PuL och GDPR en översiktlig genomgång

Transkript

1 PuL och GDPR en översiktlig genomgång

2 Innehåll: Allmänt om nuvarande PuL Definitioner Allmänna bestämmelser Grundläggande krav Roller Säkerhet GDPR Skillnader mot dagens bestämmelser Checklista

3 Personuppgiftslagen (PuL) - Syfte och tillämplighet Syfte skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter bakomliggande EG-direktivet syftar ytterst till att åstadkomma ett fritt flöde av personuppgifter mellan medlemsstaterna Tillämpningsområde Personuppgiftsansvariga som är etablerade i Sverige, eller Använder utrustning i Sverige Subsidiär finns bestämmelser i annan lagstiftning som avviker så viker sig PuL för denna

4 PuL gäller för Strukturerad behandling av personuppgifter, d.v.s. helt eller delvis automatiserad, eller annan behandling om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning (t.ex. kartotek) men inte för ostrukturerat material (löpande text, ljud och bild) manuell eller rent privat behandling där lagen skulle strida mot bestämmelserna om tryck- och yttrandefrihet, journalistiska ändamål eller konstnärligt eller litterärt skapande dock får behandlingen inte vara kränkande (hur känsliga uppgifter är det, vilket sammanhang, syftet, spridningen och vad behandlingen kan leda till?)

5 Vad är en personuppgift? Personuppgift (enligt GDPR): Varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Alltså - all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet ( den registrerade ), exempelvis: Fred Smith fred_smith@hotmail.com shark_123@hotmail.com bilder (foton) och ljudupptagningar krypterade uppgifter olika slags elektroniska identiteter, som exempelvis IP-nummer och telefonnummer, om de kan kopplas till fysiska personer

6 Behandling Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter. Exempel: insamling registrering lagring användning återvinning utplåning förstöring

7 Personuppgiftsansvarig och personuppgiftsbiträde Personuppgiftsansvarig (data controller): Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifterna Personuppgiftsbiträde (data processor): Den som behandlar personuppgifter för den personuppgiftsansvariges räkning Ska finnas skriftligt avtal om att: Bara får behandla i enlighet med instruktioner Skyldig att vidta säkerhetsåtgärder

8 Grundläggande krav PuL 9 Behandlingen måste vara laglig, korrekt och i enlighet med god sed inte oförenlig med syftet = finalitetsprincipen Ändamålen särskilda, uttryckligt angivna och berättigade Uppgifterna adekvata, relevanta, riktiga och aktuella rätta, blockera eller utplåna felaktiga eller ofullständiga uppgifter inte fler än nödvändigt får ej bevaras längre än nödvändigt

9 Tillåten behandling PuL 10 Samtycke, eller nödvändigt till följd av a) avtal b) rättslig skyldighet c) skydd av vitala intressen för den registrerade d) arbetsuppgift av allmänt intresse e) myndighetsutövning eller efter en f) intresseavvägning

10 Samtycke Frivillig, särskild (specifikt ändamål, inte generellt) och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne Hypotetisk nej Tyst nej Konkludent ja, normalt dock inte för behandling av känsliga uppgifter Individuellt (av den registrerade själv) Återkallelse Inga formkrav, bevisbördan ligger på den registrerade Förhindrar insamling av ytterligare uppgifter, gamla uppgifter får inte uppdateras eller kompletteras Personuppgiftsansvarige har bevisbördan för att samtycke har erhållits = bör dokumenteras

11 Nya dataskyddsförordningen 1995 Dataskyddsdirektivet och Personuppgiftslagen December 2015 politisk överenskommelse om dataskyddsförordning Våren formellt beslut ny General Data Protection Regulation Maj 2018 förordningen träder i kraft Förordningen gäller direkt inom hela EU, nationell tolkning

12 GDPRs grundläggande principer 1. Laglighet - Identifiera laglig grund 2. Ändamålsbegränsning - Bestäm ändamålet med behandlingen 3. Öppenhet - Informera de registrerade 4. Uppgiftsminimering - Samla enbart in uppgifter som behövs för ändamålet 5. Korrekthet - Uppdatera felaktiga uppgifter 6. Integritet och konfidentialitet - Skydda uppgifterna mot obehörig åtkomst 7. Lagringsminimering - Radera uppgifterna när de inte längre behövs för ändamålet 8. Ansvarsskyldighet - Visa att ni gör rätt genom att dokumentera

13 GDPR skillnader mot idag Information till individen lättförståeligt och tydligt, dessutom ange: Dataskyddsombud (Data Protection Officer) Beskrivning av legitimt syfte Hur länge uppgifterna lagras Kontaktuppgifter tillsynsmyndighet Varifrån informationen är hämtad Individens rättigheter Individens rättigheter och kontroll Utökad (obegränsad) rätt att begära utdrag Rätt till radering ( rätten att bli bortglömd ) även i nästa led (om uppgifterna inte längre behövs, olaglig behandling, saknas berättigat intresse eller tar tillbaka samtycke enl. 6.1.a och 9.2.a) Portabilitet (om behandling grundas på samtycke eller avtal och uppgifterna har tillhandahållits av den registrerade) Omfattning: Nu också för ostrukturerat material (löpande text, ljud och bild)! Gäller ALL automatiserad behandling.

14 GDPR skillnader mot idag forts. Krav på informationssäkerhet Uttryckligt krav på privacy by design/default Utökade krav på konsekvensanalys (data protection impact assessment) innan behandlingen påbörjas Krav på incidentrapportering Till personuppgiftsansvarig snarast (för biträden) Till tillsynsmyndigheten inom 72 tim Till enskilda drabbade personer snarast om inte. genomfört lämpliga tekniska och organisatoriska skyddsåtgärder på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering. vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades rättigheter och friheter.. inte längre kommer att uppstå. oproportionell ansträngning. i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.

15 GDPR skillnader mot idag forts. Personuppgiftsbiträdet (processor) har eget straff- och skadeståndsansvar (om man brister i sina åtaganden) samt skyldighet att samarbeta med tillsynsmyndigheten. Biträdesavtal med ökade krav på: att säkerställa intern sekretess att bistå personuppgiftsansvarig Direkta lagkrav på personuppgiftsbiträdet Dataskyddsombud ska finnas (om kärnverksamhet kräver regelbunden övervakning av registrerade) Dokumentationskrav över behandlingarna (register över alla behandlingar) Eget ansvar att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (delat ansvar med ansvarig)

16 GDPR skillnader mot idag forts. Påföljder och sanktioner Skadeståndsansvar även för personuppgiftsbiträde Administrativa sanktionsavgifter: högsta av 20 miljoner Euro alt. 4% av globala koncernårsom-sättningen Överträdelsens karaktär, svårighetsgrad och varaktighet samt antalet berörda registrerade och den skada de lidit Uppsåt eller oaktsamhet De åtgärder som vidtagits för att lindra skadan Graden av ansvar med beaktande av de tekniska och organisatoriska åtgärder som genomförts Eventuella relevanta tidigare överträdelser Graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen De kategorier av personuppgifter som påverkas av överträdelsen Det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom Om åtgärder tidigare har förordnats, efterlevnaden av dessa Tillämpande av godkända uppförandekoder Eventuell annan försvårande eller förmildrande faktor

17 GDPR sammanfattning skillnader mot idag

18 GDPR checklista Skapa medvetenhet inom styrelsen Bestäm vad personuppgifterna ska användas till och använd inte för annat Upprätta ett register över personuppgiftsbehandlingar Samla in och hantera endast personuppgifter om ni har en laglig grund Informera de personer vars uppgifter du samlar in Samla inte in fler personuppgifter än vad som behövs för ändamålet Fastställ styrdokument och riktlinjer för de registrerades rättigheter och säkerheten kring behandlingen Se till att personuppgifterna är korrekta och uppdaterade Radera personuppgifter som inte längre behövs Skydda uppgifterna från otillåten användning och obehörig åtkomst Dokumentera hur ni tänkt avseende hanteringen av personuppgifter Informera Organisera Dokumentera Skydda Uppdatera Radera

19 Här kan Du hitta mer information: