– Dersom en norsk retten er usikker på hvordan GDPR skal tolkes, kan den henvise saker til EFTA-domstolen. Det er veldig lav terskel for å gjøre det, sier Elin Mathisen.
Tolkningen av unionsretten i Norge er tema for Foreningen Personvernombudenes medlemsmøte 18. oktober er: Når gjelder unionsretten i Norge – og hva betyr det for norske personvernombud?
Elin Mathisen er en av de få norske juristene som har hatt en sak i EFTA-domstolen. Hva du bør tenke på når du går til EFTA-domstolen? er tittelen på hennes foredrag.
Mathisen er advokat og leder advokatfirmaet Berngaards teknologiavdeling. Hun har bistått store offentlige virksomheter i deres digitaliseringsprosjekter, og bistår i tillegg også private virksomheter og leverandører i spørsmål knyttet til IT-kontrakter og personvern. Elin er personvernombud i Ringerike kommune.
Personvernombudet forvalter en europeisk rettsakt – personvernforordningen – og skal gi råd om europeisk personvernlovgivning i Norge. Tema for medlemsmøtet 18. oktober er: Når gjelder unionsretten i Norge – og hva betyr det for norske personvernombud?
Ólafur Jóhannes Einarsson er registrator ved EFTA-domstolen i Luxembourg, domstolen som tolker unionsretten for Norge, Island og Liechtenstein. I sitt foredrag (som holdes på engelsk) vil han komme innom følgende områder:
Prosedyren for å henvise norske rettssaker for en “opinion” i EFTA-domstolen
EØS’ rettspraksis når det gjelder personvern
Hvilken status har grunnleggende rettigheter i EØS-avtalen og hvilken betydning har charteret om grunnleggende rettigheter i EØS-retten?
Einarsson er jurist fra Universitetet i Reykjavik og har en mastergrad fra St Johns College, Oxford. Han har vært registrar ved EFTA-domstolen siden 1. september 2018.
Norsk jurist som har hatt saker i EFTA-domstolen
Elin Mathisen er en av de få norske juristene som har hatt en sak i EFTA-domstolen. Hva du bør tenke på når du går til EFTA-domstolen? er tittelen på hennes foredrag.
Mathisen er advokat og leder advokatfirmaet Berngaards teknologiavdeling. Hun har bistått store offentlige virksomheter i deres digitaliseringsprosjekter, og bistår i tillegg også private virksomheter og leverandører i spørsmål knyttet til IT-kontrakter og personvern. Elin er personvernombud i Ringerike kommune.
Ólafur Jóhannes Einarsson
Program for medlemsmøtet 18. oktober 2021
13:00 Velkommen
13:05 Olafur Johannes Einarsson, registrator ved EFTA-domstolen: Personvern og EØS
13:45 Elin Mathisen, personvernombud i Ringerike kommune/partner i advokatfirmaet Berngaard: Hva du bør tenke på når du går til EFTA-domstolen?
14:05 Paneldiskusjon: Hvorfor henviser ikke norske domstoler saker til EFTA-domstolen? Deltakere: Elin Mathisen (Advokatfirmaet Berngaard), Tobias Judin (Datatilsynet), Olafur Johannes Einarsson(EFTA-domstolen, Luxembourg).
14:45 Hallstein Husand, fagdirektør, Datatilsynet: Når Datatilsynet kommer på tilsyn. Presentasjon av ny metode for tilsynsvirksomheten høsten 2021.
15:30 Slutt
Det var meningen at møtet skulle være fysisk, men dessverre ble møtelokalet stengt for renovering. Vi kommer derfor tilbake med en ny dato for et møte i Datatilsynets nye lokaler.
Møtet er åpent for alle medlemmer av Foreningen Personvernombudene. En Teams-lenke blir sendt ut til medlemmene mandag morgen.
Noen personer fra foreningens styre og Datatilsynet kommer til å samles i Oslo sentrum (i Kirkens Hus, Rådhusgata 1-3) under medlemsmøtet. Vi har en håndfull plasser til disposisjon. Dersom du ønsker å delta fysisk, send et e-brev på denne siden: https://pvo.no/kontakt/ så vil vi bekrefte din deltakelse.
Det svenske Skatteverket har besluttet å ikke benytte Teams til videomøter og samarbeid på grunn av faren for amerikansk overvåkning. På vårt medlemsmøte vil Skatteverkets IT-strateg Daniel Melin fortelle mer om hvilke vurderinger som ligger bak denne avgjørelsen.
Er det greit å bruke amerikanske leverandører til videomøter etter Schrems II?
Microsoft Teams er for mange virksomheter et viktig arbeidsverktøy. Det svenske Skatteverket har besluttet å ikke benytte Teams til videomøter og annet samarbeid. De ser nå etter andre alternativer.
Tidlig på sommeren 2021 publiserte Det europeiske personvernrådet (EDPB) sin reviderte utgave av veilederen for supplerende beskyttelsestiltak («Recommendations on supplementary measures»). Den skal hjelpe virksomheter med å overholde kravene til overføring av personopplysninger til tredjeland etter Schrems II-avgjørelsen. Det store spørsmålet mange nå stiller seg, er om det nå er åpnet for en mer risikobasert tilnærming?
Tobias Judin, leder for Internasjonal seksjon i Datatilsynet, vil fortelle oss hva som er de viktigste endringene i den endelige veilederen fra Personvernrådet. Vi vil også få en presentasjon av Datatilsynets rykende ferske veileder for overføring av opplysninger til tredjeland.
Risikovurderinger i NAV Hva er forskjellen på risikoanalyse, som alle må gjøre, og personvernkonsekvensvurdering (DPIA), som alle ikke alltid må gjøre? Anders Holt, personvernombud i NAV, gir oss et innblikk i NAVs DPIA-prosess.
Program for medlemsmøte 20. september 2021
13:00Velkommen 13:05 – 13:55Hva er de viktigste endringene i den endelige veilederen fra Personvernrådet (EDPB)? Fagdirektør og leder for internasjonal seksjon i Datatilsynet Tobias Judin 13:55 – 14:20Hvorfor ønsker ikke det svenske Skatteverket å ta i bruk Microsoft Teams som følge av Shrems II-avgjørelsen?Daniel Melin, strateg i IT-avdelingens analyseenhet, Skatteverket 14:20 – 14:45Risikovurderinger og DPIA prosessen i NAV. Anders Holt, personvernombudet i NAV 14:40 – 15:00Spørsmål og avslutning
Medlemsmøtet er åpent for alle medlemmer av Foreningen Personvernombudene. Er du ikke medlem ennå? Klikk her for å melde deg inn.
Hvordan behandler Datatilsynet meldingene om brudd på personopplysningssikkerheten?
Hva forventer Datatilsynet av avviksmeldingene – beskrivelse av årsak, risiko og tiltak?
Hva bør PVOs rolle være i håndteringen av avvikene og ved rapporteringen til Datatilsynet?
Dette er blant temaene representanter for Datatilsynet vil belyse når Personvernombudene inviterer til medlemsmøte 7. juni 2021 kl 13 – 15 i Teams.
Camilla Nervik
Blant innlederne er fagdirektør Camilla Nervik. Hun leder seksjon for offentlige tjenester i Datatilsynet.
På medlemsmøtet vil hun si mer om hvordan Datatilsynet håndterer rapporterte brudd, og hva som forventes av aviksmeldingene.
Fagdirektør Ove Skåra er Datatilsynets personvernombud og kontaktperson for andre personvernombud. I 2020 ble det sendt inn litt over 2 000 meldinger om brudd på personopplysningssikkerheten fra norske virksomheter til Datatilsynet. Mange av avvikene som meldes inn gjelder tilfeller der personopplysninger blir sendt til feil mottaker.
– Mange e-postprogrammer har dårlig visning av mottakerens e-postadresse. Hva kan organisasjoner gjøre for å sikre at post kommer til riktig mottaker?
– En ting vi har gjort i Datatilsynet var å fjerne muligheten for autofullfør av eposten, slik at når jeg skal sende en epost til min gode kollega Nils, så ender den ikke hos Nils i Den norske kirke. Uten å være teknolog og sikkerhetsmenneske vil jeg tro at det også er annen funksjonalitet som kan aktiveres i epostprogrammet, for eksempel gir et advarende pling før man sender avgårde en epost med beskyttelsesverdig innhold, sier Ove Skåra.
– Spiller det noen rolle om den som henvender seg – den registrerte – starter kommunikasjonen ved å bruke en usikker e-postadresse, og forventer å få svar til denne?
– Dersom det er snakk om ikke-kryptert epost med særlige kategorier opplysninger, eller opplysninger om straffbare forhold, er det ikke slik at mottakeren kan «samtykke seg bort fra» sikker kommunikasjon. Den behandlingsansvarlige må fortsatt etterleve personvernforordningens artikkel 5 (1) (f) og artikkel 32 ved å iverksette egnede tekniske og organisatoriske tiltak for å oppnå et egnet sikkerhetsnivå. For offentlig forvalting gjelder i tillegg eForvaltningsforskriften som stiller krav til forvaltningens bruk av elektronisk kommunikasjon, sier Ove Skåra.
Programmet for medlemsmøtet ser slik ut:
13:00Velkommen 13:05 – 13:55 Hvordan følger Datatilsynet opp meldingene virksomhetene sender inn? Til å belyse dette har vi fått med oss fagdirektør og seksjonssjef Camilla Nervik, og fagdirektør og personvernombud Ove Skåra. 13:55 – 14:05 Benstrekk 14:05 – 14:30 Postlistesaken – fra ris til ROS. Ole Henrik Førland, personvernombud i Asker kommune 14:30 – 14:45 Avviksbehandling i finanssektoren. Pål Magne Ånestad, personvernombud i Lindorff AS 14:40 – 15:00 Spørsmål og avslutning
Medlemsmøtet er åpent for alle medlemmer av Foreningen Personvernombudene. Er du ikke medlem ennå? Klikk her for å melde deg inn.
Truls Jacobsen Rath er medlem nummer 200 i Personvernombudene. Han er personvernombud i forsikringsselskapet Fremtind og håper å få et større nettverk å diskutere utfordringer med, for eksempel omkring Schrems II-dommen.
– Jeg synes usikkerheten som er skapt omkring de store amerikanske aktørene er vanskelig og komplisert å håndtere. Jeg håper å lære fra kollegene og høre hvilke vurderinger andre gjør, sier Rath.
Han er 27 år og ble involvert i personvernarbeidet høstens 2018 i data governance-avdelingen i Sparebank1. Rath deltok i mange personvernprosjekter og har tilegnet seg mye av fagkunnskapen på egen hånd.
– Jeg skal være en person som ser forretningens behov samtidig som jeg er i stand til å ivareta personvernbehovene. Mye av mitt daglige arbeid består i rådgi de som jobber med kundedata. De spør om hvilke personopplysninger de kan dele internt og med eksterne partnere. De spør om behandlingsgrunnlag og vil ha hjelp med å lage databehandleravtaler.
Rath synes avvikshåndtering er et komplisert område og ser frem til medlemsmøtet 7. juni om dette temaet.
– Hvor stort må et avvik være før det skal meldes til Datatilsynet? Vi har interne rutiner og melder gjerne et avvik en gang for mye enn for lite, men det blir interessant å høre hva kollegaene har å si om dette temaet.
– Et annet tema som jeg finner spennende er kunstig intelligens, eller maskinlæring. Det er et område som jeg tror personvernombudene kommer til å beskjeftige seg med fremover, sier Truls Jacobsen Rath.
Sett et kryss i kalenderen mandag 7. juni 2021 kl 13 – 15. Da holder Foreningen Personvernombudene sitt siste medlemsmøte før sommeren. Temaet er avvikshåndtering, altså brudd på personopplysningssikkerheten i henhold til PVF artikkel 33. Møtet er åpent for alle medlemmer. Nærmere informasjon om foredragsholdere – og lenke til møtet – blir sendt ut til medlemmenes e-postadresse.
Det danske Datatilsynet offentliggjorde nylig en oversikt over innrapporterte brudd. Her fremgår det at feilsendt e-post i offentlig sektor er det mest vanlige sikkerhetsbruddet i Danmark:
Hva forventes det at norske virksomheter gjør hvis de ønsker å overføre personopplysninger utenfor EØS-området? På foreningens annet medlemsmøte ser Foreningen Personvernombudene på hvordan virksomheten kan etterleve veiledningene fra Det europeiske personvernråd og Datatilsynet.
Tobias Judin er sjef for internasjonal seksjon i Datatilsynet og sitter med i møtene i Det europeiske personvernråd. På medlemsmøtet 12. mars 2021 forteller han om hvilke erfaringer det norske Datatilsynet har gjort seg etter at Schrems II-dommen kom.
I juli 2020 avsa EU-domstolen en prinsipielt viktig dom om overføring av personopplysninger mellom EU/EØS og USA. Dommen har store konsekvenser for mange offentlige og private virksomheter som benytter skybaserte tjenester,
I alt 35 prosent av norske personvernombud rapporterer ikke direkte til det høyeste ledelsenivået, slik det står i personvernforordningen. Dette kom frem da fagdirektør Ove Skåra fra Datatilsynet presenterte resultater fra undersøkelsen blant norske personvernombud som Opinion gjennomførte høsten 2020.
– Det er en sterk anbefaling fra oss i Datatilsynet å få etablert en arbeids- og rollebeskrivelse som du forankrer hos øverste leder i virksomheten. Her ligger din fremste mulighet til å bevisstgjøre ledelsen om hva rollen innebærer, sa Ove Skåra under medlemsmøtet 28. januar.
Hele 632 av 1020 registrerte personvernombud hos Datatilsynet hadde svart på undersøkelsen. Det fremgikk at en håndfull ombud rapporterer til seg selv eller ikke vet hvem de skal rapportere til.
– I en slik rollebeskrivelse bør dere ikke minst også bli enige om hva slags faste strukturer for dialog dere skal ha, hvordan rapporteringen skal foregå og hvilke møter og prosesser organisasjonen skal huske å invitere deg til. Her kan også tidsbruk og ressurser bli beskrevet, sier Ove Skåra.
Personvernombudenes forhold til ledelsen vil bli et tema på medlemsmøter i Foreningen Personvernombudene fremover. Undersøkelsen viser at 44 prosent av personvernombudene ikke har en stillings/rollebeskrivelse som beskriver arbeidsoppgavene i PVF-artiklene 37 til 39.
På Personverndagen 2021 (28. januar) meldte medlem nummer 100 seg inn i foreningen. Det er et godt resultat for en forening som er en måned gammel.
Når du blir medlem i Personvernombudene støtter du en forening som arbeider for å fremme god rådgivningsskikk, dataetikk og informasjonssikkerhet. Gjennom ditt medlemskap får du innsikt og løsningsforslag innen personvern og datasikkerhet.
Du blir oppdatert om ny kunnskap og avgjørelser på fagområdet
Du får adgang til månedlige medlemsmøter
Du blir invitert til arrangementer på temaer som databehandlere, risikovurderinger og tilsyn i egen organisasjon
Vi ønsker å bygge opp et delebibliotek av veiledninger, maler, skjemaer, prosedyrer etc som du kan bruke i ditt eget arbeid
Fysiske personer (ikke firmaer) kan bli medlem i Foreningen Personvernombudene dersom de oppfyller ett av følgende kriterier:
Er registrert i det norske Datatilsynets register over personvernombud
Har personvernrådgivning som en av sine primære arbeidsoppgaver
Betingelsene for medlemskap er bestemt i foreningens vedtekter (kapittel 3). Medlemsavgiften for 2021 er 300 kroner. Du kan betale med kredittkort ved innmeldingen eller med kontooverføring senere.
-> Du finner innmeldingsskjema her (ekstern lenke hos Styreweb).
Når du registrerer deg og inngår en avtale om medlemskap, gir du Foreningen rett til å behandle følgende personopplysninger om deg: Fornavn, etternavn, adresse, e-postadresse, telefonnummer, medlemsgrunnlag, stilling og (dersom du selv velger å gi opplysningene) fødselsdato, kjønn, arbeidsoppgaver og faglige interesser.
