PuL och Dataskyddsförordningen i det nämndsdministrativa arbetet- vad är nytt och hur förbereder jag mig? Stockholm den 22 november 2017

Transkript

1 1

2 PuL och Dataskyddsförordningen i det nämndsdministrativa arbetet- vad är nytt och hur förbereder jag mig? Stockholm den 22 november

3 PERSONUPPGIFTSLAGENS OCH DATASKYDDSFÖRORDNINGENS SYFTE Ü Syftet är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. (PUL 1 och Artikel 1 Dataskyddsförordningen) I 3

4 VAD HANDLAR DET OM? Gör vad du ska göra! Se till att det du gör följer lagarna! Tala om för omvärlden vad du gör! 4

5 Ü Personuppgiftslagen (PUL) har gällt från den 24 oktober 1998 (parallellt med Datalagen som slutade att gälla 2001) PUL kommer att ersättas av Europeiska unionens dataskyddsförordning som träder i kraft den 25 maj Ü Vad gäller nu, vad kommer att gälla och hur skall jag förbereda mig? 5

6 BLIR DET DRAMATISKT? Enkelt uttryckt kan sägas att den svenska personuppgiftslagen idag utgör stommen i den nya förordningen. Det innebär att den som hanterar personuppgiftslagen på ett korrekt sätt idag har lättare att anpassa sig till reglerna i den nya förordningen. 6

7 PUL:S BAKGRUND Ü Grunden för PuL är ett EU direktiv från Man önskade ett enhetligt regelverk inom EU för personligt dataskydd/integritetsskydd. Ü Utvecklingen av IT har inneburit att personanknuten information har ökat! Ü Mycket raffinerade metoder för insamling och bearbetning av personuppgifter! Man lämnar elektroniska spår i sin vardag. (profilering). 7

8 VAD ÄR EN PERSONUPPGIFT? Ü All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (PUL 3) Tex personnummer, namn, fastighetsbeteckning, bilnummer, bild m.m 8

9 VAD ÄR EN BEHANDLING? Varje åtgärd eller serie av åtgärder som vidtas ifråga om personuppgifter, tex. insamling, sammanställande, registrering, organisering, lagring, bearbetning, användning m.m. 9

10 GRUNDLÄGGANDE DEFINITIONER Ü Den registrerade Den person som personuppgiften avser Ü Personuppgiftsansvarig Fysisk eller juridisk person eller myndighet som bestämmer ändamålen med eller medlen för behandling av personuppgifter: ( i kommunen är det respektive nämnd(myndighet) Ü Personuppgiftskontaktperson/medhjälpare Den person som på uppdrag av personuppgiftsansvarig praktiskt skall hantera frågor kring personuppgiftslagen 10

11 GRUNDLÄGGANDE DEFINITIONER, FORTS. Ü Personuppgiftsbiträde Den som på personuppgiftsansvarig externt hanterar personuppgifter för verksamheten, tex. lönesystem, ekonomisystem Ü Personuppgiftsombud Utsedd person som självständigt ser till att den personuppgiftsansvarige behandlar personuppgifter på ett korrekt sätt. Tillsynsuppgift! Ü Anmälan Ett dokument som beskriver vilka personuppgifter man behandlar och varför Personuppgiftslagen är teknikoberoende och tillämpas på automatiserad behandling och manuell behandling 11

12 LAGEN GÄLLER INTE Privat användning, tex, släktforskning och telefonlistor Behandling av personuppgifter om avlidna Utlämnande av personuppgifter enl. offentlighetsprincipen Särregler i andra lagar Lagen gäller inte journalistiska ändamål 12

13 GRUNDLÄGGANDE KRAV Ü Den personuppgiftsansvarige skall se till att personuppgifter: bara behandlas om det är lagligt (PuL 10-22) samlas för särskilt angivna ändamål inte behandlas för ändamål som är oförenligt med det de samlades in för är adekvata och relevanta i förhållande till ändamålet med behandlingen som behandlas är riktiga och aktuella 13

14 GRUNDLÄGGANDE KRAV, FORTS. Alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana uppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen Personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen 14

15 NÄR ÄR BEHANDLING TILLÅTEN? Den registrerade har lämnat sitt samtycke, eller om behandlingen är nödvändig för att: Ü ett avtal med den registrerade skall kunna fullföljas Ü för att kunna fullgöra en rättslig skyldighet Ü för att vitala intressen skall skyddas Ü en arbetsuppgift av allmänt intresse skall kunna utföras Ü utföra en arbetsuppgift i samband med myndighetsutövning Ü ett ändamål som berör ett berättigat intresse hos den personuppgiftsansvarige eller hos en såda tredje man..om detta väger tyngre än den registrerades rätt till integritetsskydd 15

16 PUL OCH WEBBSIDOR (MISSBRUKSREGELN) PUL 5A Ü PUL justerades 2007 när det gäller s.k. ostrukturerad text. Det innebär att det är tillåtet att publicera kallelser, protokoll, diarieförda allmänna och offentliga handlingar m.m. på myndighetens webbsidor, direkttelefonnummer till anställda, personuppgifter i e-post m.m. Personuppgiftsansvarig har en skyldighet i nuvarande lagstiftning att ha ett dokumenterat ställningstagande för hur och vilka uppgifter man publicerar med stöd av denna paragraf. OBS! Viktigt att kolla så att det inte finns personuppgifter som kan skada någon enskild Denna regel/ möjlighet försvinner dock i GDPR!!! 16

17 KÄNSLIGA PERSONUPPGIFTER Ü Det är förbjudet att behandla personuppgifter som avslöjar: Ü ras eller etniskt ursprung Ü politiska åsikter Ü religiös eller filosofisk övertygelse Ü medlemskap i fackförening Ü hälsa Ü sexualliv 17

18 UNDANTAG FRÅN FÖRBUDET Ü Samtycke eller tydligt offentliggörande Ü Nödvändiga behandlingar * inom arbetsrätten * den registrerades eller annans vitala intressen skall kunna skyddas och samtycke inte kan inhämtas * inom hälso- och sjukvården 18

19 PERSONNUMMER Ü Uppgifter om personnummer eller samordningsnummer får utan samtycke bara behandlas när det är klart motiverat med hänsyn till: - Ändamålet med behandlingen - Vikten av en säker identifiering - Något annat beaktansvärt skäl 19

20 ALLMÄN INFORMATION TILL DEN REGISTRERADE Ü När personuppgifter samlas in från den registrerade eller från annan källa skall den registrerade snarast informeras om detta. Ü Blanketter skall ha informationstext. Vid övrig insamling av personuppgifter skall det ske på lämpligt sätt. 20

21 UNDANTAG FRÅN INFORMATION Ü Om det är omöjligt (oproportionerlig stor arbetsinsats) 21

22 EXEMPEL PÅ INFORMATION Ü Information i enlighet med personuppgiftslagen För er information vill vi meddela att dina personuppgifter används för att behandla din ansökan om Vi behandlar ansökan med hjälp av IT. Om du vill ha ytterligare information om hur dina personuppgifter behandlas är vi tacksam för skriftligt besked om detta Solberga kommun, Box Solberga 22

23 RÄTTIGHET FÖR DEN REGISTRERADE, 26 INFORMATION Ü Personuppgiftsansvarig skall efter ansökan från registrerad lämna följande information: Ü vilka uppgifter om sökande som behandlas Ü varifrån dessa uppgifter har hämtats Ü ändamålen med behandlingen Ü till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Ü Dessa uppgifter skall lämnas ut inom en månad 23

24 RÄTTELSE AV PERSONUPPGIFT Ü På begäran av den registrerade skall den personuppgiftsansvarige Ü rätta, och Ü utplåna..sådana uppgifter som inte har behandlats i enlighet med lagen eller föreskrifter som utfärdats med stöd av lagen 24

25 SÄKERHETSFRÅGOR Ü Det är viktigt att personuppgifter hanteras med hög säkerhet. Både när det gäller manuell och automatisk hantering. Ü Myndigheten skall ha en nedtecknad säkerhetspolicy som innehåller strategi, ansvarsfördelning och målsättning för hantering av personuppgifter Ü Bristande IT-säkerhet kan föranleda skadestånd enligt 48 PUL 25

26 VARJE BEHANDLING SKALL ANMÄLAS TILL PERSONUPPGIFTSOMBUD ELLER TILL DATAINSPEKTIONEN Ü personuppgiftsansvariges namn, adress, telefon och organisationsnummer Ü ändamålet med behandlingen Ü beskrivning av den kategori personer som berörs av behandlingen Ü vilka personuppgifter som behandlas Ü beskrivning av till vilka uppgifter kan utlämnas Ü upplysning om ev. överföring till tredje land via internet (utanför Eu och EES) Ü säkerhetsåtgärder 26

27 PERSONUPPGIFTSOMBUDETS UPPGIFTER Ü att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed Ü att fortlöpande ger råd och synpunkter om lagen och dess tillämpning Ü om den personuppgiftsansvarige inte inom rimlig tid rättar till påpekade brister, har ombudet skyldighet att anmäla förhållandet till datainspektionen Ü att upprätta förteckning över de behandlingar som personuppgiftsansvarige genomför Ü att hjälpa registrerade att erhålla rättelse 27

28 NÄMNDEN/ STYRELSENS ANSVARAR FÖR ATT Ü personalen som behandlar personuppgifter har tillräcklig kunskap Ü det finns en instruktion till medhjälpare/ kontaktperson 30 Ü det finns rutiner som tillgodoser PUL s krav på säkerhet 31 Ü det finns rutiner för hur nya behandlingar skall hanteras 9 Ü det finns rutiner för hur samtycke skall dokumenteras 10,15 Ü det finns rutiner för information till registrerade

29 VILKA ÅTGÄRDER BÖR VIDTAS? Ü fullmäktige skall i respektive nämnds/styrelses reglemente ange att nämnden eller styrelsen är personuppgiftsansvariga Ü information till förtroendevalda och utbildning av personal Ü det skall utarbetas instruktioner kring hur det praktiska arbetet med personuppgifter skall hanteras inom myndigheten Ü ett personuppgiftsombud kan utses om man inte väljer att anmäla alla behandlingar till Datainspektionen 29

30 PUL OCH SOCIALA MEDIER Facebook och bloggar Myndigheten ansvarar för innehållet, både det som myndigheten själv publicerar samt även de inlägg som görs av utomstående. Twitter. Myndigheten ansvarar endast för de uppgifter som man själv lägger ut. Inte det som publicerats av utomstående. Myndigheten har inte möjlighet att påverka den publiceringen. Viktigt att informera om PUL:s regler då man har sociala medier för att möta medborgarna! 30

31 SKADESTÅND OCH STRAFF Ü Den personuppgiftsansvarige skall ersätta den registrerade före skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat Ü Vissa uppsåtliga eller oaktsamhetsbrott kan leda till böter eller fängelse i högst två år 31

32 EU:S DATASKYDDSFÖRORDNING Ü Träder ikraft den 25 maj Ü Ersätter nuvarande PuL. 32

33 DE STÖRSTA FÖRÄNDRINGARNA! Ü Förordningen består av 99 artiklar (motsvarar paragrafer). Det är en lag som gäller för alla medlemmar i Europeiska unionen. Ü Respektive medlemsstat får fastställa ytterligare nationella regler för att komplettera förordningen. (Se Dataskyddskommittén). 33

34 VIKTIGA GRUNDLÄGGANDE DELAR I FÖRORDNINGEN Ü Den enskildes rätt utökas. Det är individen som äger sin egen information! Ü Den personuppgiftansvariges ( respektive nämnds/ kommunalt bolags) ansvar ökas Ü Kraftfulla sanktionsavgifter vid felaktig hantering 34

35 HUR KLARAR VI ÖVERGÅNGEN? Ü Finns en fungerande PUL hantering idag? - Är organiseringen av PUL- arbetet ändamålsenligt? - Har organisationen tillräckliga resurser? - Finns tillräcklig kompetens inom organisationen? 35

36 NÅGRA NYA DEFINITIONER OCH BEGREPP( ARTIKEL 4) Ü Pseudonymisering= icke identifierbar personuppgift genom kodning ex. inom sjukvård, äldreomsorg Ü Personuppgiftsincident= en säkerhetsincident som leder till avsiktlig eller oavsiktlig felaktig hantering av personuppgifter (dataintrång) Ü Dataportalitet= rätt för den enskilde att flytta sina personuppgifter från en personuppgiftsansvarig till en annan Ü Rätt att bli glömd= rätt för den enskilde att i vissa fall bli bortplockad/raderad från sammanhang (Artikel 17) 36

37 DEFINITIONER OCH BEGREPP, FORTS. Ü Personuppgiftsansvarig= resp. nämnd,styrelse Ü Krav på konsekvensbedömning vid riskfyllda behandlingar Ü Dataskyddsombud= ersätter nuvarande PuLombud. (Obligatoriskt för kommunen). Ü Uppgiftsminimering= samla inte mer än behövligt Ü Privacy by design = IT system som har inbyggd ITsäkerhet Ü Privacy by default = IT-system som minimerar uppgiftsinsamling 37

38 SAMTYCKET SKALL GÖRAS TYDLIGT- ARTIKEL 7 Ü Ett samtycke skall vara enkelt och tydligt utformat. Samtycket skall dokumenteras och sparas. Ingen tvetydighet kring samtycket får förekomma. Ü När det gäller barns samtycke (artikel 8) har förordningen skärpts i jämförelse med PUL. Det innebär att myndigheten/registeransvarig skall fastställa en policy för när man skall begära samtycke från barn eller om vårdnadshavare skall lämna samtycket. När kan barn ta ansvar för sin integritet? 38

39 MISSBRUKSREGELN FÖRSVINNER Ü Det innebär att s.k. ostrukturerad behandling av personuppgifter som idag inte omfattas av PUL kommer att omfattas av förordningens regler. Det innebär att registeransvarig man måste ta ställning till hur ostrukturerat (tex protokoll på webben) materiel skall hanteras i framtiden. Det innebär information och i flera fall aktivt samtycke för att kunna publicera personuppgifter i kommunala protokoll. 39

40 UTÖKADE KRAV PÅ INFORMATION TILL DEN REGISTRERADE- ARTIKEL12-14 Ü Ni måste tydligt informera och redovisa vad och varför, hur länge ni uppgifterna lagras och vilken laglig grund ni har för registrering av personuppgifter. Ü Ni måste tydligt ange hur den registrerade skall kunna lämna klagomål både till myndigheten och tillsynsmyndigheten(datainspektionen) Ü Pul:s paragraf 26( rätt för enskild att ta del av egna uppgifter) finns i artikel 12 Ü Om personuppgifter inte inhämtats från den registrerade skall den registrerade få information om detta. (Artikel 14) 40

41 RÄTTELSE-ARTIKEL 16 Ü Den registrerade har rätt att få felaktiga uppgifter rättade utan dröjsmål. Vidare har den registrerade rätt att komplettera ofullständiga personuppgifter. 41

42 ANMÄLNINGSSKYLDIGHET OM MYNDIGHETEN FÖRÄNDRAR EN PERSONUPPGIFT ARTIKEL 19 Ü Personuppgiftsansvarig skall underrätta den som erhållit en personuppgift om det har skett en förändring (rättelse eller radering) av en personuppgift. 42

43 DEN PERSONUPPGIFTSANSVARIGES ANSVAR- ARTIKEL 24 Ü Tydlig och fastställd organisation kring dataskyddet och organiseringen av arbetet inom myndigheten/nämnden. 43

44 IT-SÄKERHET OCH REGISTERVÅRD- ARTIKEL 32 Ü Förordningen ställer stora krav på dels säkerheten i myndighetens hantering och förvaring av personuppgifter (dataskydd och IT- säkerhet) dels att myndigheten har en väl fungerande registervård som säkerställer aktualiteten och korrektheten i behandlingarna. 44

45 KARTLÄGG INTEGRITETSRISKER VID PERSONUPPGIFTSBEHANLINGAR- ARTIKEL 35 Ü Personuppgiftsansvarig skall göra en konsekvensbedömning avseende dataskydd vid behandling av personuppgifter som innebär integritetsrisker. (kameraövervakning, genetiska register, inom sjukvården, inom äldreomsorgen etc) Då man gjort en konsekvensbedömning för vissa känsliga behandlingar skall det anmälas till DI som skall göra en förhandskontroll och säkerställa att det är i enlighet med förordningens regler. 45

46 ÅTGÄRDER VID DATAINTRÅNG ELLER TAPPAD KONTROLL OVER INFORMATION-ARTIKEL 33 OCH 34 Ü Personuppgiftsansvarig har ett krav att omedelbart (inom 72 timmar) informera den enskilde som berörs samt till tillsynsmyndigheten (DI) 46

47 DATASKYDDSOMBUD- ARTIKEL Ü Den personuppgiftsansvarige och personuppgiftsbiträdet ska utse ett dataskyddsombud. I kommuner kan man utse en för hela kommunorganisationen. Ü Dataskyddsombudet skall ha rätt kvalifikationer för uppdraget Ü Dataskyddsombudet skall ha tillräckliga förutsättningar Ü Dataskyddsombudet får inte avsättas eller utsättas för sanktioner på grund av uppdraget 47

48 RÄTT TILL ERSÄTTNING VID FELAKTIG HANTERING ARTIKEL Ü Varje person som lidit materiell eller immateriell skada till följd av överträdelser i denna förordning har rätt till ersättning från den personuppgiftsansvarige. Ü Den administrativa sanktionsavgiften kan uppgå till 20 mkr EUR Ü Datainspektionen är den myndighet som påför sanktionsavgiften 48

49 HUR FÖRBEREDA SIG? Inventera, dokumentera och förteckna de behandlingar ni har idag. Innan den 25 maj 2018 skall ni har allt på plats! Stäm av om några behandlingar är inaktuella- gallra dem Gå igenom alla IT-baserade register. Kontrollera säkerheten i dessa. Finns biträdesavtal med samtliga biträden? Är dessa korrekt utformade. Bygg upp en ändamålsenlig organisation på myndigheten Utbilda och informera medarbetare och förtroendevalda på din arbetsplats 49

50 TACK FÖR IDAG! HÖR GÄRNA AV ER MED FRÅGOR OCH KOMMENTARER Mina personuppgifter Hans Gåsste