Tilbake Nyhetsbrev om GDPR / 2019
Tilbake
Gjeldende personvernregler – oppfyller virksomheten kravene?
Den nye personopplysningsloven fra 2018, som er basert på EU’s personvernforordning (GDPR), regulerer all bruk og behandling av personopplysninger i EU og EØS området. Loven har ufravikelige regler som berører alle norske private og offentlige virksomheter. GDPR setter strenge krav til hvordan personopplysninger kan brukes, oppbevares etc. Bedrifter som behandler persondata har i kraft av de nye reglene fått et større ansvar enn tidligere. Spørsmålet er derfor om din bedrift har satt seg inn i regelverket og implementert de nye GDPR kravene i sin daglige virksomhet?
Dette nyhetsbrevet tar for seg forhold ved GDPR som din bedrift bør være opptatt av. Bakgrunnen er såre enkel: strømmen av persondata blir stadig viktigere for verdensøkonomien. GDPR er virkemiddelet for å sikre tilliten til vår datadrevne økonomi. Hvis din virksomhet ikke klarer å sikre persondata slik som GDPR krever, da kan dette medføre betydelig tap av tillit som igjen kan lede til omsetningstap og bøter. Fokus og bevissthet rundt etterlevelse av regelverket er med andre ord helt sentralt for å lykkes i en datadrevet økonomi.
Nytt ved innføringen av GDPR
Den nye loven viderefører langt på vei de gamle reglene om personvern, men inneholder også mye nytt. Her er noe sentrale nyheter:
- Det er kun tillatt å behandle personopplysninger der det finnes et tydelig og spesifisert formål. Hvis opplysningene skal benyttes til noe annet enn det opprinnelige formålet, da må det innhentes samtykke fra den som personopplysningene gjelder, med mindre behandlingen har lovhjemmel.
- Behandlingsansvarlige utenfor EU/EØS-området er bundet av GDPR ved salg av varer og tjenester innenfor EU/EØS området. Dette gjelder også behandlingsansvarlige utenfor området som overvåker borgere innenfor EU/EØS.
- De nasjonale datamyndighetene plikter å samarbeide med hverandre og skal utveksle informasjon i aktuelle saker.
- Nasjonale datamyndigheter får adgang til å ilegge sanksjoner ved brudd på GDPR. Gebyret kan utgjøre inntil fire prosent av virksomhetens årlige, globale omsetning.
- Rettsvernet for enkeltpersoner er styrket ved innføring av: Rett til å klage på automatiserte avgjørelser basert på personlige profiler, rett til å motsette seg profilering for direkte markedsføring, rett til å nekte utarbeidelse av profiler basert på sensitive persondata med mindre det er gitt samtykke/ foreligger lovhjemmel.
- Personvernombudet får en mere sentral posisjon og reglene vil også gjelde for databehandlere. Offentlige virksomheter, virksomheter som behandler sensitive personopplysninger i stor skala og virksomheter som overvåker EU/EØS borgere skal ha personvernombud.
- Virksomhetene som behandler persondata får større ansvar: Plikt til å vurdere personvernkonsekvensene og identifisere risikoreduserende tiltak. Det er nå lovpålagt med såkalt “innebygd personvern” og personvern som standardinnstilling i alle applikasjoner.
- Kravene til personvernerklæring blir skjerpet: informasjonen om behandlingen må gis på en klar og tydelig måte og det må fremgå tydelig hvilke opplysninger som registreres. Den behandlingsansvarlige skal sikre seg at all utveksling av elektronisk informasjon bare skjer med rette vedkommende.
- Ved avvik er rapporteringsplikten til Datatilsynet utvidet i forhold tidligere regler.
- Rett til dataportabilitet: når behandlingsgrunnlaget er samtykke/avtale kan den registrerte kreve at persondata overføres til annen behandlingsansvarlig
Grunnleggende prinsipper for innsamling av persondata
Et sentralt utgangspunkt for GDPR er den europeiske menneskerettighetskonvensjonen (EMK). EMK art. 8 beskytter borgernes rett til respekt for privatliv, familieliv, hjem og korrespondanse. Dette er grunnleggende rettigheter og formålet er å sikre alle borgere rom og respekt for sosiale og profesjonelle forhold både i det private og det offentlige. Dette har resultert i følgende prinsipper for innsamling av persondata nedfelt i GDPR artikkel 5 og forklart med stikkord oversikten nedenfor.
STIKKORDKOMMENTAR
Lovlighet
Behandlingen må ha et rettslig grunnlag dvs. følge legalitetsprinsippet.
Rettferdighet
Det må være rimelig sammenheng mellom innsamlingen av persondata og formålet som dataene skal brukes til.
Åpenhet
Behandlingen skal være forståelig og forutsigbar for den som registreres og slik at formålet kommer klart frem. Retten til å bli informert.
Formål
Persondata kan bare samles inn til klart angitte, bestemte og saklige formål. Bruken må være i overenstemmelse med formålet. Ny bruk krever nytt formål, som forutsetter samtykke.
Dataminimering
Innsamlingen skal begrenses til det som er adekvat, relevant og nødvendig for behandlingsformålet. Det man ikke trenger skal slettes.
Nøyaktighet
Opplysningene skal være korrekte og oppdaterte hvilket forutsetter rett til innsyn og retting.
Lagringstid
Opplysningene skal ikke oppbevares lenger enn formålet tilsier.
Integritet
Opplysningene skal sikres mot tap, endringer eller ødeleggelse.
Konfidensialitet
Opplysningene skal sikres mot uautorisert eller ulovlig innsyn og behandling.
Avvik og sikkerhetsbrudd kan bli kostbart
Brudd på personopplysningssikkerheten foreligger dersom det oppstår “utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført lagret eller på annen måte behandlet”. Virksomheten har “uten ugrunnet opphold” plikt til å melde avvik til Datatilsynet og den registrerte. Manglende melding og selve avviket kan medføre overtredelsesgebyr. Datatilsynet utstedte i 2018 gebyr i 13 avvikssaker og gebyret varierte fra kr. 75000 til 800 000. I en avgjørelse om overtredelsesgebyr fra mars 2019 ble Bergen kommune pålagt å betale Kr. 1,6 millioner som følge av at filer med 35 000 brukernavn og passord hadde ligget åpent tilgjengelig for elever. Nylig har Datatilsynet i England varslet et gebyr på GBP 183 millioner med bakgrunn i et dataangrep som British Airways meldte i september 2018.
Datatilsynet har i sin årsrapport for 2018 varslet at gebyrene “vil bli flere og høyere enn før” og skriver at dette kan medføre “enda større rettsliggjøring av personopplysningsvernet”. Det er videre grunn til å forvente at Datatilsynet i tiden fremover vil øke gjennomføringen av antallet stedlige og brevlige tilsyn og at risikoen for oppdagelse av avvik dermed vil øke. Datatilsynet gjennomførte 196 tilsyn i 2018.
Avvik ved Heathrow Airport – behov for rutiner og opplæring
Det britiske Datatilsynet (ICO) har, basert på de GDPR, nylig ilagt Heathrow Airport (HAL) et overtredelsesgebyr på GBP 120 000 på grunn av mangelfull datasikkerhet. Avviket skjedde ved at en person fant en UBS-nøkkel (bærbar minnepinne) i Kilburn (vest London) som blant annet inneholdt en treningsvideo der personopplysninger knyttet til HAL i form av personnavn, passnummer, fødselsdato, telefonnummer, nasjonalitet mv ble vist i en kort sekvens (utgjorde ca. 1 % av innholdet). HAL sin egen undersøkelse viste at innholdet på minnepinnen hadde blitt lastet opp av en ansatt medarbeider som drev sikkerhetsopplæring og som hadde mistet minnepinnen på vei til eller fra jobben. Videoen var relevant for medarbeiderens arbeide, men HAL var ikke kjent med opplastingen på minnepinnen. Ved ileggelse av gebyret ble det av ICO blant annet lagt vekt følgende:
- UBS nøkkelen var ikke kryptert eller hadde passordbeskyttelse.
- HAL hadde ikke truffet nødvendige sikkerhetsforanstaltninger for å motvirke bruk av personlige hjelpemidler til kopiering av persondata.
- HAL hadde ikke sørget for nødvendig opplæring i relasjon til databeskyttelse og informasjonssikkerhet. Det ble ansett som et skjerpende moment at kun 2 % av de ansatte hadde mottatt opplæring. Tallet var det laveste som ICO hittil hadde erfart datasikkerhet skulle vært høyere prioritert gitt “industry and personal data involved”.
- HAL hadde ikke på plass rutiner som sikret etterlevelse av eksisterende regler knyttet til “use of removeable media”.
- Det var ingen opptegnelser eller kontroll av antall enheter som var i bruk og inneholdt persondata.
- Bruken av flyttbare enheter uten relevant sikring var imot interne regler, men likevel utbredt i hele organisasjonen hvilket HAL var kjent med uten å treffe tiltak.
Ny dom fra EU-domstolen om felles behandlingsansvar
Personvernforordningen slår fast at to eller flere behandlingsansvarlige kan ha et felles behandlingsansvar hvis de i felleskap beslutter formålet og de avgjørende midlene i behandlingen. EU-domstolen avsa i juli 2019 en dom som får konsekvenser for alle norske nettsteder som bruker Facebooks Like-knapp og liknende “plugins”.
Saken gjaldt en nettbutikk, som hadde implementert en Facebooks Like-knapp som, uavhengig av om brukeren klikket på knappen, straks sendte data til Facebook når man besøkte nettstedet. Domstolen tok stilling til hvilket ansvar nettbutikken hadde for denne behandlingen av personopplysninger og kom frem til at nettstedet og Facebook har felles behandlingsansvarlig, selv om nettstedet ikke har adgang til dataene. Det felles behandlingsansvaret dekker innsamlingen og overføringen av personopplysninger til Facebook, men ikke hva Facebook senere gjør med dataene.
Datatilsynets foreløpige vurdering “er at i alle fall offentlige nettsteder må be om gyldig samtykke før overføring av personopplysninger gjennom plugins til Facebook og liknende medier.” For andre nettsteder mener Datatilsynet i sin kommentar til dommen at “det er ikke usannsynlig at også private nettsteder må ha forutgående samtykke.” En annen konsekvens er at de behandlingsansvarlige må avtale en ordning som fordeler det respektive ansvaret for etterlevelse av GDPR. Avtalen må være på plass før “plugin-en” kan brukes.
Ekstern revisjon for å sikre overholdelse av GDPR?
Den behandlingsansvarlige skal sørge for implementering av passende tekniske og organisatoriske sikkerhetsforanstaltninger som ivaretar GDPR. Regelverket er dog omfangsrikt og komplisert slik at mulighetene for å trå feil er mange. Personvernrådet i EU (den såkalte WP 29-gruppen) har utgitt en omfattende uttalelse knyttet til sikkerhet og risiko ved cloud computing. Her anbefales blant annet at den behandlingsansvarlige benytter en uavhengig tredjepart til å foreta gjennomgang og kontroll av perondatasikkerheten. Slik revisjon kan være et velegnet middel for å kvalitetsikre og dokumentere egen løsningen.
Advokatfirma Forsberg DA kan bistå med slik revisjon og samarbeider i den forbindelse med velkvalifisert sivilingeniør med IKT som spesialfelt.