Dataskyddsförordningen

Transkript

1 Stadsledningskontoret Juridiska avdelningen Sida 1 (6) kommer den 25 maj 2018 att ersätta personuppgiftslagen (PuL). Förordningen behöver kompletteras med nationella regler. För närvarande pågår ett omfattande statligt utredningsarbete och utredningarna kommer att presentera sina förslag med början i april Många av dataskyddsförordningens begrepp och principer återfinns i PuL, men förordningen innebär även förändringar som är viktiga att känna till. Några tydliga förändringar är ökade krav på hantering av personuppgifter, ökat ansvar för personuppgiftsansvariga. ökat ansvar för personuppgiftsbiträden, dataskyddsombud stärkt roll, den registrerades rättigheter förstärks, och strängare sanktioner. I artikel 4 i dataskyddsförordningen förklaras både nya och gamla begrepp. I denna promemoria ges en kort sammanfattning av de största förändringarna. För den som vill fördjupa sig finns hänvisningar i respektive avsnitt och i slutet av dokumentet. Personuppgiftsansvaret Stadsledningskontoret Juridiska avdelningen Hantverkargatan 3 A Stockholm hans.altsjo@stockholm.se stockholm.se Personuppgiftsansvarig Definitionen av personuppgiftsansvarig är densamma som i PuL (artikel 4.7). Personuppgiftsansavig ansvarar för att principerna för behandling av personuppgifter efterlevs, dvs. laglighet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering, integritet och konfidentialitet (artikel 5). Personuppgiftsansvarig ska

2 Sida 2 (6) med beaktande av behandlingens art och omfattning mm. genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen (artikel 24). Ett sätt att visa detta är att tillämpa godkända uppförandekoder eller godkända certifieringsmekanismer. Personuppgiftsansvarig kan bli skadeståndsskyldig och det utreds om administrativa sanktionsavgifter ska införas. Den personuppgiftsansvarige ska föra ett register över samtliga personuppgiftsbehandlingar (artikel 30). Säkerhet och skydd för personuppgifter ställer tydliga krav på inbyggt dataskydd (privacy by design) och dataskydd som standard (privacy by default) (artikel 25). Konsekvensbedömning och förhandssamråd Personuppgiftsansvarig ska göra en konsekvensbedömning innan behandling utförs som sannolikt medför hög risk för fysiska personers rättigheter och friheter. Bedömningen ska avse den planerade behandlingens konsekvenser för skyddet av personuppgifter. Vid en konsekvensbedömning ska dataskyddsombudet rådfrågas. Visar konsekvensbedömningen att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken ska förhandssamråd ske med tillsynsmyndigheten. (Artikel 35-36). Anmälan av personuppgiftsincident till tillsynsmyndigheten och information till den registrerade om sådan incident Personuppgiftsansvarig ska utan onödigt dröjsmål och om möjligt senast 72 timmar efter att ha fått vetskap anmäla en personuppgiftsincident till tillsynsmyndigheten om det inte är osannolikt att incidenten medför risk för personers rättigheter och friheter. Personuppgiftsincidenter ska dokumenteras, inklusive dess effekter och vilka åtgärder som vidtagits, i syfte att möjliggöra kontroll att bestämmelsen har följts. Om det är sannolikt att personuppgiftsincidenten leder till hög risk för personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade. (Artikel 33-34).

3 Sida 3 (6) Övrigt Mer information om vad de nya och förändrade kraven för personuppgiftsansvar och personuppgiftsansvariga innebär finns på Datainspektionens hemsida, se t.ex. Förberedelser för personuppgiftsansvariga. Personuppgiftsbiträde Personuppgiftsansvarig får endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder så att dataskyddsförordningens krav uppfylls. Vidare innehåller förordningen utförliga krav på vad ett biträdesavtal ska innehålla. Personuppgiftsbiträdesavtalen måste därför ses över. Personuppgiftsbiträden har ett eget ansvar för att vidta erforderliga säkerhetsåtgärder. De ska anmäla dataskyddsincidenter till den personuppgiftsansvarige. Även personuppgiftsbiträden kan bli skadeståndsansvariga. (Artikel 28-29). Se vidare information på Datainspektionens hemsida, t.ex. Förberedelser för personuppgiftsbiträden. Dataskyddsombud När en myndighet behandlar personuppgifter ska personuppgiftsansvarig utse ett dataskyddsombud (jfr. nuvarande personuppgiftsombud). Dataskyddsombudet ska utses utifrån yrkesmässiga kvalifikationer och sakkunskap om lagstiftning och praxis samt förmåga att utföra ett dataskyddsombuds uppgifter. Ombudet får ingå i den personuppgiftsansvariges ordinarie personal eller utföra uppgifterna enligt särskilt tjänsteavtal. Ett dataskyddsombud får utses för flera myndigheter med hänsyn till organisationsstruktur och storlek. Personuppgiftsansvarig ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela tillsynsmyndigheten. Personuppgiftsansvarig ska säkerställa att dataskyddsombudet deltar i alla frågor som rör skyddet av personuppgifter, och tillhandahålla de resurser ombudet behöver för sina uppgifter och för upprätthållande av sin sakkunskap. Dataskyddsombudet ska informera och ge råd till personuppgiftsansvarig, personuppgiftsbiträdet och de anställda som behandlar personuppgifter om skyldigheter,

4 Sida 4 (6) övervaka efterlevnaden av dataskyddsförordningen och av den personuppgiftsansvariges strategi för dataskydd, inbegripet bland annat information, granskning och kontroller, ge råd till personuppgiftsansvarig om konsekvensbedömning enligt artikel 35, samarbeta med och vara kontaktpunkt för tillsynsmyndigheten, och vara kontaktperson mot registrerade. Dataskyddsombudet rapporterar direkt till den personppgiftsansvariges högsta förvaltningsnivå. Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner av personuppgiftsansvarig eller personuppgiftsbiträde för att ha utfört sina uppgifter. Dataskyddsombudet får fullgöra andra uppgifter, men personuppgiftsansvarig ansvarar för att det inte leder till intressekonflikt. (Artikel 37-39). Den registrerades rättigheter Information till den registrerade Enligt PuL ska viss information lämnas självmant till den registrerade när uppgifterna samlas in. Denna information ska även enligt dataskyddsförordningen lämnas till den registrerade. Därutöver ska även viss övrig information lämnas till den registrerade (artikel 12-13). Det är också tydligare reglerat hur informationen ska lämnas. När personuppgifter samlas in från någon annan källa än den registrerade själv ska enligt PuL den personuppgiftsansvarige självmant informera den registrerade när uppgifterna registreras. Motsvarande bestämmelser finns i dataskyddsförordningen (artikel 14) med vissa däri angivna tillägg avseende vilken information som ska lämnas. Rätten enligt PuL för den registrerade att efter ansökan få ta del av uppgifter som registreras om denne finns även i dataskyddsförordningen som innehåller en utökad rätt till information. Om sådan begäran görs elektronisk har den registrerade rätt att få ut informationen elektroniskt (artikel 15). Rättelse och radering Rätten att få uppgifter rättade motsvarar bestämmelserna i PuL. Den registrerade har enligt dataskyddsförordningen rätt att få personuppgifter raderade i vissa angivna situationer. I artikel 17 anges undantag från rätten till radering i de fall behandlingen är nödvändig av däri uppräknade skäl.

5 Sida 5 (6) Begränsning av behandling Den registrerade har rätt att i vissa fall kräva att behandlingen av personuppgifter begränsas då uppgifter, med undantag för lagring, endast får behandlas i vissa angivna fall (artikel 18). Rätten till dataportabilitet Denna rättighet finns inte reglerad i PuL. Enligt dataskyddsförordningen har den registrerade rätt att få ut de personuppgifter som rör hen och som hen har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig. Denna rätt ska inte gälla en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som led i myndighetsutövning. (Artikel 20). Missbruksregeln och intresseavvägning Den så kallade missbruksregeln (5 a PuL), är en svensk konstruktion som kommer att försvinna i och med införandet av dataskyddsförordningen. Missbruksregeln har inte varit tillämpbar på databaser eller register, utan har endast omfattat så kallat ostrukturerat material, såsom exempelvis personuppgifter som behandlas i löpande text på internet, i ordbehandlingssystem, korrespondens via e-post, ljud- och bildupptagningar eller i form av fotografier. Genom att hänvisa sin behandling av personuppgifter till missbruksregeln har man hittills undkommit tillämpningen av de flesta övriga regler i PuL, dock under förutsättning att behandlingen inte innebär en kränkning av den registrerades personliga integritet. Det är oklart hur missbruksregeln tillämpas inom staden idag. Det är därför osäkert vilken betydelse det kommer att få att missbruksregeln försvinner. Det kommer dock att ställas högre krav på att man innan behandlingen av personuppgifter undersöker och hittar stöd för behandlingen i förordningens bestämmelser. Det kommer därför behövas tydliga rutiner för till exempel publicering av personuppgifter på internet samt för att skicka personuppgifter i e-post. Det är alltså viktigt att i ett inledande skede se över personuppgiftshanteringen och särskilt undersöka om viss behandling stödjer sig på missbruksregeln och i sådant fall utreda om behandlingen är förenlig med dataskyddsförordningens bestämmelser. I detta sammanhang är det också viktigt att observera att den intresseavvägning som varit möjlig att grunda sin behandling på enligt 10 PuL inte längre kommer att vara möjlig att åberopa av myndigheter enligt de nya bestämmelserna. I dataskyddsförordningen (artikel 6) anges under vilka villkor behandling av personuppgifter är

6 Sida 6 (6) laglig. Fortfarande kan behandling vara tillåten då den rör ett berättigat intresse hos personuppgiftsansvarig som väger tyngre än den registrerades intresse av skydd. Denna grund gäller dock uttryckligen i de nya bestämmelserna inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Överföring av personuppgifter till tredje land I artikel i dataskyddsförordningen finns bestämmelser om överföring av personuppgifter till tredjeländer eller internationella organisationer. Bestämmelserna blir tillämpliga bland annat vid publicering av personuppgifter på Internet. De kan också bli tilllämpliga vid användandet av molntjänster. Regleringen är i stort sett densamma som enligt PuL. Det principiella förbudet mot överföring av personuppgifter till tredje land behålls. Rättsmedel, ansvar och sanktioner Genom dataskyddsförordningen skärps sanktionerna och den registrerade ges ökade möjligheter att klaga hos tillsynsmyndigheten samt utökad rätt till ersättning, även i förhållande till personuppgiftsbiträden. Förordningen öppnar för kraftiga sanktionsavgifter, men det är ännu oklart om dessa kommer att gälla för myndigheter. (Artikel 77-84) Mer information För mer information se: