personvern i ikt kontrakter.pptx

Download Personvern i ikt kontrakter.pptx

Post on 23-Jun-2015

294 views

Category:

Documents

4 download

Embed Size (px)

TRANSCRIPT

  • 1. Personvern i IKT-kontrakteradvokat Eva I. E. Jarbekk

2. June 20, 20132Gi oversikt over regelverk og mulige lsningerfor noen personvernsprsml i IKT-kontrakterMl 3. Advokat og assosiert partner i Kluge Advokatfirma DA Partner i FAKTUM AS tverrfaglig informasjonssikkerhet, granskning og personvern Leder av Personvernnemnda Leder advokatforeningens lovutvalg for IKT- og personvernBakgrunn Eva Jarbekk 4. AgendaJune 20, 20134 Utgangspunkter, rettslig ramme og ansvar Typesituasjoner IKT-kontrakter generelt Databehandleravtaler Overfring til utlandet Hovedregler Safe harbour EUs standardavtaler Binding corporate rules CloudLitt om nemndas praksis, compliance og reaksjoner 5. UtgangspunkterJune 20, 20135 6. Litt om hvorfor personvernJune 20, 20136Utgangspunkt; pol 1Lovens formlFormlet med denne loven er beskytte den enkelte mot atpersonvernet blir krenket gjennom behandling av personopplysninger.Loven skal bidra til at personopplysninger blir behandlet i samsvarmed grunnleggende personvernhensyn, herunder behovet for personligintegritet, privatlivets fred og tilstrekkelig kvalitet ppersonopplysninger.Formlsparagrafen er tolkningsmoment i vurderinger med skjnn..forts. 7. Litt om hvorfor personvernJune 20, 20137 Sikre forsvarlig bruk av personopplysninger Hver enkelts personvern og kontroll med opplysninger Opplysninger skal forbli der de forventes befinne seg Forventninger om diskresjon ker behov for personvern/beskyttelse passord ker forventing om diskresjon E-post derfor annerledes enn sentralt lagrede dokumenter Sosiale medier antas vre mer lukket enn de er Informasjonssikkerhet er en sentral del av personvern Bruken av reglene skal balansere effektiv informasjonsbehandling og hensynet tilindividene Informasjonslekkasjer er drlig personvern og drlig bedriftsvern 8. Rettslig rammeverkJune 20, 20138 Personopplysningsloven (EU-basert) Forskrifter Datatilsynets praksis Personvernnemndas praksis Noe rettspraksis Avgjrelser fra statsadvokat og riksadvokat Nye forskrifter om innsyn i e-post.. forts. 9. Rettslig rammeverkJune 20, 20139 Srlovgivning; helsepersonell arbeidsmiljlov politiets registre Datatilsynet Veiledningsplikt mye p nett Kontrollerende organ Personvernnemnda 10. Personopplysningslovens virkeomrdeJune 20, 201310Info knyttet direkte/indirekte til individ omfattes avloven Alt fra telefonnummer til medarbeidersamtaler og sykehistorikkomfattes 11. Hva er behandling av personopplysningerJune 20, 201311Personopplysningsloven 2,1,2:Enhver formlsbestemt bruk av personopplysningerInnsamling, registrering, sammenstilling, lagring og utleveringeller en kombinasjon 12. Nr kan man behandle personopplysninger?June 20, 201312Personopplysningsloven 8 Ved samtykke (8,1) Ndvendig for oppfylle avtale med den registrerte (8a) Den behandlingsansvarlige har en berettiget interesse ibehandlingen som ikke overstiger den registrertes interesse (8f) 13. Viktig begrensning i bruk av POJune 20, 201313PO kan brukes til det den opprinnelig ble innhentet for, 11 ikke noe annet!Dette medfrer at grunnlaget/hjemmelen for bruken er viktigDette er viktig i alle kontrakter med POEn tekst som danner grunnlag for samtykke fra den registrerte til en bestemtbehandling m omfatte den bruken man ser for seg i praktisk fremtid ellers m nyesamtykker innhentes nr ny bruk tenkes implementertSamtykketekster kan likevel ikke bli for generelle en balansegang 14. Flyt av PO typisk situasjon for virksomhetJune 20, 201314Kunder AnsatteVirksomhet:Salg av varer, tjenester - i NorgeDatabehandler MorselskapDatabehandler SsterselskapDatabehandler Ssterselskap/kundesenterEkstern samarbeidspartner Nytt produktEkstern samarbeidspartner Utenlandsk tjeneste 15. KonsernJune 20, 201315 Ofte selvstendige AS - separate behandlingsansvarlige Ofte nske om dele PO p tvers i konsern I noen grad kan DBA pne for deling PO kan typisk deles til kundesenter i konsern via DBA pner ikke for samkjre med PO fra andre konsernselskaper, Avhenger litt at hvordan grunnlaget for behandling av PO ser ut (er deling tatt med isamtykker eller lignende?)Ulike markedssegment har ulike konsesjoner fra DT 16. Generelt om IKT-kontrakter og personvernJune 20, 201316Mange ulike standard-kontrakter;Utvikling KjpLagring CRMPO er svrt ofte en del av et strre hele PO er alltid IKTKravsspekk skrives PO lagres hvor lenge? nr sprres DT?Lagringstid og hvor mange skal ha tilgang til PO er viktigPrivacy by design 17. Hvem er ansvarligJune 20, 201317 Ledelsen i bedriften Behandlingsansvarlig: den som bestemmer hvordan PO skal brukes og hvilkehjelpemidler som skal brukes Ved ekstern delegasjon/outsourcing M ansvaret for opplysningene omtales,jfr. 15, i en skalt databehandlerklausul 18. DatabehandleravtalerJune 20, 201318 19. Pol 15June 20, 201319 15. Databehandlerens rdighet over personopplysningerEn databehandler kan ikke behandle personopplysninger p annen mte enn det som er skriftlig avtalt med denbehandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.I avtalen med den behandlingsansvarlige skal det ogs g frem at databehandleren plikter gjennomfre slike sikringstiltak somflger av 13. 13. InformasjonssikkerhetDen behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak srge for tilfredsstillendeinformasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.For oppn tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentereinformasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal vre tilgjengelig for medarbeiderne hos denbehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal ogs vre tilgjengelig for Datatilsynet og Personvernnemnda.En behandlingsansvarlig som lar andre f tilgang til personopplysninger, f.eks. en databehandler eller andre som utfrer oppdrag itilknytning til informasjonssystemet, skal pse at disse oppfyller kravene i frste og annet ledd. 20. DatabehandlerJune 20, 201320 Den behandlingsansvarlige er fremdeles ansvarlig selv om databehandler brukes Databehandler: den som behandler PO p vegne av den behandlingsansvarlige Databehandler kan bare rde over opplysningene slik det er skriftlig avtalt med denbehandlingsansvarlige kan ikke gjre noe annet Datatilsynet har veileder om databehandleravtaler (DBA) og utkast til DBA phjemmesidene 21. Databehandleravtale typiske best.June 20, 201321Forml hvilke personopplysninger skal behandles hvilke behandlinger omfattes av avtalen hva er rammene for databehandlers hndtering av personopplysninger 22. Databehandleravtale typiske best.June 20, 201322Databehandlers plikter Databehandler skal flge de rutiner og instrukser for behandlingen sombehandlingsansvarlig til enhver tid har bestemt skal gjelde. Databehandler plikter gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon,og bist, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. Behandlingsansvarlig har rett til tilgang til og innsyn i personopplysningene sombehandles og systemene som benyttes. Databehandler plikter gi ndvendig bistand tildette. Databehandler har taushetsplikt om dokumentasjon og personopplysninger somvedkommende fr tilgang til iht. denne avtalen. 23. Databehandlingsavtale typiske best.June 20, 201323Bruk av underleverandr Dersom databehandler benytter seg av underleverandr eller andre som ikkenormalt er ansatt hos databehandler skal dette avtales skriftlig medbehandlingsansvarlige fr behandlingen av personopplysninger starter. Samtlige som p vegne av databehandler utfrer oppdrag der bruk av deaktuelle personopplysningene inngr, skal vre kjent med databehandlersavtalemessige og lovmessige forpliktelser og oppfylle vilkrene etter disse. 24. Databehandlingsavtale typiske best.June 20, 201324Sikkerhet Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etterpersonopplysningsloven og personopplysningsforskriften, herunder srligpersonopplysningslovens 13 15 med forskrifter. Databehandler skal dokumentererutiner og andre tiltak for oppfylle disse kravene. Dokumentasjonen skal vretilgjengelig p behandlingsansvarliges foresprsel. Avviksmelding etter personopplysningsforskriftens 2-6 skal skje ved at databehandlermelder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for atavviksmelding sendes Datatilsynet (ved utlevering til tredjepart) 25. Databehandleravtale typiske best.June 20, 201325Sikkerhetsrevisjoner Det skal gjennomfres jevnlige sikkerhetsrevisjonerRevisjon Revisjonen kan omfatte gjennomgang av rutiner, stikkprvekontroller,mer omfattende stedlige kontroller og andre egnede kontrolltiltak 26. Databehandleravtale typiske best.June 20, 201326Opphr Ved opphr av avtalen plikter databehandler tilbakelevere alle personopplysningersom er mottatt p vegne av den behandlingsansvarlige og som omfattes av denneavtalen. Det skal avtales at databehandler skal slette eller forsvarlig destruere alle dokumenter,data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen. Dettegjelder ogs for eventuelle sikkerhetskopier. 27. Kortversjon; databehandlerklausulJune 20, 201327plikter gjennomfre sikringstiltak i henhold til personopplysningsloven 13 og 15 om informasjonssikkerhet. Dette omfatter bl.a. at skal srge fr ivareta konfidensialitet, integritet og tilgjengelighet ved behandling avpersonopplysninger.Den fremgangsmte, herunder risikovurdering, organisatoriske tiltak ogtekniske sikkerhetstiltak som gjennomfres av , skal vre dokumentert ogtilgjengelig slik personopplysningsloven foreskriver.Personopplysningene skal kun behandles i forbindelse med oppfyllelse av denneAvtale. 28. Overfring av PO til utlandetJune 20, 201328 29. Overfring av PO til utlandetJune 20, 201329Regler om overfring til utlandet gjelder bare overfring av personopplysninger til en