Nya dataskyddsförordningen

Transkript

1 FCG DIN INNOVATIVA PARTNER INOM RISKHANTERING, FINANSIELL JURIDIK OCH AFFÄRSSTYRNING FCG INSIGHT Nya dataskyddsförordningen Vad du måste känna till och vad du behöver göra No

2 Innehållsförteckning Sammanfattning... 3 Vad du måste känna till... 4 Vad du behöver göra... 5 Genomför GAP-analysen i tid... 6 Analysera IT-miljön och påbörja förändringsarbetet... 6 Säkerställ dina affärsprocesser... 6 Se över organisation och roller... 7 Etablera strategi- och styrdokument... 7 Genomför en legal översyn... 8 Etablera metoder och rutiner... 8 Dataskyddsramverket

3 Den 25 maj 2018 träder den nya dataskyddsförordningen i kraft och ersätter befintliga personuppgiftslagen (PuL). Förordningen innebär utökade rättigheter för enskilda och skärpta krav för företag och organisationer. Kraven medför att interna beslut måste fattas och åtgärder vidtas för att säkerställa att den kommande regleringen efterlevs för att inte riskera sanktioner. Denna publikation syftar till att ge insikt i vad du måste känna till samt hur din verksamhet kan förbereda sig och vilka åtgärder som måste vidtas. Sammanfattning Inhämtande och hantering av kunders personuppgifter är en förutsättning för att bedriva verksamhet. EU antog i april 2016 nya regler om dataskydd och behandling av personuppgifter, drivet av skyddet för den personliga integriteten och den ökade digitaliseringen. För företag och organisationer innebär den nya dataskyddsförordningens krav stora förändringar i hur personuppgifter får inhämtas, lagras och används vilket medför att verksamheter står inför viktiga beslut och ställningstaganden. De företag och organisationer som inte efterlever kraven kan, genom den nya regleringen, drabbas av höga sanktionsavgifter. Denna publikation ger en översiktlig bild av vad den nya dataskyddsförordningen innebär för företag och organisationer som behandlar personuppgifter samt vilka åtgärder och anpassningsarbete som måste vidtas inom verksamheten. Vidare lyfts hur din verksamhet kan inrätta ett dataskyddsramverk i syfte att säkra efterlevnad och effektivisera hanteringen av personuppgifter. EU-reglering 14 april: Dataskyddsförordningen (GDPR) antogs Europeiska dataskyddsstyrelsens (EDPB) vägledningar 25 maj: Dataskyddsförordningen (GDPR) träder i kraft Svensk reglering 25 februari: Kommittédirektiv 2016:15 12 maj SOU (Förordningsutredningen) offentliggörs Proposition Ny lag Datainspektionens föreskrifter och allmänna råd Analys Genomförande Förvaltning Figur 1: Tidplan Dataskyddsförordningen 3.

4 Vad du måste känna till Den nya dataskyddsförordningen innebär flera nya krav, men även vissa förtydliganden av nuvarande krav. Mot bakgrund av att förändringarna är stora står företag och organisationer som behandlar personuppgifter inför viktiga beslut och ett omfattande implementerings- och förändringsarbete. Det personliga integritetsskyddet är en grundpelare i den kommande regleringen, vilket innebär att integritetsskyddet ska iakttas genom hela livscykeln av personuppgiftsbehandling, vilket innefattar allt från hur uppgifter inhämtas, lagras, används, överförs och raderas till vad enskilda kan begära från den som behandlar deras uppgifter. Arbetet för att upprätthålla de enskildas integritetsskydd ska ske proaktivt genom att system för hantering av personuppgifter ska vara utformade utifrån s.k. Privacy by Design (PbD), Inhämta Radera Lagra Gallra Använda Dela Figur 2: Livscykeln av personuppgifter ett inbyggt integritetsskydd, samt att viss behandling måste föregås av en konsekvens- /riskbedömning (Eng. Privacy Impact Assessment) och i vissa fall samråd med Datainspektionen. Integritetsskyddet ska även beaktas i det reaktiva arbetet. Förordningen ställer krav på vad företaget/organisationen dels måste informera den enskilda om, dels måste göra vid enskildas begäran om exempelvis flytt eller radering av sina personuppgifter, s.k. rätten till dataportabilitet och rätten att bli glömd. Vidare medför förordningen krav på hur dataintrång eller andra incidenter kopplade till personuppgiftshantering måste hanteras. Hanteringen innefattar att det ska finnas rutiner, processer och ansvar för att upptäcka, förebygga och rapportera sådana incidenter. Centralt är även att reglerna omfattar företag och organisationer utanför EU som riktar erbjudande av varor och tjänster eller genomför övervakning av beteenden av enskilda inom EU. Förordningen ställer även krav på att personuppgifter inte får överföras till ett tredje land om det inte finns med på EU-kommissionens lista över länder med s.k. adekvat skyddsnivå. All personuppgiftsbehandling kräver en legal grund. För samtycke stramas nu regleringen åt. Det kommer inte längre vara tillåtet att baka in samtycket som en del av exempelvis allmänna villkor och avtal eller i form av en i förhand ikryssad ruta på en hemsida. Det måste vara tydligt att samtycke lämnats och för vilket eller vilka ändamål som samtycket gäller. Företaget/organisationen har en skyldighet att kunna visa att ett giltigt samtycke inhämtats för viss behandling samt ha interna rutiner för hantering av när enskilda återkallar givet samtycke. Det är även av vikt att lyfta hur Datainspektions roll förändras genom förordningen. Som tillsynsmyndighet kommer Datainspektionen kunna utdöma administrativa sanktionsavgifter på max 20 miljoner euro eller 4 % av den globala årsomsättningen för företag och organisationer som inte efterlever förordningens krav. För att säkerställa en enhetlig implementering inom unionen har den europeiska dataskyddsstyrelsen ( EDPB ), tidigare artikel 29-gruppen, inrättats. EDPB har till uppgift att skapa en enhetlig tillämpning av förordningen i medlemsländerna, men kommer även att komma med förtydliganden kring tolkning av vissa artiklar i förordningen samt vägledning till de nationella tillsynsmyndigheterna. Vidare kommer Datainspektionen 4.

5 utfärda föreskrifter och allmänna råd som till stor del kommer att grunda sig på rekommendationer och vägledningar från EDPB. Vid ikraftträdandet ersätts Personuppgiftslagen (PuL) och nuvarande EU-reglering på området (Dataskyddsdirektivet). Den nu gällande regleringen grundar sig som sagt på ett direktiv, vilket har inneburit att Sverige, och övriga medlemsländer, själva har fått bestämma hur regleringen ska införlivas i de nationella lagarna. Ett sådant fortsatt utrymme för nationella avvikelser blir avsevärt begränsat genom den nya dataskyddsförordningen. Möjligheterna till att särregler på nationell nivå minskar betydligt och konsekvenserna av det är bland annat att den s.k. missbruksregeln försvinner - vilken är ett undantag i PuL om behandling av personuppgifter i ostrukturerat material. Att missbruksregeln försvinner kan innebära en ökad administrativ börda för de företag som grundar mycket av sin behandling av personuppgifter på undantaget. Slutligen bör nämnas att förordningen innebär utökade krav på roller och ansvar kopplade till personuppgiftsbehandling och dataskydd. Fler företag och organisationer kommer att omfattas av kravet på dataskyddsombud. Vidare får personuppgiftsbiträdena, dvs. de som behandlar personuppgifter för företagets eller organisationens räkning, ett eget och större ansvar. Vad du behöver göra För att säkerställa efterlevnad med den nya förordningen krävs det att förändringsarbetet inleds i tid. Det är framförallt viktigt att identifiera hur din verksamhet påverkas genom en inledande analys för att därefter kunna prioritera aktiviteter och sätta inriktningen för ett effektivt implementeringsprojekt. Inte minst kan frågor relaterade till IT vara utmanande då utveckling av system och anpassning till Privacy by Design är tidskrävande. För vissa kan även affärsprocesserna påverkas då det inte är möjligt att hantera information som man tidigare har gjort och det blir därmed till och med affärskritiskt att kartlägga dessa flöden. Genom att etablera ett ramverk kan din verksamhet säkerställa att helheten tillvaratas samtidigt som varje del i ramverket behöver detaljeras utifrån den verksamhetsspecifika inriktningen och komplexiteten. Ramverket är även fördelaktigt ur ett förvaltningsperspektiv och för att kunna uppvisa mot Datainspektionen. Figur 3: Exempel Dataskyddsramverk 5.

6 Genomför GAP-analysen i tid För att möjliggöra anpassning av verksamheten till förordningens krav är det grundläggande att genomföra en analys, exempelvis utifrån GAP-metodik, för att kartlägga hur personuppgifter behandlas i dag och jämföra den nulägesbilden mot målbilden, dvs. förordningens krav och intern målsättning. Analysen bör innefatta en kartläggning hur och från vem personuppgifter inhämtas, utifrån vilket syfte och ändamål behandlingen sker samt hur uppgifterna används i er verksamhet. Ytterligare frågor att ta ställning till är om era interna regler, processer, rutiner, organisationsstruktur och ansvarsfördelning rimmar med kommande reglering. När kartläggningen är genomförd och ställd mot kommande krav identifieras och analyseras eventuella brister (GAP) i syfte att besluta om åtgärder och anpassningsarbete utifrån den specifika verksamheten. Därefter kan organisationen på ett effektivt och verksamhetsanpassat sätt implementera de förändringar och åtgärder som krävs, förslagsvis genom att initiera ett projekt. 1. Nulägessituation 2. Definiera önskat läge 3. Utför analys 4. Rekommendation och prioritering Figur 4: Metodik för GAP-analys Analysera IT-miljön och påbörja förändringsarbetet En central del i förberedelserna är hur den befintliga IT-miljön påverkas. Det är därför viktigt att tidigt genomföra en IT-genomlysning för att identifiera vilka IT-system och databaser som hanterar vilka personuppgifter samt undersöka var och hur de lagras. Det ställs krav på att systemen ska uppfylla Privacy by Design (Sv. inbyggt integritetsskydd) som innebär att det ska finnas en tydlighet i vilka personuppgifter som behandlas, när dessa inhämtats och hur de hanteras och överförs. Det inbyggda integritetsskyddet påverkar även IT-systemens utformning och livscykel dvs. design-, kravställning-, utveckling-, förvaltning- och avvecklingsfas av systemen. Förenklat handlar det om att systemet behöver följa ett ramverk och innehålla säkerhetsmekanismer för att skydda personuppgifter. Utöver detta behöver processer och funktionalitet ses över för att på ett effektivt sätt möjliggöra gallring av personuppgifter samt hantera förfrågningar från den registrerade, exempelvis utdrag av personuppgifter samt flytt eller radering av personuppgifter. Även lagring av personuppgifter behöver säkerställas, vilket innebär att kontrollera att leverantörer och underleverantörers lagring av personuppgifter antingen sker i länder inom EES, finns med på EU-kommissionens lista över länder med s.k. adekvat skyddsnivå, sker hos företag som omfattas av Privacy Shield eller att det finns avtal på plats som inkluderar EU-kommissionens standardavtalsklausuler eller Binding Corporate Rules. Säkerställ dina affärsprocesser Befintliga affärsprocesser behöver analyseras då förändringarna kan innebära att personuppgifter inte kan hanteras på samma sätt som tidigare. Det kan i värsta fall innebära att affärsprocesser måste omarbetas och att synen på kundrelationen förändras. Förändringarna innebär kostnader och varje organisation måste ställa sig frågan vilka möjligheter det finns att dra nytta av investeringen. Vi tror att organisationer som passar på att analysera närliggande möjligheter och tillvaratar dessa bättre kommer lyckas efter 6.

7 genomförandet till och med uppnå konkurrensfördelar. Följande frågor bör varje organisation ställa sig: Hur kan vi försvara våra intäkter? Hur kan vi bli effektivare genom bättre processer? Hur kan vi använda persondata på ett bättre sätt samt dra nytta av den data vi har? Se över organisation och roller Det kommer krävas en tydlig intern organisation kring verksamhetens personuppgiftsbehandling och därmed även en tydlig ansvarsfördelning. Kunskapen kring de krav som följer av förordningen kommer behöva genomsyra såväl ledning och beslutsfattare som affären och de som operativt arbetar med personuppgiftshantering. En frågeställning som är avgörande vid fastställande av organisationen är att identifiera om en stor mängd känsliga personuppgifter hanteras, vilket kan leda till att ett Dataskyddsombud måste inrättas. Även andra interna omständigheter i verksamheten kan leda till att ett dataskyddsombud bör inrättas. Vidare behöver personuppgiftsbiträden identifieras och ni behöver upprätta riktlinjer för deras bearbetning samt interna rutiner för uppföljning av personuppgiftsbiträdena. Viktigt att känna till är även att biträdena får ett utökat ansvar och nya krav på sig genom förordningen. Samtidigt kommer ni behöva säkerställa att biträdet efterlever kraven. Tabell Roll 1: Roller och ansvar Vem Ansvar Personuppgiftsansvarig Företaget/Organisationen (den ansvariga juridiska personen) Har det yttersta ansvaret gentemot de registrerade och att förordningen följs. Bestämmer vidare ändamålen och medlen för personuppgiftsbehandlingen. Dataskyddsombud (f.d. Personuppgiftsombud) Fysisk person inom eller utanför företaget/ organisationen Blir obligatorisk för vissa företag. Ska se till att personuppgiftsbehandlingen är korrekt och laglig. Har även en rådgivande/stödjande roll i förhållande Personuppiftsbiträde Juridisk person (extern i förhållande till den Personuppgiftsansvarige) till den Personuppgiftsansvarige. Måste uppfylla kompetenskrav. Den som behandlar personuppgifter för den Personuppgiftsansvariges räkning utifrån givna instruktioner. Etablera strategi- och styrdokument För att uppnå en effektiv styrning är det viktigt att verksamheten inrättar ett internt regelverk som är tydligt. Verksamheten måste etablera strategioch styrdokument som tydliggör ansvar och roller, principer, metoder och rutiner samt rapportering. Genom att styrelsen beslutar om det övergripande ramverket och principerna för personuppgiftshanteringen så kan därefter VD besluta om byggstenarna i ramverket utifrån principerna. Det är även viktigt att det interna regelverket tydligt kommuniceras inom organisationen. 7.

8 Det interna regelverket behöver inkludera: Övergripande principer och ramverk för personuppgiftshantering Roller och ansvar Rapporteringsrutiner Metoder för konsekvensbedömning (Eng. Privacy Impact Assessment (PIA)) Riktlinjer och rutiner för biträden Data Governance inklusive Privacy by Design Strategier och policies Ramverk och principer Övergripande ansvar Styrelsen Instruktioner Metoder Ansvar och roller Övergripande implementering VD Arbetsinstruktioner Rutiner Processägare Implementering (Affärs)chefer Figur 5: Styrdokumenthierarki Genomför en legal översyn En del i att säkerställa efterlevnad av förordningen samt förtydliga ansvar är att genomföra en legal översyn av de delar som på ett eller ett annat sätt påverkas av nyheterna eller förändringarna i regelverket. I den legala översynen ingår en genomgång av de kundavtal organisationen har i syfte att säkerställa att kunderna tillhandahåller den information som krävs enligt förordningen. Även samtycket måste ses över, dvs. en kartläggning av hur samtycke inhämtas, vilken information som ges när enskild lämnar samtycke och hur det giltiga samtycket registreras och dokumenteras internt. Det behöver även säkerställas att det finns en spårbarhet i inhämtade samtycken för att kunna bemöta en enskilds begäran om återkallande av samtycke eller kunna visa upp ett giltigt samtycke för tillsynsmyndigheten. Mot bakgrund av de kommande kraven bör man även se över sina leverantörsavtal. Dessa kan vara avtal som på ett eller annat sätt är kopplade till företagets/organisationens personuppgiftsbehandling. Ett av de viktigare är de eventuella avtal som finns med IT- och systemleverantörer, men även övriga personuppgiftsbiträdesavtal eller tredjepartsavtal måste ses över. Etablera metoder och rutiner Ytterligare ett steg i att säkerställa efterlevnad av förordningen samt ett effektivt arbetssätt är att internt etablera metoder och rutiner för genomförande av vissa processer som följer av de nya kraven. 8.

9 Bemöta enskildas begäran Genom förordningen utökas som sagt enskildas rättigheter, inkluderat vad enskilda kan begära från den som behandlar deras personuppgifter. Exempelvis kan det innebära en begäran om flytt (s.k. Dataportabilitet) eller radering av personuppgifter (s.k. Rätten att bli glömd), utdrag ur register eller återkallande av givet samtycke. För att kunna bemöta en sådan begäran inom angivna tidsgränser och i enlighet med förordningens krav är det viktigt att ha etablerat rutiner och metoder för det samt ett internt ansvar. Det innebär att företaget/organisation måste: PIA Säkerställa att enskilda informeras om sina möjligheter till, och tillvägagångssätt för, viss begäran. Etablera ansvar för mottagande och hantering av enskildas begäran. Fastställa metod för utvärdering av enskildas begäran. Införa rutin för faktiskt genomförande av enskilds begäran. Etablera ansvar och rutin för kommunikation med enskilda. Förordningen innefattar, som tidigare nämnts, ett krav på att viss behandling av personuppgifter ska föregås av en konsekvensbedömning/riskanalys, en s.k. Privacy Impact Assessment ( PIA ). Det innebär att företaget/organisationen måste etablera en metodik för genomförande av en sådan bedömning. Först och främst krävs det en identifiering av behovet av PIA för den specifika verksamheten, dvs. vilken befintlig behandling träffas av kravet samt vilka förändringar i verksamheten kan ge upphov till att en PIA måste genomföras. Det första steget i själva genomförandet av PIA är att kartlägga informationsflödet för den behandling som kan innebära integritetsrisk. Det innebär att identifiera hur data samlas in, används, överförs och lagras. Först därefter går det att identifiera eventuella risker. När riskerna har identifierats måste riskerna analyseras i syfte att ta reda på om behandling kan anses riskfylld och därmed måste föregås av samråd med Datainspektionen. När riskerna har analyserats bör eventuella åtgärder för att reducera riskerna utvärderas. Resultatet av bedömningen ska dokumenteras i en PIA-rapport och beslutas samt kommuniceras i organisationen. Har bedömningen resulterat i att viss behandling anses riskfylld ska samråd med Datainspektionen ske innan behandling kan inledas. Slutligen måste företaget/organisationen säkerställa att de riskreducerande åtgärder som beslutats genom bedömningen genomförs internt. Rapportering Utifrån flera av förändringar i förordningen följer någon typ av rapporteringskrav. För den konsekvensbedömning (PIA) som krävs för viss behandling av personuppgifter följer krav på rapportering (samråd) till Datainspektionen. Resultatet av bedömningen ska även rapporteras och beslutas internt. Vidare ställs det genom förordningen krav på rapportering vid personuppgiftsincidenter, exempelvis dataintrång. Om det inte är osannolikt att en sådan incident medför risk för fysiska personers fri- och rättigheter ska incidenten rapporteras till Datainspektionen inom 72 timmar. Om incidenten kan medföra risk ska även rapportering/anmälan göras till de enskilda som berörs utan onödigt dröjsmål. För att uppnå dessa rapporteringskrav är det viktigt att fastställa hur sådan rapportering ska genomföras, vem som ska genomföra rapporteringen och hur den ska dokumenteras. Detta i syfte att säkerställa att rapporteringen görs på rätt sätt, med rätt innehåll och inom ramen för de tidsgränser som anges. 9.

10 Den interna rapporteringen är av vikt för att säkerställa informationsutbyte, spårbarhet, uppföljning och inte minst för att kunna påvisa hantering av viss fråga för tillsynsmyndigheten. Dataskyddsramverket Genom att införa ett dataskyddsramverk omhändertas samtliga delar inom verksamhet som påverkas av de kommande förändringarna, dvs. styrning, metoder och bedömningar, rutiner och hantering, processer, IT-system samt organisation och roller. Ramverket införs i syfte att säkerställa regelefterlevnad och anpassa implementeringsarbetet utifrån den specifika verksamheten. Vidare fyller ramverket en funktion för att internt och externt kommunicera hur man efterlever regelverket och upprätthåller en god hantering av personuppgifter. Figur 6: Dimensioner i ett Dataskyddsramverk Vill du veta mer om FCG:s heltäckande erbjudande inom dataskyddsförordningen kan du antingen läsa mer på fcg.se eller kontakta någon av oss nedan. Kontaktuppgifter Jeanette Lundius jeanette.lundius@fcg.se Thomas Nilsson thomas.nilsson@fcg.se

11

12 FCG är ett rådgivningsföretag bestående av experter inom risk- och kapitalhantering, regelefterlevnad och tillsyn, kreditprocess och kredithantering, finance och treasury samt intern styrning och kontroll. Idag tillhör vi nordens ledande inom vårt område, en ställning vi har uppnått genom att ha fokus på våra kärnområden samt att uteslutande rekrytera de bästa medarbetarna. Vår starka marknadsinsyn tillsammans med så väl verksamhetsförståelse som innebörden av regler och praxis, ger oss förmågan att identifiera effektiva och hållbara lösningar utifrån kundens förutsättningar, ambition och behov. Vår ambition är alltid att skapa långsiktiga samarbeten med våra kunder där det finns utrymme för att både stödja, inspirera och utmana verksamheten. FCG, som grundades 2008, samarbetar i dag med alla karaktärer av finansiella företag så som kreditinstitut och banker, försäkringsföretag, fondbolag och värdepappersbolag samt med icke finansiella företag som påverkas av finans- och kapitalmarknaden. FCG AB info@fcg.se. Östermalmstorg 1. SE Stockholm. fcg.se