Artikkel 29-gruppen – nye uttalelser til GDPR

FCG – YOUR INNOVATIVE PARTNER FOR FINANCIAL COMPLIANCE
FCG INSIGHT
Artikkel 29-gruppens arbeidsplan og 2017-uttalelser om
dataportabilitet, personvernombud og ledende tilsyn
No.4
INSIGHT. A PUBLICATION BY FCG
.
1
Artikkel 29-gruppen har lagt frem sin arbeidsplan
for 2017 og gitt veiledende uttalelser om sentrale
prinsipper i GDPR
Dataportabilitet
I forbindelse med den nye personvernforordningen 1 (GDPR), har Artikkel 29gruppen2 lagt frem sin arbeidsplan for 2017.
Arbeidsplanen viser at de vil fortsette
arbeidet med å avklare innholdet i og
etterlevelsen av bestemmelsene i GDPR ved
å gi veiledende uttalelser.
Artikkel 29-gruppens «Guidelines on the
right to data portability» gir retningslinjer
for tolkningen og anvendelsen av artikkel 20
i GDPR. Retten til dataportabilitet er en av
nyhetene
i
GDPR.
Dataportabilitet
innebærer dels at den registrerte har rett til
å få tilgang til sine personopplysninger og
dels at vedkommende har rett til å få dem
overført til ny behandlingsansvarlig. I
uttalelsen er det klargjort hva som ligger i
denne
rettigheten,
hvilke
personopplysninger som omfattes og hvordan
retten til dataportabilitet skiller seg fra
retten til å få tilgang til personopplysninger,
samt hvordan den behandlingsansvarlige
skal oppfylle kravet rent teknisk.
Det er nylig gitt uttalelser om
dataportabilitet 3, personvernombud 4 og
ansvarlig tilsynsmyndighet 5. I uttalelsene
tydeliggjør arbeidsgruppen innholdet i
kravene som stilles i GDPR. De gir også
anbefalinger for hvordan kravene bør
implementeres og praktiseres. I tillegg er det
utarbeidet FAQer, oversikt over ofte stilte
spørsmål til hvert av emnene. Uttalelsene er
ikke bindende, men utgjør EUs anbefaling til
hvordan de nasjonale datatilsynene skal
forholde seg til, eller arbeide med ulike tema.
De er derfor nyttige verktøy og en
gladmelding for alle virksomheter som
berøres av det nye regelverket.
Retten til dataportabilitet gjør det mulig for
den registrerte å overføre og laste ned
personopplysninger direkte, for eksempel
fra applikasjonsprogrammeringsgrensesnitt
(API). For at den registrerte skal ha rett til
dataportabilitet må tre kumulative vilkår
være oppfylt. For det første må
personopplysningene
behandles
automatisert og grunnlaget for behandlingen
være samtykke fra eller avtale med den
registrerte.
I det følgende vil vi gi en kort oversikt over
veiledningene som er gitt så langt i år.
Avslutningsvis oppsummerer vi arbeidsplanen for 2017 og hvilke veiledninger vi kan
vente oss de kommende månedene. FCG vil
publisere sammendrag av de veiledende
uttalelsene etterhvert som de kommer.
For det andre må personopplysningene
gjelde den registrerte, og den registrerte har
1 Regulation (EU) 2016/679 of the European
Parliament and of the Council of 27 April 2016 on the
protection of natural persons with regard to the
processing of personal data and on the free movement
of such data, and repealing Directive 95/46/EC
(General Data Protection Regulation
2 Artikkel 29-gruppen ble etablert gjennom artikkel 29
i direktiv 95/46/EG (personverndirektivet).
Arbeidsgruppen er EU-kommisjonens rådgivende
organ i personvernspørsmål. Når
personvernforordningen (GDPR) trer i kraft vil
gruppen endre navn til European Data Protection
Board (EDPB). Det norske navnet blir
personvernrådet.
3 Guidelines on the right to data portability, December
13th 2016
4 Guidelines on Data Protection Officers (‘DPOs’),
December 13th 2016
5 Guidelines for identifying a controller or processor’s
lead supervisory authority, December 13th 2016
INSIGHT. A PUBLICATION BY FCG
.
2
overvåke personer regelmessig, systematisk,
og i stort omfang.
selv gjort dem tilgjengelig for den
behandlingsansvarlige.
Personopplysningene regnes for å være gjort
tilgjengelig når den registrerte aktivt gir
opplysningene, eller når det er et resultat av
en registrerts handlinger i forbindelse med
avtaleinngåelse. Analyser av en registrerts
adferd, for eksempel kredittvurdering,
omfattes ikke. Dessuten må en overføring av
data ikke påvirke tredjepersons data. For
eksempel ved at den registrertes
opplysninger er en del av et større datasett
som ikke kan skilles ut.
Artikkel 29-gruppen anbefaler at personvernombud oppnevnes, uavhengig av om
plikten til å oppnevne personvernombud i
GDPR gjør seg gjeldende for virksomheten.
Videre er det uttalt at virksomheter som ikke
åpenbart faller innunder de gruppene som
etter forordningen plikter å ha personvernombud, skal foreta en konkret vurdering
av om dette bør gjøres. Vurderingen skal
dokumenteres.
Dersom
virksomheten
bestemmer seg for å utnevne personvernombud, gjelder kravene til personvernombudsrollen i forordningen som om
virksomheten var pliktig til å utnevne
personvernombud. Det understrekes også at
personvernombudet kan være en tredjepart
og at det viktigste er at personvernombudet
har tilstrekkelig kunnskap og kompetanse til
å utføre oppgaven på en tilfredsstillende
måte. Artikkel 29-gruppen understreker at
personvernombudet ikke er personlig
ansvarlig for mangelfull etterlevelse av
forordningen. Ansvaret for dette påhviler
virksomheten som behandlingsansvarlig.
I uttalelsen er det videre anbefalt at
behandlings-ansvarlige
implementerer
verktøy som gjør det mulig for den
registrerte å velge hvilke opplysninger han
eller hun vil ha tilgang til, eller overføre med
grunnlag i retten til dataportabilitet.
Alle registrerte skal også informeres om sin
rett til dataportabilitet på en klar, tydelig og
ikke villfarende måte.
Personvernombud
Artikkel 29-gruppens «Guidelines on Data
Protection Officers (‘DPOs’)» omhandler
plikten til å opprette personvernombud i
artikkel 37 og de nærmere bestemmelsene
om blant annet ombudets rolle og oppgaver i
artikkel 38 og 39 i GDPR.
Ledende tilsynsmyndighet
GDPR gir regler for grenseoverskridende
behandling av personopplysninger og
hvilken
tilsynsmyndighet
som
har
tilsynskompetanse for den konkrete
behandlingen.
Artikkel
29-gruppens
«Guidelines for identifying a controller or
processor’s lead supervisory authority»
angir hvordan man skal avgjøre hvilken
tilsynsmyndighet
den
behandlingsansvarlige eller databehandleren skal
forholde seg til.
Dagens ordning med personvernombud er
frivillig. Når GDPR trer i kraft vil flere
virksomheter være forpliktet til å ha
personvernombud. Plikten gjelder for
offentlige virksomheter (med unntak av
domstoler), virksomhet hvis kjerneaktivitet
består i å overvåke personer regelmessig,
systematisk, og i stort omfang, samt
virksomheter som behandler sensitive
personopplysninger i stort omfang. I
uttalelsen er det tydeliggjort hvordan
kravene skal tolkes, for eksempel at
personopplysningsbehandling i banker og
forsikringsforetak
kan
være
typer
virksomheter hvis kjerneaktivitet består i å
Hovedregelen er at den grenseoverskridende
behandlingen faller inn under tilsyn fra én
tilsynsmyndighet,
«non
stop
shopprinsippet». Denne tilsynsmyndigheten blir
primæransvarlig
for
den
grenseoverskridende behandlingen og skal
samordne ressurser med andre berørte
tilsynsmyndigheter. I uttalelsen er det
INSIGHT. A PUBLICATION BY FCG
.
3
Kommende veiledninger i 2017
forklart hvordan foretak skal identifisere
hvilken tilsynsmyndighet som er ansvarlig
for dets grenseoverskridende behandling av
personopplysninger;
Artikkel 29-gruppen jobber for tiden med
flere uttalelser til GDPR og har i
arbeidsplanen uttalt at de vil gi veiledende
uttalelser om de følgende bestemmelsene:
Det første steget er å avgjøre om det skjer
grenseoverskridende
behandling
av
personopplysninger.. For at behandlingen
skal anses for å være grenseoverskridende,
må personopplysningene enten behandles i
ulike medlemsland, ha vesentlig påvirkning
for registrerte personer i mer enn ett
medlemsland, eller behandlingsform, mv.
må bestemmes av en del av virksomheten i
ett annet medlemsland. Hvilken tilsynsmyndighet som skal være ledende, vil
avhenge av hvor virksomheten har sin
hovedetablering. I uttalelsen er det også gitt
retningslinjer for hvilken tilsynsmyndighet
som skal være ledende dersom flere
tilsynsmyndigheter peker seg ut som
aktuelle og hvilke vurderinger virksomheten
må foreta. Det er i foretakets interesse å
sikre seg at de henvender seg til riktig
tilsynsmyndighet for eksempel ved melding
om avvik. Bevisbyrden for hvilken
tilsynsmyndighet som er ledende, påhviler
virksomheten.
Veiledning om personvernsertifisering –
artikkel 42 og 43. Artikkel 29-gruppen vil
beskrive hvordan tilsynsmyndighetene skal
sertifisere at virksomheter eller offentlige
organer oppfyller forordningens krav, og
hvordan den skal avgjøre om en tredjepart er
kompetent til å foreta sertifiseringen.
Veiledning om vurdering av personvernkonsekvenser (Data Protection Impact
Assessment - DPIA) etter artikkel 35, der det
behandles personopplysninger med stor
risiko for registrertes rettigheter.
Veiledning om en enhetlig samkjøring av
ileggelse av administrative sanksjoner etter
artikkel 83 og 84, derunder når bøter skal
brukes og når andre sanksjoner bør benyttes
i tillegg eller i stedet for bøter. Artikkel 29gruppens skal også komme med en felles
metode for beregning av bøter.
Beskrivelse av oppgavene og arbeidsmåten
til Personvernrådet, som blant annet skal
løse tolkningsstrid mellom de nasjonale
europeiske tilsynsmyndighetene. Tilsynets
opprettelse, oppgaver, og kompetanse, m.v.
er regulert i artikkel 68 flg.
Artikkel 29-gruppens uttalelser har vært på
høring i januar. Uttalelsene med tilhørende
spørsmål og svar finner du ved å følge disse
lenkene:
Dataportabilitet
Veiledning om «one-stop-shop»-prinsippet,
altså at ett datatilsyn skal være
hovedkontakt for henvendelser fra
registrerte, virksomheter eller offentlige
organer, se artikkel 56.
Artikkel 29-gruppens uttalelse (engelsk)
Artikkel 29-gruppens FAQ (engelsk)
Personvernombud
Utover å gi tolkninger av konkrete
bestemmelser i GDPR, vil Artikkel 29gruppen jobbe med sentrale,
gjennomgående temaer i forordningen, som
samtykke, profilering og etterrettelighet.
Den vil også sørge for oppdatering av
eksisterende veiledninger om blant annet
overføring av personopplysninger til
utlandet og avvikshåndtering for å bringe
disse i samsvar med de nye bestemmelsene.
Artikkel 29-gruppens uttalelse (engelsk)
Artikkel 29-gruppens FAQ (engelsk)
Ledende datatilsynsmyndighet
Artikkel 29-gruppens uttalelse (engelsk)
Artikkel 29-gruppens FAQ (engelsk)
INSIGHT. A PUBLICATION BY FCG
4
.
FCG er et konsulentselskap bestående av eksperter innen risiko- og kapitalhåndtering, etterlevelse
av regler og tilsyn, kredittprosess og kreditthåndtering, finans og treasury samt intern styring og
kontroll.
I dag er vi blant Nordens ledende innen vårt område, en posisjon vi har oppnådd gjennom å ha fokus
på våre kjerneområder samt ved utelukkende rekruttere de beste medarbeiderne.
Vår sterke markedskunnskap sammen med god virksomhetsforståelse og forståelse av regler og
praksis, gir oss muligheten til å identifisere effektive og holdbare løsninger basert på kundens
forutsetninger, ambisjon og behov.
Vår ambisjon er alltid å skape et langsiktig samarbeid med våre kunder der det finnes rom for å
støtte, inspirere og utfordre virksomheten.
FCG, som ble grunnlagt i 2008, samarbeider i dag med alle typer av finansforetak;
kredittinstitusjoner og banker, forsikringsforetak, fondsselskaper og verdipapirforetak samt med
ikke-finansielle foretak som påvirkes av finans- og kapitalmarkedet.
FCG Norge AS. +47 4840 6062. [email protected] Kronprinsens gate 17, 0251 Oslo. fcgnorge.no