GDPR-helsesjekk
0 likes780 views
Noen av de viktigste spørsmålene du må stille deg selv er: 1. Har du oversikt over hvilke personopplysninger dere behandler? Vet du hva dere bruker opplysningene til? 2. Vet folk at dere har personopplysningene deres og forstår de hvordan dere bruker dem? 3. Behandler dere bare de personopplysningene dere trenger? 4. Oppbevarer dere personopplysningene bare så lenge det er nødvendig? 5. Sørger dere for personopplysningene er nøyaktige og oppdaterte? 6. Har dere god informasjons- og datasikkerhet? 7. Kan de registrerte utøve sine rettigheter? 8. Kjenner både du og deres ansatte til hvilket ansvar dere har?
GDPR-helsesjekk
- 1. GDPR-helsesjekk2 0 . f e b r u a r 2 0 1 9 - a d v o k a t K j e l l S t e f f n e r
- 3. Dagens tema -GDPR så langt -Ikke om hard Brexit 29. mars (plutselig 3. land)
- 4. -og hvordan vet du om du har det? Har du kontroll?
- 5. Den registrerte: Innsyn, retting, sletting, begrensning, protestere, nekte automatiserte avgjørelser, dataportabilitet og tydelig informasjon Behandlingsansvarlig: Behandlingsgrunnlag, formål, gi informasjon, ivareta rettigheter, innebygd personvern, internkontroll, informasjonssikkerhet, protokoller og databehandleravtaler m.m. Rettigheter & plikter
- 6. Respektfor de registrerte og deres personopplysninger
- 7. Omdømmetfor virksomheten overfor kunder og andre
- 8. Troverdighet overfor ansatte, kunder og andre
- 9. -Finne ut av reglene for egen virksomhet og følge dem -Fordrer risikostyring og internkontroll Compliance
- 10. Risikostyring
- 11. Restrisiko?
- 12. 1275 73% 344 MNOK1,6 GDPR-avvik i 2018 Avsluttet med irettesettelse Saker til formell behandling I gebyr til Bergen kommune Personvernbrudd Datatilsynet fikk rapport om 1275 avvik i 2018. 344 av disse sakene ble tatt til formell behandling. Det var bare Bergen kommune som fikk overtredelsesgebyr. Dette var på 1,6 millioner kroner. Saken er ikke endelig avgjort enda.
- 13. MNOK 1.6 i gebyr til Bergen kommune • Filer med brukernavn og passord til over 35 000 brukere tilgjengelig. • Mulig å logge seg inn på skolens ulike informasjonssystem som elev, ansatt eller administrator på skolen. • Kunne få tilgang til personopplysninger om andre elever og ansatte. • For dårlig sikkerhet. • Hadde ikke tofaktorautentisering. • Barn er er definert som en sårbar gruppe i GDPR – påvirker bøtenivået. • Saken er ikke endelig avgjort.
- 14. Dårlig informasjon Geo-sporing Ugyldige samtykker Forskjellige dokumenter Informasjon om behandling av personopplysninger er spredt ut over en rekke dokumenter. € 50 millioner i gebyr til Google Vanskelig Informasjonen er presentert på er «blottet for enhver form for intuitiv karakter» Ikke iht. krav til samtykke 1. Ikke informert samtykke 2. Ikke spesifisert og utvetydig
- 15. Datasikkerhet Sørg for: • To-faktorautentisering • Tilgangsstyring • Løpende opplæring Dette er gjengangere hos Datatilsynet og Riksrevisjonen
- 16. Mine tips • Unngå private mailer på jobbkonto - arbeidsgiver er behandlingsansvarlig. • Slå på to-faktorautentisering over alt, også private tjenster (FB, IG, Snap etc.) – disse kan brukes til å gjenopprette passord / gi seg ut for å være deg. • Bruk heller skytjenester enn USB-stick til lagring av filer. • Unngå lagring av filer lokalt på datamaskiner, nettbrett etc.
- 17. 1 Har du oversikt over hvilke personopplysninger dere behandler? Vet du hva dere bruker opplysningene til? 2 BEHANDLINGSPROTOKOLL PERSONVERNERKLÆRING Vet folk at dere har personopplysningene deres og forstår de hvordan dere bruker dem? Sjekklisten
- 18. 3 4 5 Behandler dere bare de personopplysningene dere trenger? FORMÅLSBEGRENSNING LAGRINGSBEGRENSNING Oppbevarer dere personopplysningene bare så lenge det er nødvendig? Sørger dere for personopplysningene er nøyaktige og oppdaterte? RIKTIGHET
- 19. 6 7 8 Har dere god informasjons- og datasikkerhet? DATASIKKERHET RETTIGHETER Kan de registrerte utøve sine rettigheter? Innebygget personvern? Kjenner både du og deres ansatte til hvilket ansvar dere har? ANSVARLIGHET
- 22. Personopplysninger ”enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet,» 22 PII - personally identifiable information
- 23. Behandling ”enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke” f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, 23 «Processing»
- 24. Behandlingsansvarlig ”bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes” 24 ”Data controller”
- 25. Databehandler ”behandler personopplysninger på vegne av den behandlingsansvarlige” 25 ”Data processor”
- 26. Behandlingsgrunnlag «Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt» 26 ”Lawfulness of processing” 1. Samtykke 2. Nødvendig for å oppfylle en avtale 3. Nødvendig for å oppfylle en rettslig plikt 4. Nødvendig for å beskytte vitale interesser 5. Nødvendig for å utføre en oppgave i offentlig interesse eller utøve offentlig myndighet 6. Nødvendig for å ivareta legitime interesser
- 27. Personvernerklæring Informasjon fra Behandlingsansvarlig til den registrerte om hvordan personopplysningene behandles. Databehandleravtale Behandlingsansvarliges skriftlige instruks til Databehandler om hvordan personopplysningene skal behandles. Behandlingsprotokoll Behandlingsansvarliges oversikt over hvilke personopplysninger som behandles og Behandlingsgrunnlaget. DPIA Personvernkonsekvens- utredning med vurdering av risiko og risikoreduserende tiltak. De viktigste dokumentene
- 28. Cookies har ikke noe med GDPR å gjøre • session cookie – slettes når nettleseren lukkes • persistent cookie – blir værende på datamaskin / telefon / nettbrett i en lengre periode • first-party cookies - settes av nettstedet man besøker • third-party cookies – lagret for et annet domene / nettsted enn det man besøker 28
- 29. Ekomloven § 2-7 b. Bruk av informasjonskapsler/cookies «Lagring av opplysninger i brukers kommunikasjonsutstyr, eller å skaffe seg adgang til slike, er ikke tillatt uten at brukeren er informert om hvilke opplysninger som behandles, formålet med behandlingen, hvem som behandler opplysningene, og har samtykket til dette.»
- 30. Kunnskap enkeltpersoner fremdeles den viktigste faktoren for å unngå brudd
- 32. Art. 9. Særlige kategorier av personopplysninger 1. Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt.
- 33. Art. 10. Straffedommer og lovovertredelser Behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak på grunnlag av artikkel 6 nr. 1 skal bare utføres under en offentlig myndighets kontroll eller dersom behandlingen er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som sikrer nødvendige garantier for de registrertes rettigheter og friheter. Alle omfattende registre over straffedommer må bare føres under en offentlig myndighets kontroll.
- 34. 34
- 36. Det må finnes et behandlingsgrunnlag for hver enkelt personopplysning
- 37. Samtykke ”enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende” 37 Artikkel 6(1)(a) - ”Consent”
- 38. Avtale ”nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse” 38 Artikkel 6(1)(b) - ”performance of a contract”
- 39. Rettslig forpliktelse ”nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige” 39 Artikkel 6(1)(c) - ”legal obligation”
- 40. Vital interesse ”nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser” 40 Artikkel 6(1)(d) -”vital interests”
- 41. Offentlig myndighet ”nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt” 41 Artikkel 6(1)(e) -”official authority”
- 42. Berettiget interesse ”nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn” 42 Artikkel 6(1)(f) - ”legitimate interests”
- 43. Tredelt testing av berettiget interesse 1. Berettiget? 1. Hva består berettigelsen av? 2. Hvor viktig er fordelene for virksomheten? 2. Nødvendig? 1. Er behandlingen nødvendig for å oppnå formålet 3. Balanse 1. Er den registrertes interesse sterkere enn virksomhetens interesse?