Välkomna Dataskyddsförordningen med fokus på den offentliga sektorn

Transkript

1 Välkomna Dataskyddsförordningen med fokus på den offentliga sektorn Stockholm den 25 april 2017 Lisa Johansson, Salli Fanaei, Agneta Runmarker och Mattias Sandström

2

3 Disposition Rätten till privatliv och dataskyddsregleringen Personuppgiftslagen och grundläggande begrepp Dataskyddsförordningen Tillämpningsområde Grundläggande principer Laglig grund för behandling De registrerades rättigheter Skyldigheter för personuppgiftsansvariga/biträden Checklista Frågor

4 Rätten till privatliv

5 Rätten till privatliv Europakonventionen om de mänskliga rättigheterna Svenska grundlagar EU:s stadga om de grundläggande rättigheterna Dataskyddsförordningen Svensk generell kompletteringslag Annan lagstiftning registerförfattningar Förenklad och schematisk bild

6 *Sida för ytterligare anteckningar

7 EU:s rättighetsstadga artikel 8 1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. 2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. 3. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

8 EU:s dataskyddsreform

9 EU:s dataskyddsreform - flera delar Allmän dataskyddsförordning ( GDPR ) Dataskyddsdirektiv för brottsbekämpande myndigheter Förordning om integritet och telekommunikation (e-privacy) Förordning om dataskyddsregler för EU:s institutioner

10 Varför nya regler? Modernisering nu gällande regler bygger på ett direktiv från 1995 Förstärkning av enskildas rättigheter och tydliggörande av ansvar och skyldigheter för den som behandlar personuppgifter Harmonisering samma rättigheter och skyldigheter i hela EU

11 EU:s dataskyddsförordning Förordning istället för direktiv Ett förhandlingsdokument Kompletterande lagstiftning Kompletteringslag Registerförfattningar Förslag till kompletterande lagstiftning under 2017 Artikel 29-gruppen förbereder EU-domstolens praxis får ökad betydelse

12 Ett par nyheter En förordning gäller som svensk lag Harmonisering innebär stopp för svenska särlösningar - missbruksregeln i 5 a personuppgiftslagen försvinner Stärkt ställning för den registrerade Dataportabilitet Ökat ansvar för ansvariga och biträden Konsekvensbedömning avseende dataskydd Anmäla personuppgiftsincident Administrativa sanktionsavgifter

13 Missbruksregeln försvinner Behandling i ostrukturerat material till exempel vid publicering internet e-post ordbehandlingstext Kartlägg befintlig behandling som sker med stöd av missbruksregeln Identifiera bl.a. rättslig grund hur informationsskyldigheten kan uppfyllas

14 Vad är (i princip) oförändrat? Strukturen Tillämpningsområdet Grundläggande krav Rättslig grund Känsliga personuppgifter Överföring till tredje land

15 Grundläggande begrepp

16 Personuppgifter Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade) En identifierbar person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet Artikel 4.1, skäl 26-30

17 Känsliga personuppgifter Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Hälsa Sexualliv eller sexuella läggning Genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person Artikel 9.1

18 Personuppgiftsansvarig En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter Personuppgiftsansvaret kan i vissa fall bestämmas genom lagstiftning. Artikel 4.7

19 Personuppgiftsbiträde En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Artikel 4.8

20 Dataskyddsombud En person eller organisation Sakkunskap om dataskyddslagstiftning och förfaranden Bistår den personuppgiftsansvarige eller personuppgiftsbiträdet för att Övervaka den interna efterlevnaden av dataskyddsförordningen och andra dataskyddsbestämmelser Artikel 37-39, skäl 97

21 Dataskyddsförordningens tillämpningsområde

22 När tillämpas förordningen? Helt eller delvis automatiserad behandling av personuppgifter Manuell (om register) Artikel 2, skäl 15

23 När tillämpas förordningen? Personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i EU Inom ramen för verksamheten Ingen betydelse om behandlingen utförs i unionen eller inte Personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade utanför EU om De erbjuder varor och tjänster i EU eller Övervakar registrerades beteende i EU Artikel 3, skäl 22-25

24 När gäller inte förordningen? Undantag för privat behandling Uppgifter om avlidna Tryck- och yttrandefrihet Tillgången till allmänna handlingar offentlighetsprincipen Nationell säkerhet och gemensam utrikes- och säkerhetspolitik Brottsbekämpande myndigheter (nytt direktiv) Artikel 2, skäl , Artikel 85, skäl 153, Artikel 86, skäl 154

25 *Sida för ytterligare anteckningar

26 Principer för behandling av personuppgifter

27 *Sida för ytterligare anteckningar

28 Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Ansvarsskyldighet Artikel 5, skäl 39, artikel 6.4, skäl 50

29 Laglighet, korrekthet och öppenhet Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt så att den registrerade förstår hur dess uppgifter behandlas och varför. All information och kommunikation i samband med en personuppgiftsbehandling ska vara lättillgänglig och begriplig och ett klart och tydligt språk ska användas Artikel 5

30 Ändamålsbegränsning Personuppgifter får endast behandlas för tydligt angivna ändamål och de får inte i ett senare skede behandlas för något annat oförenligt ändamål. Ramarna för behandlingen Ändamålet ska dokumenteras Oförenlighetsbedömning Artikel 5, artikel 6.4

31 Uppgiftsminimering Fler personuppgifter än vad som behövs för att uppfylla ändamålet får inte behandlas. Inte för att personuppgifterna kan vara bra att ha Artikel 5

32 Korrekthet Personuppgifterna ska vara korrekta och om nödvändigt uppdaterade. Skyldighet att vidta rimliga åtgärder för att uppgifter som inte behövs för ändamålet ska raderas eller rättas så fort som möjligt. Artikel 5

33 Lagringsminimering Personuppgifter får inte sparas i identifierbart skick under en längre tid än vad som är nödvändigt för ändamålet med behandlingen. Inför tidsfrister för radering eller regelbunden kontroll Artikel 5

34 Integritet och konfidentialitet Personuppgifterna ska med lämpliga tekniska eller organisatoriska åtgärder skyddas så att de inte blir åtkomliga för obehöriga, förstörs eller skadas. Nyhet som grundläggande princip Säkerhet för personuppgifter Artikel 5

35 Ansvarsskyldighet Den personuppgiftsansvarige ska ansvara för och kunna visa att principerna efterlevs Tydligt ansvar Inte endast följa förordningen utan även visa att förordningen följs Hur visar man det? Artikel 5

36 Hur kan vi visa att vi följer förordningen? Öppenhetsprincipen Anta lämpliga strategier för dataskydd Dokumentation Utse dataskyddsombud Uppförandekoder Certifiering Artikel 5, 24, 30, 37, 40-42

37 Vad innebär principerna i praktiken? Bestäm ändamålet Identifiera rättslig grund Information Enbart uppgifter som behövs för ändamålet Skydda uppgifterna Radera uppgifterna (avskilj) när de inte längre behövs för ändamålet Visa att ni gör rätt

38 När får ni behandla personuppgifter?

39 När får ni behandla personuppgifter? Samtycke (begränsat för myndigheter) Behandlingen är nödvändig för avtal rättslig förpliktelse* grundläggande intressen uppgift av allmänt intresse * myndighetsutövning* intresseavvägning (begränsat för myndigheter) * Nationell reglering krävs och nationell anpassning tillåts Artikel 6, skäl 44-50

40 Samtycke Mycket begränsat utrymme för myndigheter att behandla personuppgifter med stöd av samtycke Frivilligt, specifikt, informerat och otvetydigt Samtycke ska vara klart och tydligt Personuppgiftsansvarige ska visa att samtycke finns Information om rätt att återkalla samtycke Artikel 4, skäl 32 och artikel 7, skäl 42-43

41 Samtycke Villkorat samtycke kan i vissa fall vara ogiltigt spelar in på huruvida samtycket är frivilligt Barns samtycke kräver i vissa fall vårdnadshavares godkännande Undvik samtycke om annan rättslig grund finns Artikel 7-8, skäl 43

42 När får ni behandla personuppgifter? Behandlingen är nödvändig för avtal rättslig förpliktelse* grundläggande intressen uppgift av allmänt intresse * myndighetsutövning* intresseavvägning (begränsat för myndigheter) * Nationell reglering krävs och nationell anpassning tillåts Artikel 6, skäl 44-50

43 *Sida för ytterligare anteckningar

44 Rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning Krav på nationell lagstiftning (i någon form ) eller unionsrätt Nationellt utredningsarbete pågår Förordningsutredningen, forskning, utbildning m.fl. Registerförfattningarna? Artikel 6.2-3, skäl 8, 10, 41, 45

45 Dataskyddsförordningen Svensk generell kompletteringslag rättslig förpliktelse, uppgift av allmänt intresse, myndighetsutövning Andra verksamhetsförfattningar förpliktelsen uppgiften myndighetsutövning Registerförfattningar Förenklad och schematisk bild

46 Känsliga personuppgifter I grunden samma reglering som tidigare Nya kategorier av uppgifter Principiellt förbud att behandla vissa kategorier av uppgifter (känsliga personuppgifter) Undantag från förbudet nya undantag och vissa undantag förändras Visst utrymme för nationella bestämmelser Artikel 4, 9, skäl 10, 51-56

47 *Sida för ytterligare anteckningar

48 Lagöverträdelser och personnummer Fällande domar i brottmål samt överträdelser Nationella identifikationsnummer möjlighet till nationell lagstiftning Artikel 10, 87

49 Tredjelandsöverföring Överföring av personuppgifter till länder utanför EU eller en internationell organisation kräver stöd i förordningen Beslut adekvat skyddsnivå och andra situationer med eller utan krav på skyddsnivå Motsvarar i stort vad som gäller enligt personuppgiftslagen Viktigt att iaktta reglerna om tredjelandsöverföring vid exempelvis användande av molntjänster Bestämmelserna gäller även för personuppgiftsbiträden Artikel 44-50, skäl , artikel 96

50 *Sida för ytterligare anteckningar

51 Registrerades rättigheter

52 Registrerades rättigheter Information och registerutdrag Rättelse och radering Begränsning av behandling Dataportabilitet Invändning mot behandling Motsätta sig automatiserad behandling Personuppgiftsansvariga har en skyldighet att underlätta utövandet av rättigheterna Artiklarna 12-23

53 Information och registerutdrag Informationen är en väsentlig del av integritetsskyddet Skyldighet att ge klar och tydlig information Får kombineras med standardiserade symboler Kortare tidsfrister Kostnadsfritt Informationsskyldigheten är mer omfattande än tidigare Artikel 12, skäl 58-62

54 *Sida för ytterligare anteckningar

55 Skyldighet att lämna information När personuppgifter samlas in från den registrerade (art. 13) När personuppgifter samlas in från annan (art. 14) Den registrerades rätt till tillgång (registerutdrag) (art. 15) PUA:s register över behandling (art. 30.1) Personuppgiftsansvarige Ja Ja Nej Ja Dataskyddsombudet Ja Ja Nej Ja Ändamålen Ja Ja Ja Ja Rättslig grund Ja Ja Nej Nej Kategorier av personuppgifter Nej Ja Ja Ja Intresse vid intresseavvägning Ja Ja Nej Nej Mottagarna Ja Ja Ja Ja Tredjelandsöverföring m.m. Ja Ja Ja Ja Lagringstid Ja Ja Ja Ja De registrerades rättigheter Ja Ja Ja Nej Rätten att dra tillbaka ett samtycke Ja Ja Nej Nej Rätten att lämna klagomål till DPA Ja Ja Ja Nej Uppgiftsskyldighet enligt avtal eller lag Ja Nej Nej Nej Automatiserat beslutsfattande Ja Ja Ja Nej Källa varifrån uppgifterna har hämtats Nej Ja Ja Nej Säkerhetsåtgärder Nej Nej Nej Ja OBS. Tabellen är förenklad och ej fullständig. Ytterligare skyldigheter att informera finns i andra bestämmelser.

56 Rättelse Rätta felaktiga uppgifter Komplettera ofullständiga uppgifter Informera mottagare om rättelsen Artikel 16 och 19, skäl 65

57 Radering rätten att bli glömd Radera personuppgifter om den registrerade Förutsättningar, bl.a. om uppgifter inte längre behövs för ändamålen återkallat samtycke Informera, i vissa fall, andra personuppgiftsansvariga och mottagare Undantag, bl.a. Artikel 17 och 19, skäl Nödvändig för yttrande- och informationsfriheten Nödvändig för rättslig förpliktelse, allmänt intresse och myndighetsutövning, rättsliga anspråk Nödvändig för arkiv, forskning,statistik

58 *Sida för ytterligare anteckningar

59 Begränsning av behandling På begäran av den registrerade vid begäran om rättelse eller invändning, som alternativ till radering, om den registrerade behöver uppgifterna för rättsliga anspråk Uppgifterna får endast användas i vissa särskilt angivna fall, bl.a. den registrerades samtycke Den registrerade ska underrättas när begränsningen upphör Artikel 18, skäl 67

60 Dataportabilitet Rätt att få ut och överföra egna personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format om uppgifter har tillhandahållits av den registrerade behandling sker med stöd av samtycke eller avtal behandling sker automatiserat inte påverkar andras rättigheter och friheter ogynnsamt Gäller inte om behandling nödvändig för att utföra en uppgift av allmänt intresse eller myndighetsutövning Artikel 20, skäl 68

61 Invända mot behandling Rätt att invända mot behandling som grundas på allmänt intresse, myndighetsutövning eller intresseavvägning Ny prövning utifrån den registrerades situation Behandlingen måste upphöra om inte Tvingande berättigade skäl eller behandlingen sker för rättsliga anspråk Vid direkt marknadsföring måste behandling upphöra Även rätt att invända vid forskningsändamål eller statistik, om inte nödvändigt för att utföra uppgift av allmänt intresse Artikel 21, skäl 69-70

62 Automatiserade beslut Rätt att inte bli föremål för beslut som Grundas enbart på automatiserad behandling (inkl. profilering), vilka får rättslig eller liknande effekt Automatiserade beslut är endast tillåtna om Avtal Lagstiftning Samtycke Artikel 22, skäl 71-72

63 Begränsningar i unionsrätt eller nationell rätt Rättigheter och skyldigheter får begränsas Om nödvändig och proportionerlig åtgärd Skydda vissa angivna intressen Artikel 23, skäl 73

64 Undantag arkiv, forskning, statistik Forskning eller statistik Registerutdrag, rättelse, begränsad behandling, invändning (art , 18, 21) Arkivändamål Registerutdrag, rättelse, begränsad behandling, anmälningsskyldighet, dataportabilitet, invändning (art.15-16, 18-21) Om omöjligt eller mycket svårare att uppfylla dessa ändamål och undantag krävs för att uppnå ändamålen Artikel

65 Skyldigheter för den som behandlar personuppgifter

66 Skyldigheter för personuppgiftsansvariga Personuppgiftsansvariga är skyldiga att se till att de registrerades rättigheter upprätthålls Den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att förordningen följs och för att kunna visa att förordningen följs Artikel 24

67 Skyldigheter för personuppgiftsansvariga (forts) Inbyggt dataskydd och dataskydd som standard Säkerhet vid behandling Anmälan av personuppgiftsincidenter Konsekvensbedömningar och förhandssamråd Register över behandlingar Utse dataskyddsombud Artikel 25, 28, 30, och 37

68 Artikel 25, skäl 78 Inbyggt dataskydd Inbyggt dataskydd ska skydda registrerades rättigheter Den personuppgiftsansvarige ska före och under en behandling vidta åtgärder som främjar uppfyllandet av dataskyddsprinciper och integrerar nödvändiga säkerhetsåtgärder Krav på lämpliga tekniska och organisatoriska åtgärder med beaktande av senaste utvecklingen kostnader behandlingens art, omfattning, sammanhang och ändamål samt riskerna

69 Dataskydd som standard Handlar om att styra användaren mot ett integritetssäkert arbetssätt Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast uppgifter som är nödvändiga för ändamålet behandlas Här ska särskilt mängden uppgifter, behandlingens omfattning, lagringstid och tillgängligheten beaktas Artikel 25, skäl 78

70 Artikel 32, skäl 83 Säkerhet Den personuppgiftsansvarige ska vid en behandling ha en säkerhetsnivå som är lämplig i förhållande till risken vid behandlingen Faktorer som vägs in vid bedömningen av säkerhetsnivå är den senaste utvecklingen kostnader behandlingens art, omfattning, sammanhang och ändamål samt risker Säkerhetsnivån ska uppnås genom lämpliga tekniska och organisatoriska åtgärder

71 *Sida för ytterligare anteckningar

72 Personuppgiftsincidenter En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som har överförts, lagrats eller på annat sätt behandlats Ska anmälas till Datainspektionen om det inte är osannolikt att incidenten medför en risk för fysiska personers fri- och rättigheter Krav på innehåll i anmälan och dokumentation av alla incidenter Artikel 4, 33-34, skäl 85-88

73 *Sida för ytterligare anteckningar

74 Personuppgiftsincidenter - information Om personuppgiftsincidenten sannolikt leder till hög risk ska den registrerade informeras om incidenten Informationen ska vara tydlig och klar Det finns tre undantag när information inte behöver lämnas Uppgifterna skyddas av kryptering eller liknande Vidtagit ytterligare åtgärder så att det inte längre är en hög risk för de registrerades rättigheter Att det skulle krävas en oproportionerlig ansträngning att informera Artikel 4, 33-34, skäl 85-88

75 Konsekvensbedömningar Ska utföras om en behandling sannolikt bedöms leda till en hög risk för fysiska personers rättigheter Risken bedöms utifrån behandlingens art omfattning sammanhang ändamål användningen av ny teknik I tre särskilt angivna fall ska en konsekvensbedömning alltid utföras Artikel 35, skäl 84, 89-95

76 *Sida för ytterligare anteckningar

77 Konsekvensbedömning (forts) Minimikrav på innehåll Ska vid behov ses över, åtminstone när risken förändras Dataskyddsombudet ska rådfrågas Datainspektionen ska komma med en lista på behandlingar som kräver konsekvensbedömning Om konsekvensbedömningen visar en hög risk ska den personuppgiftsansvarige samråda med Datainspektionen före behandlingen Artikel 35, skäl 83, 89-95, Artikel 36

78 Register över behandlingar Varje behandling som utförs under den personuppgiftsansvariges ansvar ska med i registret Registret ska innehålla information om Namn och kontaktuppgifter Ändamålen med behandlingen Kategorier av registrerade, mottagare och personuppgifter Överföring till tredje land Om möjligt: tidsfrister för radering, och en beskrivning av säkerhetsåtgärder Det finns ett undantag från skyldigheten Artikel 30, skäl 82

79 Skyldigheter för personuppgiftsbiträden Lämna garantier för att förordningen följs Krav på biträdesavtalet Bistå den personuppgiftsansvarige Register över behandling Eget ansvar för säkerhet Anmälan av personuppgiftsincidenter till den personuppgiftsansvarige Utse dataskyddsombud Artikel 28, 30, 32 och 33, skäl 81

80 *Sida för ytterligare anteckningar

81 Dataskyddsombud

82 När ska ett dataskyddsombud utses? Skyldighet att utse om: Myndighet Kärnverksamhet som innebär systematisk övervakning av personer i stor skala Kärnverksamhet som innebär behandling i stor skala av integritetskänsliga personuppgifter Även personuppgiftsbiträden ska utse ett dataskyddsombud Inget hinder att utse ett dataskyddsombud även i andra fall Artikel 37, skäl 97

83 Dataskyddsombudets uppgifter Informera och ge råd Övervaka efterlevnaden Samarbeta med tillsynsmyndigheten Ge råd vid konsekvensbedömningar Artikel 39

84 Dataskyddsombudets ställning Yrkesmässiga kvalifikationer och sakkunskap om dataskydd Delta i god tid i alla frågor som rör skyddet av personuppgifter Fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt Ska inte kunna bestraffas för sitt uppdrag Ska rapportera till högsta förvaltningsnivå Tystnadsplikt Artikel 37, 38

85 *Sida för ytterligare anteckningar

86 Behandling inom EU

87 Tillsyn vid behandling i flera EU-länder One-stop-shop vid gränsöverskridande behandling Samarbete mellan dataskyddsmyndigheter Enhetlig tillämpning Europeiska dataskyddsstyrelsen (EDPB)

88 Undantag från one-stop-shop Behandling som sker för fullgörande av en rättslig förpliktelse uppgift av allmänt intresse myndighetsutövning Lokala ärenden ärenden som rör ett verksamhetsställe i en medlemsstat eller i väsentlig grad påverkar registrerade i endast en medlemsstat ansvarig myndighet kan dock ta över ärendet Artikel 55.2 och 56.2, skäl

89 Enhetlig tillämpning Europeiska dataskyddsstyrelsen inrättas Dataskyddsstyrelsen kan fatta bindande beslut Vid oenighet mellan tillsynsmyndigheterna Om en tillsynsmyndighet inte lyfter en fråga som ska lyftas till styrelsen Om en tillsynsmyndighet inte följer styrelsens yttranden Tillsynsmyndigheter är skyldiga att fatta beslut på grundval av styrelsens beslut Artikel 65, 68-76

90 Vad händer om ni bryter mot reglerna?

91 Vad händer om ni bryter mot reglerna? Datainspektionens verktyg Tillsyn och föreläggande, varning och reprimand Administrativa sanktionsavgifter Den registrerades egna möjligheter Klagomål Skadestånd Artikel 58, 77, 78, 82, 83, 84

92 *Sida för ytterligare anteckningar

93 Administrativa sanktionsavgifter Kompletterar andra förelägganden Avgiften ska i det enskilda fallet vara effektiv, proportionell och avskräckande Hänsyn ska tas till ett stort antal faktorer, bl.a. Antal personuppgifter Ändamål Vidtagna åtgärder för att minska intrång Tidigare överträdelser Samarbetsvilja Artikel 83, skäl

94 Sanktionsavgifter (forts) Högre avgiftsnivån (upp till 20 milj euro eller 4 % av globala omsättningen) Gäller för överträdelser av bl.a. De grundläggande principerna De registrerades rättigheter Överföring till tredje land Underlåtenhet att rätta sig efter förelägganden

95 Sanktionsavgifter (forts) Lägre avgiftsnivån (upp till 10 milj euro eller 2 % av globala omsättningen) Gäller för överträdelser av bl.a. Inbyggt dataskydd Föra register över behandlingar Utse dataskyddsombud Vidta säkerhetsåtgärder Anmäla dataskyddsincident

96 Skadestånd Materiella och immateriella skador som uppstår vid behandling i strid med förordningen och nationella bestämmelser som fyller ut förordningen Solidariskt skadeståndsansvar med regressrätt Även biträden har ett skadeståndsansvar Artikel 82, skäl 146

97 Checklista Skapa medvetenhet inom organisationen Är ledningen insatt? Finns det resurser för arbetet? Utse dataskyddsombud? Inventera personuppgiftsbehandlingar Vilka kategorier av personuppgifter behandlas? Känsliga personuppgifter? Uppgifter om barn? Hur samlas uppgifterna in och till vem lämnas de ut? Upprätta ett register över personuppgiftsbehandlingar Särskilda integritetsrisker ( hög risk )

98 Checklista (forts) Se över vilken rättslig grund för behandlingen Missbruksregeln försvinner, alternativ? Hur inhämtas samtycke? Myndigheter kan i princip inte använda samtycke eller intresseavvägning Se över vilken information som lämnas till de registrerade Uppfyller ni informationskraven? Lättillgänglig form samt klart och tydligt språk

99 Checklista (forts) Ta fram rutiner för de registrerades rättigheter Registerutdrag, rättelse, radering, begränsning, dataportabilitet, invändning, automatiserade beslut Verksamhet i flera länder? Vilken dataskyddsmyndighet inom EU blir ansvarig myndighet för era personuppgiftsbehandlingar? Överförs personuppgifter till tredje land? Se över säkerheten för behandlade personuppgifter Ta fram rutiner för incidentrapportering Inbyggt dataskydd och dataskydd som standard

100 Checklista (forts) Det räcker inte bara att göra rätt utan ni ska kunna visa att ni gör rätt! Utarbeta lämpliga strategier för dataskydd Följ utvecklingen (nationell lagstiftning) Tänk på att skyddet för personuppgifter inte bara är en grundläggande rättighet utan även en fråga om de registrerades förtroende

101

102 Vad händer nu? Förberedelserna fortsätter Vägledningar från artikel 29-gruppen Nationella utredningar pågår Förordningsutredningen, 12 maj 2017 Utbildningsinsatser Datainspektionens föreläsningsverksamhet Information på Datainspektionens webbplats utvecklas Nu kör vi!

103 Frågor?

104 Användbara länkar redelser/pagaende-utredningar/ a1526bd01ab3e678/ /Bilaga+1+Juridisk+ analys_molntj%c3%a4nster+i+staten_final+1.1.pdf