedkontor eller de som bestemmer om prosesser er lokalisert

• Lead DPA er mer en “first among equals” som koordinerer innspill fra andre “concerned authorities” og lager utkast til beslutninger med omfattende prosesser for deling av informasjon og frister

• Joint operations

• Se kap VII Co-operation and consistency


European Data Protection Board – sikre «consistency»

Competent supervisory authority shall communicate the draft decision to the European Data Protection Board, when it: c) aims at adopting a list of the processing operations subject to the requirement for a data protection impact assessment pursuant to Article 33(2a); or (ca) concerns a matter pursuant to Article 38(2b) whether a draft code of conduct; or [..]


Klageadgang


• Klage til Datatilsynet over behandling (hos controller eller processor) der man bor, der man arbeider eller der krenkelsen fant sted

• Forvaltningsmessig klage på Datatilsynets vedtak må antas å komme – samme krav til uavhengighet som oppstilles til Datatilsynet

• Klage over Datatilsynets vedtak går til domstolen – der man bor, arbeider eller krenkelsen fant sted


Erstatning - material or immaterial damage

• Any controller involved in the processing shall be liable for the damage caused by the processing which is not in compliance with this Regulation

• A processor shall be liable for the damage caused by the processing only where it has not complied with obligations of this Regulation specifically directed to processors or acted outside or contrary to lawful instructions of the controller

• Where more than one controller or processor or a controller and a processor are involved in the same processing and, where they are responsible for any damage caused by the processing, each controller or processor shall be held liable for the entire damage


Administrative økonomiske sanksjoner(straff)


Utmåling

• Avhenger av graden av skyld, gjentagelse, kunnskap etc.

• Avhenger av hvilke regler som er overtrådt• Detaljerte regler i kap VIII


Størrelsen avhenger av hva bruddet er relatert til

Each supervisory authority may impose administrative fines up to 20 000 000 EUR, or in case of an undertaking, up to 4% of the total worldwide annual turnover of the preceding financial year, whichever is higher, for infringements.

• the basic principles for processing, including conditions for consent, the data subjects’ rights

• the transfers of personal data to a recipient in a third country or an international organisation

nytt personvernregelverk fra eu forum for ikt og personvern

Law