Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

Transkript

1 Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

2 Regler för personuppgifter Idag finns regler om hur personuppgifter får hanteras i PUL samt regler om hur marknadsföring får göras enligt marknadsföringslagen Ny dataskyddsförordning ersätter PuL i hela EES De nya reglerna gäller från och med 25 maj 2018 Företag som bryter mot lagen riskerar böter upp till det högre beloppet av euro eller 4 % av koncernens globala omsättning

3 Förordningen i korthet Principerna bygger på nuvarande lag, men också ett stort antal nyheter Gäller alla personuppgifter allt som går att koppla till en individ, t.ex. namn, kunddata, köphistorik, adress, kontonummer, osv. Krav på när och hur personuppgifter får behandlas

4 Personuppgiftsansvarig Den som själv eller tillsammans med andra bestämmer ändamål och medel med behandlingen är personuppgiftsansvarig Ni ansvarar alltid självständigt för att lagen uppfylls vad gäller era Kundregister Anställningsregister och kandidatdatabaser Leverantörsregister Register över de som registrerat nyhetsbrev, kundklubb, osv. Eventuella andra registrerade Krav på avtal med den som behandlar uppgifter för er (personuppgiftsbiträdesavtal)

5 Ökat eget ansvar Ska kunna visa att lagen följs (accountability) Genomföra lämpliga organisatoriska och tekniska åtgärder för att följa lagen Krav på att ha olika rutiner, dokumentation och policys på plats Ordning och reda Krav att arbeta aktivt med lagen, utbildningar m.m.

6 Ökat eget ansvar Skyldighet för personuppgiftsansvariga (och biträden) att föra register över behandlingen I nya projekt som innebär behandling som sannolikt leder till hög risk för personers rättigheter och friheter Krav att göra konsekvensbedömning (Data Protection Impact Assessment) och dokumentera Förhandssamråd med myndigheten

7 Förbud mot överföring utanför EES (PuL) Lagstiftningen ska inte kunna kringgås genom att flytta ut data Behöver ha koll på var data behandlas Innebär viss tjänst eller support överföring till länder som inte är tillåtna? Molntjänster? Överföring till land utanför EES får bara ske om vissa krav är uppfyllda, t.ex. specialavtal ingånget eller land godkänt

8 När är behandling tillåten?

9 Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgifterna får bara behandlas med hänsyn till vissa särskilda, uttryckligt angivna och berättigade ändamål Inte senare behandlas på sätt som oförenligt med detta ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i relation till ändamålet Korrekthet Uppgifter ska vara korrekta, annars raderas Lagringsminimering Uppgifter får inte sparas länge tid än nödvändigt Integritet och konfidentialitet Krav på säkerhet, inkl. skydd mot obehörig förlust

10 När är behandling tillåten? För varje åtgärd, register, etc. som innebär behandling av personuppgifter behöver en juridisk bedömning göras Behandlingen behöver vara tillåten enligt samtycke nödvändigt för att ett avtal med den registrerade ska kunna fullgöras nödvändigt fullgöra rättslig förpliktelse skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person en arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning intresseavvägning

11 Laglighetsbedömning Vad är ändamålet med en viss behandling? Finns laglig grund enligt förordningen? Laglig skyldighet att utföra behandling Arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning Nödvändigt p.g.a. avtal med den registrerade Intresseavvägning Annars behövs samtycke! Är samtycke en rimlig och proportionell åtgärd eller ska vi låta bli att utföra behandlingen? Hur samlar vi in samtycket?

12 Andra krav

13 Utökade säkerhetskrav Företag ska vidta tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå Kan inbegripa t.ex. kryptering av personuppgifter fortlöpande kontroll av de system som behandlar uppgifterna och system för att testa effektiviteten hos åtgärder som ska säkerställa behandlingens säkerhet Att följa en uppförandekod kan användas för att visa att följer kraven Uttryckliga krav på att skydda personuppgifter från att förstöras och röjas

14 Privacy by design Säkerhets- och integritetsaspekter ska tas hänsyn till redan vid planering och utveckling av IT-system Anpassas beroende på vilka krav ni har, men även grundläggande principerna t.ex. inte spara uppgifter längre än nödvändigt Den som är personuppgiftsansvarig ska ställa kraven Åtgärder: Inför rutiner för att ställa krav vid ITupphandlingar samt utbilda eventuella arkitekter

15 Informationskrav vid personuppgiftsincident Informera om personuppgiftsincident utan oskäligt dröjsmål Informera tillsynsmyndigheten Som huvudregel: Inom 72 timmar efter vetskap om intrånget Informera varje registrerad individ Om sannolikt leder till hög risk för enskildas rättigheter Undantag, t.ex. om system finns för att bevisa att de förlorade uppgifterna gjorts oläsbara för utomstående, t.ex. kryptering Oproportionerlig ansträngning: istället informera allmänheten Ni behöver stärka era säkerhetsåtgärder och införa rutiner för att meddela registrerade individer!

16 Dataskyddsombud Får utses av alla Måste utses av alla offentliga organ och alla företag som har kärnverksamhet som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning behandling i stor omfattning består av känsliga uppgifter Speciell anställd eller konsult med ansvar för personuppgiftshantering Skapa medvetenhet, övervaka efterlevnad, m.m. Kriterier för utnämnande Yrkesmässiga kvalifikationer Expertkunnande om lagstiftning Förmågan att fullgöra sina uppgifter

17 Mer omfattande informationskrav Information ska lämnas självmant till alla registrerade Information på begäran (registerutdrag) inom en månad Mer omfattande information uppdatera information till registrerade (personuppgiftspolicy) Uppdatera information till anställda och andra registrerade samt rutiner och policys!

18 Rätten att bli bortglömd Minimera volymen av sparade personuppgifter Krav på att radera - om ingen legitim grund för fortsatt behandling finns Radera mina uppgifter NEJ Legitima grunder för att behålla uppgifterna? JA RADERA BEHÅLL

19 Konsekvenser och hur ska vi göra?

20 Konsekvenser av lagen Dataskydd blir en ledningsfråga Viktigare att följa lagen Integritetsfrågorna får mer uppmärksamhet och kräver resurser, organisation och budget Ökat fokus på förebyggande åtgärder och dokumentation System och databaser kan bli olagliga

21 Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policyer Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policyer för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder - rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv.

22 Hur kan vi förbereda oss? Skapa medvetande internt om de nya reglerna och den nya rollen informera och utbilda Ett projekt för att följa lagen behövs 1. Gör en nulägesanalys ( Gap analysis ) 2. Efterlevnadsprojekt

23 Tips för ett lyckat efterlevnadsprojekt Budgetera och avsätt resurser noga Ha en intern projektledare och ev. även en inhyrd Lägg mycket tid i början på att identifiera rätt personer som ska delta Lägg stor vikt vid planeringsstadiet Diskutera ambitionsnivå av compliance riskapproach

24 Nulägesanalys ( Gap analysis ) Identifiera behandlingar och system Laglig grund för behandlingen Identifiera tredjeparter Mappa vilka legala enheter i koncernen som är personuppgiftsansvariga och biträden Vilka juridiska dokument, rutiner och samtycken finns idag? Identifiera brister och områden att hantera inför att förordningen träder i kraft

25 Efterlevnadsprojekt Hur säkerställa ett effektivt efterlevnadssystem ( Data Protection Management System )? 1. Säkerställ att behandlingen är laglig 2. Sätt ansvar och organisation 3. Uppdatera juridiska dokument, avtal, samtycken och policyer 4. IT- och säkerhetsåtgärder 5. Organisatoriska åtgärder och rutiner accountability

26 Sätt ansvar och organisation Behöver vi ett dataskyddsombud? Vem är annars högst ansvarig? Olika kompetens informationssäkerhet, projektledning och juridik Vad är en lämplig organisering för er? Lands eller bolagsvis: Lokala kontaktpersoner Områdesvis: HR/Kunddata/Leverantörsdata/Marknad/Kundklubb Ansvar över olika system/behandlingar Rapportordningar och arbetsbeskrivningar Övervakning av efterlevnad (internt/externt)

27 Juridisk dokumentation/policyer (exempel) Personuppgiftsbiträdesavtal och ev. underbiträdesavtal Information till registrerade (personuppgiftspolicy) Samtyckestexter Interna policyer för behandlingen, lagrings- och gallringsrutiner Beroende på verksamhet/storlek: Mall och rutiner för konsekvensbedömning Dokumentation/avtal för överföring till tredje land Rutiner och dokumentation för incidenthantering Rutiner inför upphandling

28 IT- och säkerhetsåtgärder (exempel) Säkerhetskrav är de tillräckliga utifrån de krav som ställs i lag och med hänsyn till vilka uppgifter det rör sig om? Börja tillämpa inbyggd integritet (privacy by design) vid egen utveckling Tekniska rutiner för gallring, behörighetsstyrning, autentisering Tekniska rutiner för att undvika personuppgiftsincidenter

29 Organisatoriska åtgärder och rutiner Utbildningsrutiner (och rutiner för att övervaka att utbildning genomförts) Utelämnande av information Dokumentationsrutiner Samtycken checklistor Register över behandling Rutiner för anmälan av personuppgiftsincident Konsekvensbedömning vid ny behandling Rutiner vid upphandlingar Contract management Sekretessavtal Med mera..

30 Vilka är vi och vad gör vi?

31 Olika nivåer av stöd Utbildningar och workshops Efterlevnadsprojekt (de juridiska delarna) Bollplank i enstaka frågor Hjälp med juridiska texter, avtal och checklistor

32 Delphi om oss Delphi är en av Sveriges främsta affärsjuridiska byråer Modern och framtidsinriktad Specialister inom alla affärsjuridikens områden Stolt vinnare av Årets Advokatbyrå, Sveriges största klientstudie för advokatbyråer specialiserade på affärsjuridik Advokatbyråer 200+ mkr Stora klientpriset

33 Delphi IP/Tech - topprankade inom IT och dataskydd Topprankade av Chambers och Legal 500 inom IP och IT Stort fokus på personuppgifter och nya dataskyddsförordningen Stor arbetsgrupp på fem kontor som arbetar målinriktat med nya dataskyddsförordningen, maller, checklistor m.m. Specialister inom IT-juridik, online, digitala tjänster, Life Science och immaterialrätt

34 Caroline Sundberg / Senior Associate / Advokat Direkttelefon: Mobiltelefon: Caroline.Sundberg@delphi.se Advokatfirman Delphi / Mäster Samuelsgatan 17, Stockholm Telefon: / Fax: / delphi.se 34

35