Personvernnytt
Det har skjedd mye innen personvern i det siste. Her er en kort oppsummering av noen av sakene.
Tilsyn med Telenor
Datatilsynet skal utføre et strategisk tilsyn med personvernarbeidet i Telenor. Dette er også for å skape en signaleffekt for telekomsektoren.
Temaet for tilsynet er organiseringen av Telenors personvernarbeid. Særlig viktig er spørsmålet om det settes av tilstrekkelige ressurser til dette arbeidet (den behandlingsansvarliges plikter etter art. 24) og om rapportering til ledelsen skjer på en tilfredsstillende måte (personvernombudets rolle og rapportering ihht. art. 37-39). Les mer om tilsynet på Datatilsynets sider her.
Har du fått varsel om tilsyn? Kontakt oss her om du lurer på noe.
Retningslinjer om rett til innsyn på høring
Det Europeiske personvernrådet har vedtatt retningslinjer om den enkeltes rett til innsyn. De nye retningslinjene skal tydeliggjøre ulike aspekter ved innsynsretten og gi mer presis veiledning om hvordan virksomheter skal implementere innsynsretten i ulike situasjoner. Veiledningen skal hjelpe virksomheter med å svare på innsynsforespørsler på en måte som er i samsvar med personvernforordningen, og gir avklaring rundt omfanget av innsynsretten, informasjon BA må gi til den registrerte og hva som er åpenbart grunnløse eller overdrevne forespørsler. Retningslinjene er nå på høring.
Har du spørsmål om hvordan din virksomhet skal ivareta retten til innsyn, kan du kontakte våre personvernadvokater her.
Utfyllende retningslinjer fra det europeiske personvernrådet om avviksmeldinger
De nylig vedtatte retningslinjene utfyller Artikkel 29-gruppens (WP29) tidligere generelle retningslinjer, som var mindre praktisk orienterte. Retningslinjene omhandler varsling av brudd på personopplysningssikkerheten. Veiledningen er caseorientert og basert på de typer saker som nasjonale tilsynsmyndigheter erfaringsmessig behandler.
Retningslinjene gir veiledning om hvordan behandlingsansvarlige skal håndtere databrudd og momenter som burde inngå i en risikovurderinger. De ulike scenarioene veiledningen tar for seg er:
- løsepengevirus (ransomware),
- uautorisert dataeksfiltrering (uautorisert dataoverføring gjerne av skadelig programvare eller ondsinnet aktør)
- menneskelige feil og
- stjålne eller mistede enheter og dokumenter.
Hvis du har spørsmål om hvordan din virksomhet skal håndtere avviksmeldinger, kan du kontakte våre personvernadvokater her.
CNIL - Det franske datatilsynet har kommet med veiledning til databehandlers gjenbruk av opplysninger fra behandlingsansvarlige (IAPP)
Datatilsynet strammer opp bruken av personopplysninger til databehandlers egne formål. For at slik gjenbruk skal være lovlig må fire steg vurderes:
- Godkjenning fra behandlingsansvarlige - gjerne i avtale
- Kompatibilitet mellom opprinnelig og nytt formål
- Informasjon om viderebehandling til registrerte - opprinnelig behandlingsansvarlig er ansvarlig.
- Databehandler må oppfylle plikter som behandlingsansvarlig, siden behandlingen skjer for egne formål. Det kan være nødvendig å samarbeide om for eksempel personvernerklæring.
Du kan lese mer om veiledningen på engelsk her, og veiledningen i sin helhet på fransk her.