nytt personvernregelverk fra eu forum for ikt og personvern
TRANSCRIPT
FORUM FOR IKT-RETT OG PERSONVERN
Nytt personvernregelverk fra EU
-hovedregler
Advokat Eva Jarbekk
21. januar 2016
Tittel på presentasjon 2
• Generelt• Personopplysning• Fravær av melde- og konsesjonsplikt• Behandlingsgrunnlag – samtykke og avtale• Big data• One-stop-shop/organisering av Datatilsynet
fremover• Klageadgang• Økonomiske sanksjoner
Tittel på presentasjon 3
Generelt
Når i kraft• Primo 2018
• Omrokkering av struktur
Forordning
Bindende tekst for landene uten rom for endringer, verken strengere eller mildere
- nesten…
“Additional safeguards” tillates på enkelte områder: • Myndighetsalder 16/13• Arbeidsrett• Vitenskapelig og historisk forskning• Og en del andre spesialregler
Sentrale endringer
• Plikt til å informere mottakere av informasjon når den registrerte krever data rettet/slettet og krever at mottakere av opplysningene får vite dette (ny art 17b)
• Den registrerte kan «restrict» behandlingsansvarliges rett til å behandle data når dataenes korrekthet bestrides i en periode inntil korrektheten verifiseres (ny art 17a)
Copyright © 2014 Foyen All Rights Reserved. 6
Avvik – mye strengere enn i dag
• In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent, unless the personal data breach is unlikely to result in a risk for the rights and freedoms of individuals.
• The processor shall notify the controller without undue delay after becoming aware of a personal data breach.
Copyright © 2014 Foyen All Rights Reserved. 7
Tittel på presentasjon 8
Avvik – mye strengere enn i dag
• When the personal data breach is likely to result in a high risk for the rights and freedoms of individuals the controller shall communicate the personal data breach to the data subject without undue delay.
Tittel på presentasjon 9
Personopplysning - definisjon
Tittel på presentasjon 10
Definisjon
Vanlig PO:
• ..any information relating to an identified or identifiable natural person 'data subject'; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person;
Tittel på presentasjon 11
Definisjon
Sensitiv PO:
• The processing of personal data, revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and the processing of genetic data, biometric uniquely identifying a person or data concerning health or sex life and sexual orientation shall be prohibited
Tittel på presentasjon 12
Teknisk mer detaljert definisjon - metadata
• When using online services, individuals may be associated with online identifiers provided by their devices, applications, tools and protocols, such as Internet Protocol addresses, cookie identifiers or Radio Frequency Identification tags
• Identification numbers, location data, online identifiers or other specific factors as such should not be considered as personal data if they do not identify an Individual or make an individual identifiable
Tittel på presentasjon 13
Når er noe identifiserbart?
• To determine whether a person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by any other person to identify the individual directly or indirectly
• To ascertain whether means are reasonable likely to be used to identify the individual, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration both available technology at the time of the processing and technological development
Tittel på presentasjon 14
Konsekvens
• Rom for å forstå mange typer data og metadata som personopplysning
• Gir regelverket stor anvendelse • Feiloppfatning av hva som er «personopplysning»
kan bli dyrt• Sørg for å ha god dokumentasjon om vurderinger
som er gjort
Tittel på presentasjon 15
Fra forhåndskontroll til etterhåndskontroll
Konsesjonsplikt og meldeplikt forsvinner
Tittel på presentasjon 16
Forsvinner all Datatilsynets forhåndskontroll?
Ja og nei.
I hovedsak blir det etterfølgende kontroll. Det betyr..
Tittel på presentasjon 17
Behandlingsansvarlig må enten selv – evt med bistand fra personvernombudet og andre – gjøre egne vurderinger av
• hvordan formålet med behandlingen skal beskrives• hjemmelsgrunnlag• om proporsjonalitet mellom opplysninger og formål• mene noe om minimumsprinsipp • mene noe om nødvendighet• beskrive og vurdere risiko for de som er registrert• vurdere om sikkerhetstiltak er gode nok
• dokumentere vurderinger
Etterhåndskontroll medfører at ..
Tittel på presentasjon 18
De som er databehandlere må gjøre en del av dette.
Risikoen for å ha vurdert feil – og eventuelle økonomiske konsekvenser – er den behandlingsansvarliges – og ofte databehandlerens.
Ref det som kommer om økonomiske sanksjoner og økonomisk ansvar mellom behandlingsansvarlig og databehandler.
Dette gjelder de aller fleste typer behandling av personopplysninger.
Men…
Etterfølgende kontroll medfører at..
Behandlingsansvarlige må beskrive:
• hvordan formålet med behandlingen skal beskrives
• hjemmelsgrunnlag• om proporsjonalitet mellom
opplysninger og formål• mene noe om minimumsprinsipp • mene noe om nødvendighet• beskrive og vurdere risiko for de
som er registrert• vurdere om sikkerhetstiltak er
gode nok
• dokumentere vurderinger
Tittel på presentasjon 19
Konsultasjonsplikt med Datatilsynet – ikke entydig..
Artikkel 34• The controller shall consult the supervisory authority prior to the
processing of personal data where a data protection impact assessment indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk
Fortalen• Where a data protection impact assessment indicates that processing
operations involve a high risk which the controller cannot mitigate by appropriate measures in terms of available technology and costs of implementation, a consultation of the supervisory authority should take place prior to the processing
Tittel på presentasjon 20
Resultat av konsultasjon
• Where the supervisory authority is of the opinion that the intended processing referred would not comply with this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, it shall within a maximum period of eight weeks following the request for consultation give advice to the data controller, and where applicable to the processor
• Tilsynene, om “advice” ikke følges, kan gjøre alt fra å stanse behandlingen til å sette vilkår, ref art 53
• Annerledes enn konsesjonsplikt? Færre tilfeller. Kanskje.
Tittel på presentasjon 21
Hva er en DPIA/PIA?
• a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the individual or significantly affect the individual
Tittel på presentasjon 22
Data Privacy Impact Asessment DPIA/PIA - innhold
• a description of the envisaged processing operations, the purposes of the processing
• an assessment of the necessity and proportionality of the processing operations in relation to the purposes
• an assessment of the risks to the rights and freedoms of data subjects
• the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation
• Where appropriate, the controller shall seek the views of data subjects or their representatives on the intended processing, without prejudice to the protection of commercial or public interests or the security of the processing operations
Tittel på presentasjon 23
Når skal DPIA/PIA gjennomføres?
• Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk for the rights and freedoms of individuals, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data
risikovurdering før PIA, PIA, risikovurdering etter PIA
Noe skjønnsmessig når det skal gjennomføres, men noen klare regler ..forts
Tittel på presentasjon 24
Når skal DPIA/PIA gjennomføres?
• processing on a large scale of special categories of data referred to in Article 9(1), of data relating to criminal convictions and offences referred to in Article 9a, or of biometric data
• a systematic monitoring of a publicly accessible area on a large scale
Tittel på presentasjon 25
Data Privacy Impact Asessment DPIA/PIA
• The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. The supervisory authority shall communicate those lists to the European Data Protection Board
• The supervisory authority may also establish and make public a
list of the kind of processing operations for which no data protection impact assessment is required. The supervisory authority shall communicate those lists to the European Data Protection Board
Tittel på presentasjon 26
Behandlingsgrunnlag – særlig om avtaler og samtykker
Tittel på presentasjon 27
Behandlingsgrunnlag
• Samtykke og avtalegrunnlag må ses i sammenheng selv om det er to ulike hjemmelsgrunnlag
..først litt generelt om behandlingsgrunnlag
Tittel på presentasjon 28
Relevante behandlingsgrunnlag – vanlige PO
• the data subject has given unambiguous [klart, utvetydig,entydig] consent to the processing of their personal data for one or more specific purposes
• processing is necessary for the performance of a contract to
which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract
• processing is necessary for the purposes of the legitimate
interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child
Tittel på presentasjon 29
Relevante behandlingsgrunnlag – sensitive PO
• the data subject has given explicit [tydelig, klar, bestemt, uttrykkelig] consent to the processing of those personal data
• processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law
• processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other non-profit-seeking body with a political, philosophical, religious or trade-union aim
• the processing relates to personal data which are manifestly made public by the data subject
…forts
Tittel på presentasjon 30
Relevante behandlingsgrunnlag – sensitive PO • processing is necessary for reasons of substantial public interest, on the
basis of Union law, or Member State law which shall provide for suitable and specific measures to safeguard the data subject's legitimate interests
• processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union law or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, such as professional secrecy; or
• processing is necessary for archiving purposes in the public interest or
historical, statistical or scientific purposes
Tittel på presentasjon 31
Samtykke som behandlingsgrunnlag
• Rettslig definisjon: 'consent' means any freely given, specific and informed indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed
• When assessing whether consent is freely given, account shall be taken of the fact whether the performance of a contract or service, is made conditional on the consent to the processing of data that is not necessary for the performance of this contract• Hvis binding mellom avtale og samtykke – da er det ikke «freely
given»
Tittel på presentasjon 32
Utforming av samtykke og avtale
• If the data subject's consent is given in the context of a written declaration which also concerns other matters, the requirement for consent must be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of the declaration which constitutes an infringement of this Regulation that the data subject has given consent to shall not be binding.
• Bevisbyrde• Where processing is based on consent, the controller
shall be able to demonstrate that consent was given by the data subject to the processing of their personal data
Tittel på presentasjon 33
Utforming av samtykke og avtaler
• When the processing has multiple purposes, unambiguous consent should be granted for all of the processing purposes. (fortalen)
Ett samtykke per formål uansett om samme tjeneste Identifiser ulike formål og beskriv dem i teksten
• Antakelig negativt for forretningsmodeller som baserer seg på reklameinntekter basert på profiler – eksplisitte samtykker må innhentes
Tittel på presentasjon 34
Utforming av samtykke og avtaler
• Avtale kan ikke «erstatte» samtykker fordi hva som er «nødvendig» for avtalen skal tolkes strengt
• Samtykke kan ikke «bundles» inn i avtalen
• Fremover må man ofte bruke en kombinasjon av avtaler og samtykker fordi minimumsprinsippet slår inn for hva som er nødvendig å innhente ifbm avtaler
Tittel på presentasjon 35
Datatilsynet, Bjørn Erik Thon i DN 6/8-15:
• Det foreslås at samtykkeerklæringen tydelig skal skilles fra andre opplysninger som gis, og at det skal brukes et «klart og tydelig» språk. Dette høres kanskje ut som en floskel, men en slik formulering i et lovverk vil gi oss i Datatilsynet stor mulighet til å stille krav til både form og innhold. Formuleringer av typen «vi vil bruke dine data til å forbedre våre tjenester» kan være saga blott
Tittel på presentasjon 36
Samtykke kan trekkes tilbake
• The data subject shall have the right to withdraw his or her consent at any time
• The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw consent as to give it
• Da må videre behandling opphøre – vurdere hva som skal skje med eksisterende opplysninger
Tittel på presentasjon 37
Big Data – gjenbruk av data(further use)
Tittel på presentasjon 38
• Anonyme data – utenfor loven – Big Data er lett• Vilkår for anonymitet nesten
strengere enn i dag • ref tidligere sitat om indirekte
identifikasjon
• Pseudonymiserte data har ofte bedre datakvalitet
• Lettere f eks å følge dataenes utvikling over tid ved at kobling finnes
• Pseudonymiserte data er personopplysninger – må følge reglene
Gjenbruk av data – Big data – bruk til nye formål
• 'pseudonymisation' means the processing of personal data in such a way that the data can no longer be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution to an identified or identifiable person
Tittel på presentasjon 39
Utgangspunkt for mulig gjenbruk av data – Big data
Personal data must be:
• processed lawfully, fairly and in a transparent manner in relation to the data subject
• collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes; (“purpose limitation”)
• adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (“data minimisation”)
…likevel en åpning for Big Data?
Tittel på presentasjon 40
Inkompatabilitetsforbud for nye formål
• Where the processing for another purpose than the one for which the data have been collected is:
• not based on the data subject’s consent or on a Union or • Member State law which constitutes a necessary and
proportionate measure in a democratic society [ref EMK],
• the controller shall, ascertain whether processing for another purpose is compatible with the purpose for which the data are initially collected, taking into account the following
..forts
Tittel på presentasjon 41
Vurderingstema - inkompatabilitet
• the context in which the data have been collected• reasonable expectations of data subjects based as to their
further use• the nature of the personal data• the consequences of the intended further processing for data
subjects• the existence of appropriate safeguards in both the original
and intended further processing operations
• Åpning for historisk/vitenskaplig forskning – men det er noe annet enn Big Data (for de fleste)
Tittel på presentasjon 42
Big data, bruksmønster, CRM eller lignende basert på pseudonymiserte eller identifiserbare metadata?
Behandlingsansvarlige må beskrive:
• hvordan formålet med behandlingen skal beskrives
• Hjemmelsgrunnlag• Kompatabilitet mellom opprinnelig og
nytt formål• om proporsjonalitet mellom
opplysninger og formål• mene noe om minimumsprinsipp • mene noe om nødvendighet• beskrive og vurdere risiko for de som
er registrert• vurdere om sikkerhetstiltak er gode
nok
• dokumentere vurderinger
Tittel på presentasjon 43
One-stop-shopDatatilsynenes rolle videre
Tittel på presentasjon 44
Hvordan skal Datatilsynene organiseres
• Omfattende beskrivelser i kap VI
• Deltakere oppnevnes for ikke mindre enn fire år • Opp til enkeltland å fastlegge lenger funksjonstid
– skille «members» og «staff»
• Kompetansekrav til «members»
• Usikker fremtid for Personvernnemnda
Tittel på presentasjon 45
Datatilsynene
• Omfattende fullmakter, mye internasjonalt samarbeid
• Full innsynsrett, gi advarsler, pålegg, endre, stoppe, varsle til registrerte, stanse overføring til tredjeland, etc, etc
Tittel på presentasjon 46
One-stop-shop for bedriftene?
• Ikke helt slik det ble presentert – at man får svar fra der hovedkontor eller de som bestemmer om prosesser er lokalisert
• Lead DPA er mer en “first among equals” som koordinerer innspill fra andre “concerned authorities” og lager utkast til beslutninger med omfattende prosesser for deling av informasjon og frister
• Joint operations
• Se kap VII Co-operation and consistency
Tittel på presentasjon 47
European Data Protection Board – sikre «consistency»
Competent supervisory authority shall communicate the draft decision to the European Data Protection Board, when it: c) aims at adopting a list of the processing operations subject to the requirement for a data protection impact assessment pursuant to Article 33(2a); or (ca) concerns a matter pursuant to Article 38(2b) whether a draft code of conduct; or [..]
Tittel på presentasjon 48
Klageadgang
Tittel på presentasjon 49
• Klage til Datatilsynet over behandling (hos controller eller processor) der man bor, der man arbeider eller der krenkelsen fant sted
• Forvaltningsmessig klage på Datatilsynets vedtak må antas å komme – samme krav til uavhengighet som oppstilles til Datatilsynet
• Klage over Datatilsynets vedtak går til domstolen – der man bor, arbeider eller krenkelsen fant sted
Tittel på presentasjon 50
Erstatning - material or immaterial damage
• Any controller involved in the processing shall be liable for the damage caused by the processing which is not in compliance with this Regulation
• A processor shall be liable for the damage caused by the processing only where it has not complied with obligations of this Regulation specifically directed to processors or acted outside or contrary to lawful instructions of the controller
• Where more than one controller or processor or a controller and a processor are involved in the same processing and, where they are responsible for any damage caused by the processing, each controller or processor shall be held liable for the entire damage
Tittel på presentasjon 51
Administrative økonomiske sanksjoner(straff)
Tittel på presentasjon 52
Utmåling
• Avhenger av graden av skyld, gjentagelse, kunnskap etc.
• Avhenger av hvilke regler som er overtrådt• Detaljerte regler i kap VIII
Tittel på presentasjon 53
Størrelsen avhenger av hva bruddet er relatert til
Each supervisory authority may impose administrative fines up to 20 000 000 EUR, or in case of an undertaking, up to 4% of the total worldwide annual turnover of the preceding financial year, whichever is higher, for infringements.
• the basic principles for processing, including conditions for consent, the data subjects’ rights
• the transfers of personal data to a recipient in a third country or an international organisation