Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Personvernforordningen som ramme for forvaltningens digitale systemer

PublisertHans-Petter Helle Endret for 5 år siden

Liknende presentasjoner

Presentasjon om: "Personvernforordningen som ramme for forvaltningens digitale systemer"— Utskrift av presentasjonen:

1 Personvernforordningen som ramme for forvaltningens digitale systemer
Dag Wiese Schartum

2 Betydningen av personvernforordningen (PVF) for utvikling av rettslige beslutningssystemer (RBS)
Gjelder for «personopplysninger» (PO), dvs. alle opplysninger som direkte eller indirekte kan identifisere en fysisk person, jf. art. 4(1) Ved enkeltsaksbehandling vedr. innbyggere, vil den dominerende delen av opplysninger være «personopplysninger» Bestemmelsene om PO vil lett dominere, og også bli fulgt selv når enkelte opplysninger ikke er PO Behandling av PO er både aktuelt for aktiviteter som inngår i selve systemutviklingen (testing mv.) og for utforming av systemet (jf. «systemkrav» og «systembestemmelser» i pensum) Her opptar jeg meg med sist nevnte situasjon (systemutforming)

3 Spesielt aktuelle bestemmelser i PVF for utvikling av RBS
Aktuelle for «innebygging», jf. art. 25 og pensum kap. 9 Formål, virkeområde og definisjoner KAPITTEL I Alminnelige bestemmelser KAPITTEL II Prinsipper KAPITTEL III Den registrertes rettigheter KAPITTEL IV Behandlingsansvarlig og databehandler KAPITTEL V Overføring av personopplysninger til tredjeland eller internasjonale organisasjoner KAPITEL VI Uavhengige tilsynsmyndigheter KAPITEL VII Samarbeid og ensartet anvendelse KAPITEL VIII Rettsmidler, ansvar og sanksjoner KAPITEL IX Bestemmelser om særlige behandlingssituasjoner KAPITEL X Delegerte rettsakter og gjennomføringsrettsakter KAPITEL XI Avsluttende bestemmelser Prinsipper, rettslig grunnlag, formål, opplysningskvalitet BAs ansvar, DB-avtaler, IbP, sikkerhet, behandlingsproto-koll, PVkonsekvenser, forhåndsdrøfting, PVrådgiver Viktig som ramme dersom overføring til land utenfor EØS

4 Behandlingsansvarlig, art. 4(7) og art. 26 (m.fl.)
«behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett» Det skal alltid være minst én behandlingsansvarlig (BA) Er det to eller flere behandlingsansvarlige, skal de klargjøre ansvaret seg imellom «på en gjennomsiktig måte» (art. 26(1)) Ordningen skal gjøres tilgjengelig for registrerte personer Registrerte personer kan velge hvilken av de samarbeidende BA de vil forholde seg til Selv om det ikke er overlappende behandlingsansvar, bør samarbeidende BA klargjøre relasjonen (mitt råd)

5 Databehandler, art. 4(8) og art. 28 (m.fl.)
Eksemplifisering, neppe selvstendig betydning «databehandler» en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlig «Databehandler» (DB) er en type oppdragstaker som behandler PO på BAs vegne Bruk av DB kan både være aktuelt under systemutvikling og ved bruk av systemet Bruk av DB gir plikt til å avtaleregulere og til å fastsette instruks fra BA til DB Det er adgang til å inngå flere DB-avtaler, også i flere «lag» hvis BA aksepterer det Ved likeverdig samarbeid er det viktig å avgjøre om det er to (eller flere) BA, eventuelt om én eller flere er DB Ved profesjonelle DB-avtaler er det ofte DB som har mest kompetanse og innflytelse

6 Rettslig grunnlag for behandling av PO
Ethvert RBS må minst ha ett rettslig grunnlag, og grunnlaget skal dekke alle sider ved behandlingen Må skjelne mellom rettslig grunnlag etter art. 6 og art. 9 Det meste av behandlingen av PO i et RBS vil ha rettslig grunnlag i samsvar med art. 6, og alternativet «utøve offentlig myndighet som den behandlingsansvarlige er pålagt», jf. art. 6(1)(e) Dekker i alle fall alle tilfeller av enkeltvedtak Norge kan opprettholde eller innføre mer spesifikke bestemmelser i nasjonal rett, jf. art. 6 (2) Det rettslige grunnlaget skal fastsettes i medlemsstatens nasjonale rett (i praksis, lov eller forskrift), og slike bestemmelser kan klargjøre en rekke forhold vedr. behandlingen, jf. art. 6(3) Behandling av «sensitive» personopplysninger er i utgangspunktet forbudt, jf. art. 9, Må ha eget rettslig grunnlag for «sensitive» personopplysninger, bl.a.: Behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav … Behandlingen er nødvendig for arkivformål i allmennhetens interesse … Samtykke I tillegg til de grunnlag som dekker mesteparten av PO-behandlingen i systemet, kan andre, supplerende grunnlag være nødvendige I følge art. 24(1) skal BA «sikre og påvise» at kravene i PVF blir etterlevet. Det er derfor grunn til å dokumentere rettslig grunnlag og begrunnelsen for dette

7 Formål med behandlingen av PO
Til hver behandling av PO skal det minst være ett formål, jf. art. 5(1)(b) Formålene skal være spesifikke, uttrykkelig angitte og berettigede Det er ingen begrensninger i antallet formål til hver behandling Hvert formål innebærer imidlertid krav til opplysningskvalitet, lagringstid mv. Med flere formål vil derfor det med strengest krav i praksis gjelde for alle formål Ved offentlig myndighetsutøvelse skal formålet være nødvendig for å utøve offentlig myndighet som den behandlingsansvarlige er pålagt, jf. art. 6(3) Opplysninger må ikke viderebehandles på en måte som er uforenlig med fastsatte formål For å vurdere hva som er «uforenlig» skal en bl.a. legge vekt på momentene i art. 6(4) bokstavene a – e Det kan likevel skje viderebehandling for arkivformål i allmennhetens interesse Viderebehandling for arkivformål krever «nødvendige garantier»/tiltak i samsvar med artikkel 89 nr. 1

8 Opplysningskvalitet Opplysningskvalitet må både ivaretas i selve systemløsningen, og ved den løpende bruken av systemet Art. 5(1)(c) og (d) er eneste bestemmelser i PVF som gjelder opplysningskvalitet: «Personopplysninger skal c) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering») d) være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres («riktighet»)» Bestemmelsene må ses i sammenheng med forpliktelsene i art. 24(1), jf. «… gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning.» «Tekniske tiltak» peker her i retning av art. 25 (IbP) (og kap. 9 i pensum) «Organisatoriske tiltak» (jf. også her, art. 25), kan f.eks. begrunne sikring av POkvalitet som egen aktivitet i prosjektgruppen, utpeking av spesielt ansvarlig person mv. Tiltakene kan neppe være begrenset til «teknologiske» og «organisatoriske» tiltak i streng forstand (også juridiske, økonomiske og pedagogiske tiltak vil ofte være aktuelle) F.eks. kan avtaleregulering med behandlingsansvarlige som overfører opplysninger til vårt system være aktuelt juridisk tiltak Bestemmelsene i PVF om POkvalitet mv. må sammenholdes med fvl § 17

9 Automatiserte individuelle avgjørelser, herunder profilering (art. 22)
Automatiserte individuelle avgjørelser, herunder profilering, er spesielt regulert i fire bestemmelser Hovedbestemmelsen er art. 22, og gjelder rett til ikke å være gjenstand for slik behandling I samsvar med art. 13(2)(f) og 14(2)(g) skal det gis informasjon om automatiserte individuelle avgjørelser, herunder profiler Det skal det dessuten gis innsyn om forekomsten av automatiserte avgjørelser, herunder profiler, i samsvar med art. 15(1)(h) Det forutsettes at avgjørelser utelukkende er basert på automatisert behandling, Både innhenting av beslutningsgrunnlag og behandlingen av dette grunnlaget må trolig være automatisert Hvis personer reelt sett kan påvirke resultatet, vil det trolig ikke regnes som «utelukkende … automatisert behandling» og at behandlingen har rettsvirkning for den registrerte eller i betydelig grad påvirker vedkommende I offentlig forvaltning vil dette dekke enkeltvedtak, og (trolig) mange prosessledende avgjørelser, f.eks. automatiserte prøving av formelle inngangskrav, jf. avsnitt i pensum Art. 4(4) «profilering» enhver form for automatisert behandling av personopplysninger som innebærer å bruke person opplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser

10 Gjelder «rett til ikke å være gjenstand for» automatiserte individuelle avgjørelser … (art. 22)
Art. 22 forutsetter tre situasjoner: Når helt automatisert behandling ikke kan skje (hovedbestemmelsen, art. 22(1)) At helt automatisert behandling likevel kan skje HVIS behandlingen er nødvendig for å inngå eller oppfylle en avtale mellom den registrerte og en behandlings- ansvarlig (a), eller er basert på den registrertes samtykke (c) OG behandlingsansvarlig har fastsatt egnede tiltak for å beskytte den registrerte […], minst retten til menneskelig inngripen fra den behandlingsansvarlige, og å uttrykke sine synspunkter, og til å bestride avgjørelse At helt automatisert behandling likevel kan skje HVIS behandlingen er tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt OG det er fastsatt egnede tiltak for å verne den registrertes rettigheter … Sensitive opplysningstyper kan bare inngå i behandling som i 1) – 3) ovenfor, hvis behandlingen av sensitive opplysninger er basert på samtykke, eller behandlingen er nødvendig av hensyn til viktige samfunnsinteresser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett, og det er innført egnede tiltak for å verne den registrerte …

11 Sikkerhet ved behandlingen
Merk at forordningen ikke bruker «informasjonssikkerhet», «datasikkerhet» e.l., men «sikkerhet ved behandlingen» og «personopplysningssikkerhet». Signaliserer trolig en vid innfallsvinkel (Fortalen, 49 bruker «nett- og informasjonssikkerheten», Ft 83 bruker også «datasikkerheten») Forordningen har ingen definisjon av sikkerhetsbegrepene som benyttes Det er imidlertid mulig å konstruere et begrep på grunnlag av art. 5 og 32

12 Nærmere om den underliggende forståelsen av «sikkerhet ved behandlingen»
5(1)(f): «behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og fortrolighet»)» 32(1)(a – d) angir tiltak: pseudonymisering og kryptering av personopplysninger, fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene, gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse, prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er. Oppsummert tilsvarer dette trolig dagens overordnede krav (konfidensialitet, integritet og tilgjengelighet), men forordningen er mer spesifikk, utelukket neppe sikkerhetshensyn eller –tiltak som gjelder i dag

13 Nærmere om organiseringen av sikkerhetsarbeidet
Både behandlingsansvarlige (BA) og databehandler (DB) har ansvaret for sikkerheten (art. 32(1)) BA skal inngå avtale med DB, og i denne skal ansvaret for sikkerhet reguleres (28(3)(c), (f), jf. også (b) og (g)) Både BA og DB skal føre «behandlingsprotokoller», og der skal sikkerhetstiltakene om mulig beskrives (art. 30(1)(g) og (2)(d)) Både BA og DB skal iverksette tekniske og organisatoriske tiltak, jf. tilsvarende generelle krav etter art. 24 (jf. forholdet mellom pol §§13 og 14) Kravene om tiltak i art. 32(1) overlapper også med art. 25(1) om innbygget personvern Heller ikke her kan en utelukke behov for juridiske, økonomiske og pedagogiske tiltak, selv om slike ikke er nevnt Kravet til organisatoriske tiltak innebærer at BA og DB må organisere Eget sikkerhetsarbeid Hvordan samarbeidet mellom BA og DB skal organiseres Organisering innebærer krav til tildeling av roller og rutiner mv

14 Nærmere om gjennomføringen av sikkerhetsarbeidet
Behandlingssikkerhet må både ivaretas i selve systemløsningen, og ved den løpende bruken av systemet Både art. 32 (sikkerhet) og art. 35 (PVkonsekvenser) forutsetter risikovurdering (RV) Det er ikke fastsatt noe om hvordan den grunnleggende RV skal utføres, noe som åpner for ulike typer forsvarlig metodikk Fortalen sier noe om dette: «76) Hvor sannsynlig og alvorlig risikoen for den registrertes rettigheter og friheter er, bør fastslås ut fra behandlingens art, omfang, formål og sammenhengen den utføres i. Risikoen bør vurderes ut fra en objektiv vurdering der det fastslås om behandlingen av personopplysningene innebærer en risiko eller en høy risiko.» Trolig krav til bruk av analysemetoder; «synsing» holder neppe Ved antatt høy risiko, gjelder det i tillegg nærmere prosedyrer i hht art. 35

15 Kort om forholdet mellom art. 32 og art. 35
Risikovurderingen etter art. 32 gjelder «sikkerhet ved behandlingen» Risikovurderingen etter art. 35 gjelder «hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet» Art. 35 krever trolig en bredere vurdering av risiko enn etter art. 32 Innebærer i så fall at det i utgangspunktet er tale om to separate vurderinger (dvs. art. 35 må «starte i bonn»)

Laste ned ppt "Personvernforordningen som ramme for forvaltningens digitale systemer"

Liknende presentasjoner

Personopplysningsloven: -innhold, styrker og svakheter

Personopplysningsloven: -innhold, styrker og svakheter
Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger
Prof. Dag Wiese Schartum, AFIN

Prof. Dag Wiese Schartum, AFIN
Personopplysningslovens formål, grunnbegreper og virkeområde

Personopplysningslovens formål, grunnbegreper og virkeområde
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)

Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)
Jus som ramme for beslutningssystemer i forvaltningen Aktøranalyse og systemavgrensing Dag Wiese Schartum.

Jus som ramme for beslutningssystemer i forvaltningen Aktøranalyse og systemavgrensing Dag Wiese Schartum.
Personopplysningslovens formål og grunnleggende begreper

Personopplysningslovens formål og grunnleggende begreper
Om forholdet mellom rettssikkerhet og personvern i elektronisk forvaltning Dag Wiese Schartum, AFIN.

Om forholdet mellom rettssikkerhet og personvern i elektronisk forvaltning Dag Wiese Schartum, AFIN.
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Personopplysningsloven Morten S Hagedal

Personopplysningsloven Morten S Hagedal
Dag Wiese Schartum, AFIN

Dag Wiese Schartum, AFIN
Krav til rettslig grunnlag for behandling av personopplysninger

Krav til rettslig grunnlag for behandling av personopplysninger
Dag Wiese Schartum, AFIN Innsynsrettigheter og plikt til å gi informasjon til registrerte.

Dag Wiese Schartum, AFIN Innsynsrettigheter og plikt til å gi informasjon til registrerte.
Dokumentasjon av rettslige beslutningssystemer Dag Wiese Schartum, AFIN.

Dokumentasjon av rettslige beslutningssystemer Dag Wiese Schartum, AFIN.
Krav til rettslig grunnlag for behandling av personopplysninger Dag Wiese Schartum.

Krav til rettslig grunnlag for behandling av personopplysninger Dag Wiese Schartum.
Dag Wiese Schartum, AFIN

Dag Wiese Schartum, AFIN
Dag Wiese Schartum, AFIN

Dag Wiese Schartum, AFIN
Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN

Risikovurdering i UDI; DRI 3001 Dag Wiese Schartum, AFIN
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum.

Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum.

Liknende presentasjoner

Annonser fra Google