Lo#a Kavtaradze. Jur. kand. och dataskyddskonsult Privacyline AB

Transkript

1 Lo#a Kavtaradze Jur. kand. och dataskyddskonsult Privacyline AB

2 Dagens agenda Dataskyddsförordningen Historia och Edsaspekter Grundläggande begrepp personuppgia Övergripande legala förändringar Krav på ordning och reda accountability m.m. Biträdesavtalen Vad kan hända? Hur kan man jobba med förberedelser? Problemområden inom privacy Problemområden inom bostadsföretag generellt Problemområden för studentbostadsföretag

3 Historia FoB-arna startade diskussionen på 1960-talet datalagen (och DatainspekEonen) kom 1973 EU-anpassning: PUL 1998 Quis custodiet ipsos custodes? EU-gemensam lagseaning våren 2016/2018 compliance countdown Ell den 25 maj 2018 speciallagseaningar finns och blir troligen kvar - Branschöverenskommelsen för bostadsuthyrning - Code of conduct

4 Vad är en personuppgia? All informaeon som på något sä= kan kopplas Ell en idenefierbar fysisk person som är i livet. Obs! En person kan idenefieras på många andra sä= en genom namn eller personnummer! Det gäller även om kopplingsnyckeln inte finns hos den personuppgiasansvarige! Pseudonymisering kontra kryptering och avidenefiering.

5 Personuppgi5 exempel även INDIREKTA uppgiaer omdömen och värderingar bild- och ljudupptagningar (digitalt) geneesk och biometrisk informaeon Förtydliganden i dataskyddsförordningen: t.ex. lokaliseringsdata, näedenefierare.

6 Känslig informa;on Förbud a4 registrera: - ras eller etniskt ursprung - polieska åsikter - religiös eller filosofisk övertygelse - medlemskap i fackförening - hälsa - sexualliv Ny= i dataskyddsförordningen: geneesk och biometrisk informaeon Det finns också specialbestämmelser om registreringen av uppgiaer om bro=/bro=smisstanke samt om personnummer.

7 Känslig informaeon - undantag Undantag från förbudet: Vad säger dsf? u=ryckligt samtycke arbetsrä=en (även kollekevavtal) socialtjänst/socialförsäkring skydda vitala intressen ideella organisaeoner eget offentliggörande vikegt allmänt intresse hälso- och sjukvård allmänt intresse på folkhälsoområdet arkivering, forskning och staesek rä=sliga anspråk speciallagseaningar i viss mån

8 UppgiAer om lagöverträdelser Förbud för andra än myndigheter (dock väl förankrat och skyddat) Samtycke duger inte! För övriga: fastställt i EU/medlemsstats lagseaning Men kommer det bara a= gälla fällande domar i bro.mål och överträdelser eller därmed sammanhängande säkerhetsåtgärder, i dsf? I sådana fall är det stor skillnad från idag! Idag gäller begränsningen även misstankar om bro=. Generella undantag i DIFS 2010:1 idag, bl.a. behandlingen avser endast enstaka uppgi< som är nödvändig för a. rä$sliga anspråk ska kunna fastställas, göras gällande eller försvaras i e. enskilt fall, behandlingen avser endast enstaka uppgi< som är nödvändig för a. anmälningsskyldighet enligt lag ska kunna fullgöras, Beslut från DI i enskilda fall

9 Extra skyddsvärda personuppgiaer T.ex. samarbetsförmåga och liknande omdömen sekretessbelagt informaeon personnummer viss ekonomisk informaeon annat som ligger nära privatlivet Inget samtycke krävs, men starka säkerhetsåtgärder vid autenesering och kommunikaeon.

10 Övergripande legala förändringar alla medlemsstater får samma lagtext. Öppet för många tolkningar! flexibilitet på myndighetsområdet, HR m.fl: vad ska gälla i Sverige? stora bötesbelopp (men vad ska gälla för myndigheter?) krav på analyser, ruener och dokumentaeon Privacy by design och Privacy by default samtycket ska vara tydligare och krävs oaare (?)

11 Övergripande legala förändringar forts. informaeonskravet blir ännu mer omfa=ande nya förutsä=ningar inom marknadsföringen (profilering/ selektering) särskild hänsyn Ell barns personuppgiaer rä=en a= bli glömd och dataportabilitet dataskyddsombud (i vart fall för myndigheter) data breach noeficaeon IT-leverantören blir Ellsynsobjekt

12 Krav på ordning och reda Accountability - utökade krav på kartläggning och dokumentaeon Governance Öppenhet OrganisaEonsstruktur Analyser (PIA) Policies/guidelines Awareness/medvetenhet Change management Code of conduct och cerefieringar

13 Hur kan man jobba med ordning och reda inom data proteceon? Ledning/styrning/budget OrganisaEon Nulägesanalys - mapping/kartläggning och juridisk utvärdering GAP-analys Åtgärdsplaner Utbildningsinsatser

14 Vad kan hända? dålig ordning gör det svårt a= följa lagseaningen och visa accountability affärsrisk a= inte kunna visa och bevisa vad man gör och hur man skyddar kundernas informaeon men försök a= även hi=a fördelarna för affären missnöjda kunder/anställda kan leda Ell: - kriek från DatainspekEonen - negaev publicitet skada på varumärket! - kriek från ägare och ledning beslut om a= registret inte får föras skadestånd höga administraeva böter i kommande lagseaning dagsböter/fängelse oklart hur det blir i dsf

15 Vad behöver ni förbereda? - organisaeon + budget - nulägesanalys (inventering och juridisk utvärdering) - GAP-analys + åtgärdsplaner - utbilda personal (och beslutsfa=are) - ta fram riktlinjer och ruener för bl.a. dokumentaeon, gallring, fritext, behörigheter, utvecklingsprojekt, tjänstevillkor - gör konsekvensanalyser (behov/risk/sårbarhet) - se över avtalen/tjänstevillkoren - utse e= dataskyddsombud Var beredda a= visa omvärlden vad ni har gjort och hur ni har tänkt.

16 Problemområden inom privacy Medvetenhet inom organisaeonen Resurser (Ed/budget) InformaEonsinsatser Bevarande och gallring BehörighetsElldelning Fritext AutenEsering Tydliga och väl kända riktlinjer Kraven på IT-leverantörerna (avtal) Mobila enheter/e-post/kommunikaeon Biträden/tredjeland/molntjänster

17 Problemområden för bostadsföretag generellt SkriAliga samtycken för känsliga personuppgiaer BehörighetsElldelning för känsliga och extra skyddsvärda personuppgiaer Fritext i bl.a. störningsärenden (flera polisärenden) E-tjänster för anmälningar av olika slag Spärrlistor Elektroniska nycklar Kameraövervakning Utlämnande för annans marknadsföring

18 Problemområden för studentbostadsföretag Hög andel internaeonella hyresgäster Kontroller av studiemeriter och medlemskap Förturshantering pga fysiska eller psykiska handikapp Hög omfly=ningstakt

19 Konsten a# jobba med dataskydd Hur kommer man igång?! Projektplan Nulägesanalys Inventeringen Utbildning inom organisaoonen Policies/instrukOoner/riktlinjer

20 Hur kommer man igång?! Förankring i styrelsen/lg är i princip en förutsä=ning för e= lyckat projekt Se dataskyddsarbetet som e= projekt som ska genomföras under ex. e= år eller Oll Q Ta fram en projektplan (och/eller projektdirekov) AmbiOonsnivån och behov avgör Od, resurser och budget Tala med din chef och dina kolleger, skapa förståelse för a= de=a måste genomföras Peka på tänkbara konsekvenser, inte bara risker utan också hur e= bra dataskydd kan stödja er affär DET KOMMER ATT GÅ BRA!

21 Nulägesanalys Skapa en registerförteckning möjlighet a= dokumentera i s.k. registerbeskrivningar Utbilda och berä=a om projektet Skapa e= nätverk/kontaktpersoner Intervjua avdelningsvis, dokumentera (inventering/ mapping/kartläggning)) Gör en juridisk utvärdering, dokumentera Ta fram en GAP-analys, dokumentera Ta fram åtgärdsplaner och följ upp, dokumentera Övrigt: Ti=a på guidelines och avtalen med IT-leverantörerna

22 Inventeringen Bland annat: Ändamål Innehåll Känsliga personuppgiaer InformaOonsinsatser/samtycken Utlämnanden/tredjeland Avtal/leverantörer/underleverantörer Behörigheter Bevarande och gallring Guidelines Fritext Säkerhet/lagring/kommunikaOon/autenOsering Intressenter inom organisaoonen

23 Utbildning inom organisaoonen Medvetenhet är en förutsä=ning för e= go= integritetsskydd! Och för di= arbete! Alla nivåer, särskilt ledningen, behöver ha en grundläggande kunskap om dataskyddslagsoaningen Ta fram bra exempel från verkligheten, utny=ja nätverket Q&A på intranätet E-learning, arbetsplatsträffar, seminarier för olika grupper

24 Policies/instrukOoner/riktlinjer Förslag: InformaOonssäkerhetspolicy Kontroll av personalens användning av IT-utrustning + lagring hemma, BYOD och mobila enheter Adresshantering/skyddade personuppgiaer Fritexoält Diarier/publicera diarier BehörighetsOlldelning Bevarande och gallring Process för säkerhets- och riskanalyser Process för change management E-post Hemsidan/sociala media

25 Nätverk Si=er du i en stor organisaoon? Tro inte a= du kan göra allong själv! Data Privacy Managers?