Personvern i ikt kontrakter.pptx

Download Personvern i ikt kontrakter.pptx

Post on 23-Jun-2015

292 views

Category:

Documents

4 download

Embed Size (px)

TRANSCRIPT

<ul><li> 1. Personvern i IKT-kontrakteradvokat Eva I. E. Jarbekk</li></ul><p> 2. June 20, 20132Gi oversikt over regelverk og mulige lsningerfor noen personvernsprsml i IKT-kontrakterMl 3. Advokat og assosiert partner i Kluge Advokatfirma DA Partner i FAKTUM AS tverrfaglig informasjonssikkerhet, granskning og personvern Leder av Personvernnemnda Leder advokatforeningens lovutvalg for IKT- og personvernBakgrunn Eva Jarbekk 4. AgendaJune 20, 20134 Utgangspunkter, rettslig ramme og ansvar Typesituasjoner IKT-kontrakter generelt Databehandleravtaler Overfring til utlandet Hovedregler Safe harbour EUs standardavtaler Binding corporate rules CloudLitt om nemndas praksis, compliance og reaksjoner 5. UtgangspunkterJune 20, 20135 6. Litt om hvorfor personvernJune 20, 20136Utgangspunkt; pol 1Lovens formlFormlet med denne loven er beskytte den enkelte mot atpersonvernet blir krenket gjennom behandling av personopplysninger.Loven skal bidra til at personopplysninger blir behandlet i samsvarmed grunnleggende personvernhensyn, herunder behovet for personligintegritet, privatlivets fred og tilstrekkelig kvalitet ppersonopplysninger.Formlsparagrafen er tolkningsmoment i vurderinger med skjnn..forts. 7. Litt om hvorfor personvernJune 20, 20137 Sikre forsvarlig bruk av personopplysninger Hver enkelts personvern og kontroll med opplysninger Opplysninger skal forbli der de forventes befinne seg Forventninger om diskresjon ker behov for personvern/beskyttelse passord ker forventing om diskresjon E-post derfor annerledes enn sentralt lagrede dokumenter Sosiale medier antas vre mer lukket enn de er Informasjonssikkerhet er en sentral del av personvern Bruken av reglene skal balansere effektiv informasjonsbehandling og hensynet tilindividene Informasjonslekkasjer er drlig personvern og drlig bedriftsvern 8. Rettslig rammeverkJune 20, 20138 Personopplysningsloven (EU-basert) Forskrifter Datatilsynets praksis Personvernnemndas praksis Noe rettspraksis Avgjrelser fra statsadvokat og riksadvokat Nye forskrifter om innsyn i e-post.. forts. 9. Rettslig rammeverkJune 20, 20139 Srlovgivning; helsepersonell arbeidsmiljlov politiets registre Datatilsynet Veiledningsplikt mye p nett Kontrollerende organ Personvernnemnda 10. Personopplysningslovens virkeomrdeJune 20, 201310Info knyttet direkte/indirekte til individ omfattes avloven Alt fra telefonnummer til medarbeidersamtaler og sykehistorikkomfattes 11. Hva er behandling av personopplysningerJune 20, 201311Personopplysningsloven 2,1,2:Enhver formlsbestemt bruk av personopplysningerInnsamling, registrering, sammenstilling, lagring og utleveringeller en kombinasjon 12. Nr kan man behandle personopplysninger?June 20, 201312Personopplysningsloven 8 Ved samtykke (8,1) Ndvendig for oppfylle avtale med den registrerte (8a) Den behandlingsansvarlige har en berettiget interesse ibehandlingen som ikke overstiger den registrertes interesse (8f) 13. Viktig begrensning i bruk av POJune 20, 201313PO kan brukes til det den opprinnelig ble innhentet for, 11 ikke noe annet!Dette medfrer at grunnlaget/hjemmelen for bruken er viktigDette er viktig i alle kontrakter med POEn tekst som danner grunnlag for samtykke fra den registrerte til en bestemtbehandling m omfatte den bruken man ser for seg i praktisk fremtid ellers m nyesamtykker innhentes nr ny bruk tenkes implementertSamtykketekster kan likevel ikke bli for generelle en balansegang 14. Flyt av PO typisk situasjon for virksomhetJune 20, 201314Kunder AnsatteVirksomhet:Salg av varer, tjenester - i NorgeDatabehandler MorselskapDatabehandler SsterselskapDatabehandler Ssterselskap/kundesenterEkstern samarbeidspartner Nytt produktEkstern samarbeidspartner Utenlandsk tjeneste 15. KonsernJune 20, 201315 Ofte selvstendige AS - separate behandlingsansvarlige Ofte nske om dele PO p tvers i konsern I noen grad kan DBA pne for deling PO kan typisk deles til kundesenter i konsern via DBA pner ikke for samkjre med PO fra andre konsernselskaper, Avhenger litt at hvordan grunnlaget for behandling av PO ser ut (er deling tatt med isamtykker eller lignende?)Ulike markedssegment har ulike konsesjoner fra DT 16. Generelt om IKT-kontrakter og personvernJune 20, 201316Mange ulike standard-kontrakter;Utvikling KjpLagring CRMPO er svrt ofte en del av et strre hele PO er alltid IKTKravsspekk skrives PO lagres hvor lenge? nr sprres DT?Lagringstid og hvor mange skal ha tilgang til PO er viktigPrivacy by design 17. Hvem er ansvarligJune 20, 201317 Ledelsen i bedriften Behandlingsansvarlig: den som bestemmer hvordan PO skal brukes og hvilkehjelpemidler som skal brukes Ved ekstern delegasjon/outsourcing M ansvaret for opplysningene omtales,jfr. 15, i en skalt databehandlerklausul 18. DatabehandleravtalerJune 20, 201318 19. Pol 15June 20, 201319 15. Databehandlerens rdighet over personopplysningerEn databehandler kan ikke behandle personopplysninger p annen mte enn det som er skriftlig avtalt med denbehandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.I avtalen med den behandlingsansvarlige skal det ogs g frem at databehandleren plikter gjennomfre slike sikringstiltak somflger av 13. 13. InformasjonssikkerhetDen behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak srge for tilfredsstillendeinformasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.For oppn tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentereinformasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal vre tilgjengelig for medarbeiderne hos denbehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal ogs vre tilgjengelig for Datatilsynet og Personvernnemnda.En behandlingsansvarlig som lar andre f tilgang til personopplysninger, f.eks. en databehandler eller andre som utfrer oppdrag itilknytning til informasjonssystemet, skal pse at disse oppfyller kravene i frste og annet ledd. 20. DatabehandlerJune 20, 201320 Den behandlingsansvarlige er fremdeles ansvarlig selv om databehandler brukes Databehandler: den som behandler PO p vegne av den behandlingsansvarlige Databehandler kan bare rde over opplysningene slik det er skriftlig avtalt med denbehandlingsansvarlige kan ikke gjre noe annet Datatilsynet har veileder om databehandleravtaler (DBA) og utkast til DBA phjemmesidene 21. Databehandleravtale typiske best.June 20, 201321Forml hvilke personopplysninger skal behandles hvilke behandlinger omfattes av avtalen hva er rammene for databehandlers hndtering av personopplysninger 22. Databehandleravtale typiske best.June 20, 201322Databehandlers plikter Databehandler skal flge de rutiner og instrukser for behandlingen sombehandlingsansvarlig til enhver tid har bestemt skal gjelde. Databehandler plikter gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon,og bist, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. Behandlingsansvarlig har rett til tilgang til og innsyn i personopplysningene sombehandles og systemene som benyttes. Databehandler plikter gi ndvendig bistand tildette. Databehandler har taushetsplikt om dokumentasjon og personopplysninger somvedkommende fr tilgang til iht. denne avtalen. 23. Databehandlingsavtale typiske best.June 20, 201323Bruk av underleverandr Dersom databehandler benytter seg av underleverandr eller andre som ikkenormalt er ansatt hos databehandler skal dette avtales skriftlig medbehandlingsansvarlige fr behandlingen av personopplysninger starter. Samtlige som p vegne av databehandler utfrer oppdrag der bruk av deaktuelle personopplysningene inngr, skal vre kjent med databehandlersavtalemessige og lovmessige forpliktelser og oppfylle vilkrene etter disse. 24. Databehandlingsavtale typiske best.June 20, 201324Sikkerhet Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etterpersonopplysningsloven og personopplysningsforskriften, herunder srligpersonopplysningslovens 13 15 med forskrifter. Databehandler skal dokumentererutiner og andre tiltak for oppfylle disse kravene. Dokumentasjonen skal vretilgjengelig p behandlingsansvarliges foresprsel. Avviksmelding etter personopplysningsforskriftens 2-6 skal skje ved at databehandlermelder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for atavviksmelding sendes Datatilsynet (ved utlevering til tredjepart) 25. Databehandleravtale typiske best.June 20, 201325Sikkerhetsrevisjoner Det skal gjennomfres jevnlige sikkerhetsrevisjonerRevisjon Revisjonen kan omfatte gjennomgang av rutiner, stikkprvekontroller,mer omfattende stedlige kontroller og andre egnede kontrolltiltak 26. Databehandleravtale typiske best.June 20, 201326Opphr Ved opphr av avtalen plikter databehandler tilbakelevere alle personopplysningersom er mottatt p vegne av den behandlingsansvarlige og som omfattes av denneavtalen. Det skal avtales at databehandler skal slette eller forsvarlig destruere alle dokumenter,data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen. Dettegjelder ogs for eventuelle sikkerhetskopier. 27. Kortversjon; databehandlerklausulJune 20, 201327plikter gjennomfre sikringstiltak i henhold til personopplysningsloven 13 og 15 om informasjonssikkerhet. Dette omfatter bl.a. at skal srge fr ivareta konfidensialitet, integritet og tilgjengelighet ved behandling avpersonopplysninger.Den fremgangsmte, herunder risikovurdering, organisatoriske tiltak ogtekniske sikkerhetstiltak som gjennomfres av , skal vre dokumentert ogtilgjengelig slik personopplysningsloven foreskriver.Personopplysningene skal kun behandles i forbindelse med oppfyllelse av denneAvtale. 28. Overfring av PO til utlandetJune 20, 201328 29. Overfring av PO til utlandetJune 20, 201329Regler om overfring til utlandet gjelder bare overfring av personopplysninger til en adresse i ettredjelandOpplysninger som blir lagt ut p Internett, og i prinsippet kan leses av alle, vil som hovedregel ikkerammes av de strenge vilkrene for overfring til tredjelandOm man sender e-post til en adressat i utlandet, regner man dette som overfring til utlandetSender man derimot e-post til en adressat i Norge, vil det ikke regnes som overfring selv om den erinnom en server som ligger i utlandet p veienKilde: www.datatilsynet.no 30. Overfring av PO til utlandetJune 20, 201330 29. Grunnleggende vilkrPersonopplysninger kan bare overfres til stater som sikrer en forsvarlig behandling avopplysningene. Stater som har gjennomfrt direktiv 95/46/EF om beskyttelse av fysiskepersoner i forbindelse med behandling av personopplysninger og om fri utveksling avslike opplysninger, oppfyller kravet til forsvarlig behandling.I vurderingen av om behandlingen sikres p forsvarlig mte, skal det bl.a. legges vektp opplysningenes art, den planlagte behandlingens forml og varighet samt derettsregler, regler for god forretningsskikk og sikkerhetstiltak som gjelder ivedkommende stat. Det skal ogs legges vekt p om staten har tiltrdt Europardetsbehandling av personopplysninger. 31. Hovedregel i 29June 20, 201331Utgangspunkt: POLs generelle krav til behandling av personopplysninger er oppfylt(8,9,11); PO kan overfres til land innen EU og ES-omrdet PO kan overfres til land som Europakommisjonen har godkjent PO kan overfres til enkeltbedrifter i USA som har sluttet seg til Safe HarborIkke konsesjonspliktig i seg selv, men overfringen m beskrives ikonsesjonssknad eller melding knyttet til hovedformlet 32. Safe HarborJune 20, 201332 Safe Harbor-avtalen er en sravtale mellom EU og USA fra 2000 som regulerer overfring avpersonopplysninger Formlet er f amerikanske behandlingsansvarlige til tilfredsstille kravet til et tilstrekkeligverneniv (POL 29) Kun amerikanske selskaper underlagt Federal Trade Commission (FTC) eller The Department ofTransportation (DoT) En selvreguleringsavtale som amerikanske virksomheter frivillig inngr Virksomhetene forplikter overfor seg United States Department of Commerce til oppfylle syvprinsipperEnkeltperson kan klage til FTC eller DoT FTC og DoT kan kontrollere virksomhetene og reise tiltale mot virksomhetene 33. Safe HarborJune 20, 201333Syv prinsipper omtales som Safe Harbor-avtalen:1. Informasjon til de registrerte om behandling om dem2. Valgfrihet hva gjelder bruk av PO til annet enn opprinnelig innsamlet3. Utlevering til tredjepart krever informasjon og opt-out mulighet4. Informasjonssikkerhet5. Relevant bruk6. Innsyns- og rettemulighet for den registrerte7. Enforcementhttp://eur-lex.europa.eu/LexUriServ/site/en/oj/2000/l_215/l_21520000825en00070047.pdf 34. Overfring til andre tredjeland og vsh i USA utenfor Safe HarborJune 20, 201334M flge unntakene i 30I utgangspunktet er overfring ikke tillatt med mindre unntak kan brukes. 35. Overfring av PO til utlandetJune 20, 201335 30. UnntakPersonopplysninger kan ogs overfres til stater som ikke sikrer en forsvarlig behandling av opplysningenedersoma) den registrerte har samtykket i overfringen,b) det foreligger plikt til overfre opplysningene etter folkerettslig avtale eller som flge av medlemskap iinternasjonal organisasjon,c) overfringen er ndvendig for oppfylle en avtale med den registrerte, eller for utfre gjreml etterden nske fr en slik avtale inngs,d) overfringen er ndvendig for inng eller oppfylle en avtale med en tredjeperson i denregistrertes interesse,e) overfringen er ndvendig for vareta den registrertes vitale interesser,f) overfringen er ndvendig for fastsette, gjre gjeldende eller forsvare et rettskrav,g) overfringen er ndvendig eller flger av lov for beskytte en viktig samfunnsinteresse, ellerh) det er fastsatt i lov at det er adgang til kreve opplysninger fra et offentlig register.Ikke konsesjonspliktig i seg selv, men overfringen m beskrives i konsesjonssknad eller melding knyttet tilhovedformlet 36. Overfring av PO til utlandetJune 20, 201336 30. UnntakDatatilsynet kan tillate overfring selv om vilkrene i frste ledd ikke er oppfylt dersom denbehandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter.Datatilsynet kan sette vilkr for overfringen.Kongen kan gi forskrift om overfring av personopplysninger til utlandet, herunder om stanseeller begrense overfring til bestemte stater som ikke tilfredsstiller kravene i 29.Typisk eksempel p garanti:EUs standardavtalerBinding Corporate Rules (BCR) 37. EUs standard avtalerJune 20, 201337 Overfring til databehandler i utlandet (kontrollen beholdes i Norge)- (controller til processor) Overfring til en annen virksomhet som skal bruke opplysningene til eget forml, 2alternative kontrakter foreligger (controller til controller) 38. EUs standard avtalerJune 20, 201338Overfring til databehandler i utlandet (ny 2010) Vanlige definisjoner, applicable law Applicable law (der data exporter er etablert) p personvern skal overholdes PO skal kun brukes slik d...</p>