Laster Hendelser

« All Hendelser

  • Beklager. Denne hendelse har allerede funnet sted.

Frokostseminar med direktør i Datatilsynet ; GDPR. Den nye Personopplysningsloven

30. august 2018 kl 09:00 til 10:30

Gratis

 Ikke gå glipp av dette!
Næringsrådet inviterer DEG
til viktig seminar

Bjørn Erik Thon er direktør i Datatilsynet. Han gjester Rakkestad den 30 august for å hjelpe oss med den nye personopplysningsloven. 

Ta personvern på alvor.

I en travel tid har direktør i Datatilsynet Bjørn Erik Thon takket ja til å komme til Rakkestad for å snakke om fakta og erfaringer rundt innføring av den nye personopplysningsloven.

Her kan du stille spørsmål og benytte en liten morgenøkt til å sikre at du har fått med deg det viktigste for deg som privatperson, bedriftseier eller ansatt.

NÅR: 30 august klokken 09.00

HVOR: Festsalen i Rakkestad.

Varighet: ca en time

Enkel bevertning- kaffe, te etc.

PÅMELDING: mailto:anja@rakkestadnaringsrad.no

_

 Gjester RNR
Faksimile RNR Nytt mai 2018_____________________________________

 

 

 

 

Noen fakta følger;  (Kilde Datatilsynet. www.datatilsynet.no)

Ny personopplysningslov 20. juli

Nyhet | Dato: 20.07.2018

Den nye personopplysningsloven trådte i kraft 20. juli 2018. Med dette gjennomføres EUs personvernforordning (GDPR) i Norge.

Stortinget vedtok i mai en ny personopplysningslov som gjennomfører EUs personvernforordning i Norge. Det ble i statsråd 15. juni besluttet at den nye personopplysningsloven trer i kraft samme dag som beslutningen som innlemmer forordningen i EØS-avtalen trer i kraft.

Nye rettigheter for borgere

Forordningen fører med seg nye rettigheter for enkeltpersoner.
Du finner en oversikt over disse rettighetene her

Du får blant annet rett til å motsette deg profilering begått av offentlige myndigheter, og til å motsette deg profilering for direkte markedsføring. Du får også rett til å klage på automatiserte avgjørelser som tas på bakgrunn av en profil som er utarbeidet om deg. Profiler skal ikke utarbeides på bakgrunn av sensitive opplysninger, hvis ikke den registrerte har samtykket eller slik profilering kan begrunnes med en særlig samfunnsinteresse som er hjemlet i lov.

Bedrifter får større ansvar for personvern

Virksomheter får flere tydelige plikter i det nye regelverket.
Dere finner en oversikt her

De får blant annet utvidet sin plikt til å selv vurdere personvernkonsekvenser ved behandling av personopplysninger. De får også plikt til å identifisere risikoreduserende tiltak. Kun i de tilfellene der risikoen ikke kan håndteres på en tilfredsstillende måte internt, skal de søke forhåndsgodkjenning fra nasjonale myndigheter (i Norge Datatilsynet). Innebygd personvern og personvern som standardinnstilling i applikasjoner blir lovpålagt.

Personvernombudet blir mer sentralt enn tidligere

Det vil bli mange flere personvernombud, fordi flere virksomheter enn i dag har fått plikt til å opprette ombud. Disse vil trenge personvernombud:

  1. Offentlige virksomheter
  2. Virksomheter som behandler sensitive personopplysningeri stor skala
  3. Virksomheter som systematisk overvåker europeiske borgere i stor skala

Norge kan også pålegge andre å ha personvernombud gjennom lovregulering. I store trekk blir oppgavene og forventningene til personvernombud uendret. Det presiseres i forordningsteksten at det er viktig at ombudene unngår interessekonflikt, og det kommer et eksplisitt krav om at bedriften skal legge til rette for at personvernombudene skal kunne få tid og rom til å gjøre en god jobb.

Databehandlere skal på lik linje med behandlingsansvarlige oppnevne personvernombud. De skal sørge for informasjonssikkerhet og dokumentere det, gjennomføre risikovurderinger.

Les mer om personverombudsordningen

Et klart språk og krav til åpenhet

Det er et viktig prinsipp i forordningen at informasjon om behandling av personopplysninger skal gis på en klar og tydelig måte, og ikke gjemmes bort i en personvernerklæring. Det kan se ut til at den registrerte har fått styrket sitt krav på åpenhet. Det er et viktig prinsipp at behandlingen skal for de registrerte fremstå som åpen og rimelig. Opplysningene om hvilke registreringer som gjøres, skal gis på en klar og tydelig måte, i lett forståelig språk. Informasjonen skal gis uten vederlag. Behandlingsansvarlige får på sin side en plikt til forsikre seg om at de henvender seg til rette vedkommende når de gir for eksempel elektronisk informasjon om behandlingene.

Plikter å samarbeide internasjonalt

Nasjonale datatilsynsmyndigheter får en plikt til å samarbeide og utveksle informasjon med hverandre. Samarbeidet skal inkludere utveksling av informasjon i konkrete saker.

 

Hva er personvern?

Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger.

Alle mennesker har en ukrenkelig egenverdi. Som enkeltmenneske har du derfor rett på en privat sfære som du selv kontrollerer, hvor du kan handle fritt uten tvang eller innblanding fra staten eller andre mennesker.

Dette prinsippet er blant annet forankret i Den europeiske menneskerettighetskonvensjonen (EMK), hvor det heter:

Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.

– EMK artikkel 8

Den 13. mai 2014 vedtok Stortinget å styrke vernet om den personlige integritet, ved å ta bestemmelsen om personvern inn i Grunnloven.

Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet.

– Grunnloven § 102

Viktig i et demokratisk samfunn

Personvern er ikke bare en viktig menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet og privatliv. Personvern er også viktig for å sikre felles goder i et demokratisk samfunn. Uten retten til å ha et privatliv vil det ikke være mulig for det enkelte menneske å skape seg et rom til å utvikle refleksjoner og vurderinger på et selvstendig grunnlag, uten å bli forstyrret eller kontrollert av andre.

Et dårlig ivaretatt personvern vil også sette demokratiet i fare ved at borgerne begrenser sin deltakelse i åpen meningsutveksling og politisk aktivitet. Den enkelte kan frykte at opplysninger om personlige forhold kan bli trukket frem og gjort til allmenn oppmerksomhet. Man kan også sette begrensninger på seg selv fordi man frykter at myndighetene registrerer og lagrer opplysninger om ens kommunikasjon med andre, ens ferdsel, interesser eller uttrykk for holdninger.

Retten til å bestemme over egne personopplysninger

Personvernbegrepet refererer ikke bare til vernet av privatlivets fred og den enkeltes personlige integritet. Begrepet innebærer i stor grad også vernet av enkeltpersoners rett til å ha innflytelse på bruk og spredning av personopplysninger om seg selv. Vi skal i størst mulig grad kunne bestemme over egne personopplysninger. Med de nye personvernreglene som er innført i hele EU/EØS fra 2018, har disse rettighetene blitt ytterlige styrket.

Les mer om hvilke rettigheter du har

Film om personvern for barn og unge (og andre)

Personvern er en grunnleggende rettighet – for alle. Vet barn og unge hvilke lover og regler som gjelder for deres eget personvern? Hva med deres foreldre? Se filmen dersom du vil vite mer om personvern på en enkel og humoristisk måte.

Før ei verksemd set i gang med å behandle personopplysningar, må det liggje føre eit eller fleire klart formulerte formål.

Ei verksemd kan aldri samle eller lagre personopplysningar utan eit formål. Dette vert slått fast i eit av personvernprinsippa i artikkel 5 i personvernforordninga. Personopplysningar skal berre nyttast for spesifikke, uttrykkelege, angitte og legitime formål.

Det at opplysningane kan vise seg å komme til nytte ein dag, er ikkje eit godt nok formål. Verksemda må ha eit reelt formål med opplysningane, og det må vere klart uttrykt og bestemt på førehand. Dette inneber at dersom verksemda ønskjer å bruke personopplysningar, må ho starte med å formulere formålet skriftleg først.

Når ein skal formulere formålet, er det viktig å vere konkret og open. Vide eller vage formuleringar er ikkje tillatne. Verksemda har plikt til å gje den einskilde informasjon om formålet med behandlinga av personopplysningar på ein forståeleg måte.

 

Døme:

  1. Ei foreining skriv at ho bruker personopplysningane til medlemane for administrasjon.Dette er for vagt. Foreininga kan til dømes i staden seie at formålet med personopplysningane er å fakturere medlemsavgifta, invitere medlemane til foreiningsmøte og dokumentere at verksemda ikkje juksar med medlemstala.
  2. Ein nettstad oppgjev at personopplysningane til brukarane kan brukast for å tilby relevant kommunikasjon og ei god brukaroppleving. Dette er ikkje i tråd med lova fordi det ikkje er klart nok kva nettstaden vil nytte personopplysningane til. I staden kan man til dømes seie at nettstaden analyserer kva brukaren klikkar på for å gje tilpassa marknadsføring og avdekkje kva for funksjonar som er mest brukte, dersom det er tilfellet.

Ein bør unngå å seie at opplysningar «kan» brukast til eit eller fleire formål. I staden bør verksemda seie når opplysningane faktisk vil bli brukte til dei oppgjevne formåla.

Formålet må sjølvsagt halde seg innanfor kva som er lovleg. Det inneber mellom anna at handsaminga må ha eit rettsleg grunnlag.

Bordet fangar

Det definerte formålet avgjer kva verksemda kan bruke opplysningane til seinare. Lova forbyr å bruke personopplysningar på måtar som ikkje er i samsvar med det opphavlege formålet.

Spørsmålet er derfor kva som er «i samsvar» med det opphavlege formålet. Her skal verksemda leggje vekt på

  • alle samband mellom formålet opplysningane vart samla inn for, og formålet for den tiltenkte behandlinga
  • i kva for samanheng opplysningane vart samla inn og forholdet mellom verksemda og den einskilde
  • arten av personopplysningane og kor sensitive dei er
  • dei moglege konsekvensane for den einskilde ved den vidare behandlinga av opplysningane
  • om det ligg føre tiltak for personvernet

Verksemda må òg sjå på kva rimelige forventingar den einskilde har om korleis opplysningane deira vil bli behandla.

Forbodet mot behandling som ikkje er i samsvar med det opphavlege formålet, gjeld ikkje behandling av personopplysningar for

  • arkivformål i offentleg interesse
  • vitskapelege og historiske forskingsformål
  • statistikkformål

Det må ligge føre passande personverngarantiar for desse typane behandling, i tråd med personvernforordninga artikkel 89.

Formålet avgjer lagringstida

Personopplysningalova seier at personopplysningar ikkje kan lagrast lenger enn det som er naudsynt for formålet. I praksis betyr dette at verksemda må fastsetje sletterutinar som sikrar at opplysningane blir sletta når det ikkje lenger er naudsynleg å ta vare på dei.

Ha behandlingsgrunnlag

All behandling av personopplysninger må ha et rettslig grunnlag for å være lov. Det betyr at virksomheten på forhånd må ha identifisert om det finnes et behandlingsgrunnlag. Hvis det ikke gjør det, er behandlingen ulovlig.

Det må finnes et behandlingsgrunnlag for behandling av hver enkelt personopplysning til hvert enkelt formål (se personvernforordningen artikkel 6). Dersom flere behandlingsgrunnlag kan passe, må virksomheten bestemme seg for ett per formål.

Virksomheten har også plikt til å informere den enkelte om hvilket grunnlag personopplysningene deres behandles på.

Aktuelle behandlingsgrunnlag:

  • Samtykke
  • Nødvendig for å oppfylle en avtale
  • Nødvendig for å oppfylle en rettslig plikt
  • Nødvendig for å beskytte vitale interesser
  • Nødvendig for å utføre en oppgave i offentlig interesse eller utøve offentlig myndighet
  • Nødvendig for å ivareta legitime interesser – interesseavveiing

Vi har laget en egen veileder der vi går gjennom de ulike behandlingsgrunnlagene og når de gjelder

Retting og sletting

Virksomheten har plikt til å legge til rette for at de registrerte får ivaretatt sine rettigheter slik som retting og sletting. Men den har også plikt til å vurdere dette av eget tiltak.

Virksomheter som behandler personopplysninger, må sørge for at opplysningene har god kvalitet og er korrekte. Det kommer klart frem i personvernprinsippene (se artikkel 5 i personvernforordningen). Der det er nødvendig må opplysningene holdes oppdatert. Dersom en virksomhet blir kjent med at personopplysninger ikke er korrekte, må man sørge for retting uten opphold selv om personen det gjelder ikke eksplisitt har bedt om det.

Plikten til å sørge for at opplysningene er korrekte, må sees i forhold til hva formålet med opplysningene er. Hvor omfattende tiltak man skal iverksette for å sikre at opplysningene er korrekte, kommer altså an på hva de skal brukes til. For eksempel kreves det mer når det er snakk om en pasientjournal enn når det er snakk om en kundeprofil.

Sletting av personopplysninger

Det er forbudt å oppbevare personopplysninger lenger enn det som er nødvendig for formålet de ble samlet inn for. Det vil si at når formålet er nådd, skal opplysningene slettes, selv om de som er registrert ikke har bedt om det. Virksomhetene må ha systemer og rutiner som sikrer at sletting blir gjennomført.

Virksomheten må også slette opplysningene av eget tiltak dersom behandlingen er basert på samtykke og enkeltpersoner trekker tilbake samtykket sitt, med mindre opplysningene samtidig behandles for andre formål basert på andre behandlingsgrunnlag.
Les mer om behandlingsgrunnlag og samtykke

Tilsvarende gjelder dersom de som er registrert protesterer mot behandlingen og virksomheten må ta protesten til følge.

Andre plikter

Når en virksomhet foretar retting og sletting, har den også plikt til å kommunisere dette til andre som har mottatt opplysningene.
Les mer om retten til retting 
Les mer om retten til sletting

Når det gjelder den enkeltes rett til å ikke være gjenstand for automatiserte individuelle avgjørelser, innebærer regelen at slike avgjørelser er forbudt med mindre det finnes et unntak, ikke at den enkelte selv må protestere mot denne formen for avgjørelser.
Les mer om rettigheter ved automatiserte avgjørelser

Etablere internkontroll

Virksomheter som behandler personopplysninger skal kunne dokumentere og demonstrere at de behandler personopplysninger i tråd med personvernprinsippene. Det gjøres ved å etablere og vedlikeholde tiltak for å sikre at personopplysninger behandles i samsvar med regelverket, det vil si en internkontroll.

Gjennom å ha god internkontroll og god informasjonssikkerhet sikrer virksomheten at den behandler personopplysninger lovlig, sikkert og forsvarlig. Vi har laget en veileder som gir en innføring i hva internkontroll handler om, hvordan man kan etablere og følge den opp.

Innholdet i veilederen

  • Om ansvarlighet, internkontroll og informasjonssikkerhet
  • Hvordan gjennomfører man internkontroll i praksis
  • Iverksette styringssystem for informasjonssikkerhet
  • Oppfølging og opplæring
  • Internkontrollens struktur

Maler og veiledere hos andre      Gå til veilederen

Detaljer

Dato:
30. august 2018
Tid
09:00 til 10:30
Kostnad:
Gratis
Hendelse Kategorier:
,
Hjemmeside:
https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/

Sted

Festsalen i Rakkestad (Kulturhuset)
Rakkestad, 1890 Norge
Hjemmeside:
https://www.facebook.com/teaterrakkerungene/

Arrangør

Rakkestad Næringsråd
Telefon:
90162516
Epost:
anja@rakkestadnaringsrad.no
Hjemmeside:
www.rakkestadnæringsråd.no