Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

Transkript

1 Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi Nya dataskyddsförordningen 1

2 Agenda Introduktion Svenska utredningar Vem ansvarar? Överföring av personuppgifter De grundläggande principerna och hur får personuppgifter behandlas? Konsekvensbedömningar Registerförteckning Samtycke Registrerades rättigheter Vem ansvarar internt? Dataskyddsombud m.m. Säkerhet och IT-krav Sammanfattning och avslutning Nya dataskyddsförordningen 2

3 Introduktion

4 Ny dataskyddsförordning ( GDPR ) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 Direkt gällande förordning som ersätter PuL och motsvarande lagar i hela EU (EES) De nya reglerna gäller från och med den 25 maj 2018 Principerna bygger på nuvarande lag, men också ett stort antal nyheter Tydlig strävan efter enhetlighet, men finns vissa möjligheter till nationella avvikelser, t.ex. vad gäller offentlighetsprincipen och hälsodata Gäller all behandling av personuppgifter Nya dataskyddsförordningen 4

5 Vad är en personuppgift? Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras Allt som går att kopplas till en individ, t.ex. En adress (en IP-adress) En adressuppgift Ett bilregistreringsnummer En bild: Oavsett kryptering Nya dataskyddsförordningen 5

6 Vad är en behandling? Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter Exempel Insamling Registrering Lagring Spridning Samkörning Radering Undantag för bl.a. rent personligt bruk Nya dataskyddsförordningen 6

7 I praktiken. Anställningsregister och kandidatdatabaser Register respektive nämnd för över vissa kommunmedborgare, t.ex. Elever Brukare Politiker Klienter inom individ- och familjeomsorg Registrerade för ansökningar, kommuntjänster, m.m. Leverantörsregister Eventuella andra registrerade, t.ex. nyhetsbrev Annan behandling t.ex. GPS-övervakning, digitala tjänster, molntjänster, appar, mejl, dokument, whistleblowingsystem, passersystem, sociala medier och hemsidan Även ostrukturerad data, t.ex. mejl och dokument Nya dataskyddsförordningen 7

8 Tillsyn Nationell tillsynsmyndighet Behörig inom sitt land Tillsynsmyndigheten för den ansvariges eller biträdets huvudsakliga verksamhetsställe behörig även vid gränsöverskridande behandling Europeisk dataskyddsstyrelse Består av chefen för en tillsynsmyndighet per medlemsstat och Europeiska datatillsynsmannen Nya dataskyddsförordningen 8

9 Sanktioner Rätt för individer att kräva skadestånd och straff föreskrivs av varje medlemsstat Varning, reprimand eller beordran Begränsning eller förbud Medlemsstaterna ska fastställa sanktioner för de överträdelser som inte är föremål för böter och säkerställa att sanktionerna genomförs Administrativa böter ( böter ) hur blev det? Nya dataskyddsförordningen 9

10 Svenska utredningar

11 Kompletterande lagstiftning Förordningen behöver kompletteras av nationella regler Ett flertal utredningar tillsatta i Sverige, t.ex. apoteksmarknad, forskning och utbildning Dessutom finns kompletterande lag som får stor betydelse på enskilda områden Nya dataskyddsförordningen 11

12 SOU 2017:39 Ny dataskyddslag Utredningen föreslår en nya dataskyddslag Målsättning: Bevara så mycket som möjligt av tidigare bestämmelser en del personuppgiftsbehandling kommer därför förbli densamma Preciserar vad som ska gälla för svenska förhållanden Nya dataskyddsförordningen 12

13 När kan en kommun få böter? 1: Upp till det högre beloppet av kr Mindre allvarliga överträdelser 2: Upp till det högre beloppet av kr Allvarliga överträdelser Underlåtenhet att följa förlägganden och beslut av tillsynsmyndigheten Underlåtenhet att bistå tillsynsmyndigheten Vid bestämmandet av avgiftens storlek i det enskilda fallet ska dataskyddsförordningens bestämmelser tillämpas Nya dataskyddsförordningen 13

14 Administrativa böter hur? Administrativa böter ska beroende på omständigheterna i det enskilda fallet åläggas utöver eller i stället för andra åtgärder Böterna ska vara effektiva, proportionella och avskräckande Harmoniserade bötesnivåer Hänsyn till ett antal faktorer, t.ex. Överträdelsens natur, svårighetsgrad och varaktighet De åtgärder som vidtagits för att lindra skada Graden samarbete med myndigheterna/egen anmälan Genomförda säkerhetsåtgärder Nya dataskyddsförordningen 14

15 Exempel på fler förslag från utredningen Specificeringar av vad som ska gälla, slår fast det som redan följer av lagen Rättslig förpliktelse, även kollektivavtal eller beslut som har meddelats med stöd av lag eller författning Individ ska efter tre månader kunna kräva att Datainspektionen ska behandla klagomål från registrerade inom två veckor Fler grunder för behandling av känsliga uppgifter Se vidare nedan Nya dataskyddsförordningen 15

16 Förhållandet till offentlighetsprincipen PuL inskränker inte en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen Skyldigheten att lämna ut uppgifter gäller efter att en medborgare begärt ett sådant utlämnande När skyldighet att lämna ut information inte finns (t.ex. elektroniskt) måste kommunen pröva noga om det är möjligt att lämna ut med hänsyn till PuL Inga förändringar vad gäller offentlighets- och sekretesslagstiftningen föreslås Nya dataskyddsförordningen 16

17 Andra utredningar Kameraövervakningslagen föreslås ersattas av ny kamerabevakningslag SOU 2017:55 - En ny kamerabevakningslag En ny lag om en hög gemensam nivå av säkerhet i nätverk och informationssystem föreslås SOU 2017:36 Informationssäkerhet för samhällsviktiga och digitala tjänster Förslag har lämnats till ändringar inom utbildningsområdet SOU 2017:49 - EU:s dataskyddsförordning och utbildningsområdet Integritetskommitténs utredning SOU 2017:52 - Så stärker vi den personliga integriteten Föreslår upprättande av uppförandekoder inom skolan och hälso- och sjukvården, speciellt inom patientdatalagens område Kompletterande bestämmelser till patientdatalagen föreslås, t.ex. för att konkretisera några av de krav som ställs på ett informationssystem som har den typen av uppgifter Nya dataskyddsförordningen 17

18 Pågående utredningar Socialdataskyddsutredningen, inklusive översyn av Patientdatalagen, Socialförsäkringsbalken och Lagen om behandling av personuppgifter inom socialtjänsten Redovisas den 31 augusti 2017 S 2016:05 Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde Utredningen utreder bl.a. Behovet av bestämmelser om undantag från förbudet att behandla känsliga personuppgifter Behovet av nationella regler om registrerades rätt att göra invändningar mot behandling av personuppgifter Behovet av kompletterande föreskrifter för vissa myndigheter och verksamheter som idag saknar särskilda registerförfattningar Utredningen om Rättsmedicinalverkets verksamhet Redovisas 31 oktober 2017 JU 2016:18 stärkt integritet i Rättsmedicinalverkets verksamhet Tar ställning till möjligheten och behovet av särskild personuppgiftsreglering för RMV Nya dataskyddsförordningen 18

19 Vem ansvarar?

20 Personuppgiftsansvarig ( PuA ) En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter Ansvarar alltid självständigt för att lagen uppfylls och ska kunna visa att lagen följs Det är alltså ni som är personuppgiftsansvarig som ytterst ansvarar för att t.ex. era IT-system uppfyller lagens krav (inte leverantören) Jfr. personuppgiftsombud (nu dataskyddsombud) En fysisk person Nya dataskyddsförordningen 20

21 Personuppgiftsansvarig i kommunen i dag I en kommun är typiskt sätt både kommunstyrelsen och de kommunala nämnderna personuppgiftsansvariga för sina egna behandlingar Självständig nämnd = egen förvaltningsmyndighet = eget personuppgiftsansvar Om olika nämnder är olika juridiska personer då kan inte uppgifter föras ut mellan nämnderna hur som helst Vårdgivare är alltid personuppgiftsansvarig Sannolikt samma under nya förordningen Nya dataskyddsförordningen 21

22 Gemensamt personuppgiftsansvar Om två eller flera personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen av personuppgifter Ofta fallet vid gemensamt använda system, webbportaler, m.m. Ska gemensamt fastställa sitt respektive ansvar avseende den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla information Delge väsentliga drag i arrangemanget för registrerade d.v.s. publicera i praktiken Den registrerade kan utöva sina rättigheter mot var och en av de personuppgiftsansvariga Nya dataskyddsförordningen 22

23 Personuppgiftsbiträde ( PuB ) En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Finns alltid utanför den personuppgiftsansvariges organisation Exempel på vanliga biträden IT-leverantörer Rekryteringsbyråer Reklambyråer Molntjänstleverantörer IT-support Utökade direkta skyldigheter Tillsynsobjekt kan också åläggas sanktionsavgift Nya dataskyddsförordningen 23

24 Hur avgöra vem som är personuppgiftsansvarig? Vem bestämmer syftena med behandlingen? Vem bestämmer hur behandlingen ska ske? T.ex. vilka uppgifter ska behandlas, vilka ska få tillgång till dem och när ska uppgifter raderas Den som enbart har tillgång till ett system är normalt inte ansvarig (om denne inte bestämmer någonting) Nya dataskyddsförordningen 24

25 Förhållandet mellan PuA och PuB Krav på avtal mellan parterna som anger hur behandlingen ska ske Den ansvarige ska endast anlita biträden som ger tillräckliga garantier om att behandling av personuppgifter sker i enlighet med kraven i dataskyddsförordningen Biträdet får endast behandla personuppgifter utifrån dokumenterade instruktioner från den ansvarige Nya dataskyddsförordningen 25

26 Ansvarsfördelning mellan personuppgiftsansvarig och biträde Ersättningsskyldighet om en person lider skada genom överträdelse av dataskyddsförordningen Solidariskt ansvar den skadelidande kan kräva full ersättning från antingen den personuppgiftsansvarige eller personuppgiftsbiträdet Om full ersättning betalas ut av en personuppgiftsansvarig eller ett biträde har denne i sin tur rätt att återkräva den del av ersättningen som orsakades av någon annan som medverkade vid behandlingen Nya dataskyddsförordningen 26

27 Överföring av personuppgifter

28 Krav på personuppgiftsbiträdesavtal Krav på skriftligt avtal mellan ansvarig och biträde I vissa fall är bägge parter personuppgiftsansvariga och personuppgiftsbiträden åt varandra Viktigt att tänka på vid alla samarbeten som innebär utbyte av personuppgifter, t.ex. marknadsföring, IT och rekrytering Ska ha visst innehåll mycket mer omfattande information än enligt personuppgiftslagen viktigare avtal Nya avtal och mallar behöver tas fram Personuppgiftsbiträde Personuppgiftsansvarig Åtgärd: Uppdatera gamla personuppgiftsbiträdesavtal Personuppgiftsbiträdesavtal Individ Nya dataskyddsförordningen 28

29 Biträdesavtal obligatoriska punkter Föremålet för behandlingen Behandlingens varaktighet, art och ändamål Typ av personuppgift och kategorier av registrerade Den personuppgiftsansvariges skyldigheter och rättigheter Biträdets skyldigheter Endast får behandla personuppgifter enligt dokumenterade instruktioner Iaktta konfidentialitet Vidta lämpliga säkerhetsåtgärder samt bistå den personuppgiftsansvarige med att skyldigheterna om säkerhet för personuppgifter fullgörs Respektera villkoren för anlitandet av underbiträden Hjälpa personuppgiftsansvariga att fullgöra skyldigheterna i GDPR om säkerhet och avseende registrerades rättigheter Ge den personuppgiftsansvarige rätt till inspektion Radera eller återlämna personuppgifter efter avslutad behandling Nya dataskyddsförordningen 29

30 Dokumenterade instruktioner Dokumenterade instruktioner krav på instruktionsbilaga eller liknande med detaljerade krav på behandlingen Krav på skriftlighet Inga andra särskilda formkrav Ska vara så detaljerade att otillåten behandling inte kommer att utföras av personuppgiftsbiträdet Nya dataskyddsförordningen 30

31 Viktiga förhandlingspunkter Ansvarsfördelning Hur biträdet får överföra utanför EES-området Hur biträdet får anlita underbiträden Särskilt förhandstillstånd Allmänt förhandstillstånd De dokumenterade instruktionerna Ersättning Vad ska ske efter avslutat behandling? Återlämna Radera Nya dataskyddsförordningen 31

32 Anlitande av underbiträden Särskilt eller allmänt skriftligt förhandstillstånd krävs Om allmänt tillstånd ges: informationskrav innan och en möjlighet att göra invändningar Underbiträdet ska, genom avtal (eller annan rättsakt), åläggas samma skyldigheter i fråga om dataskydd som fastställts i avtalet mellan ansvarig och biträdet Individ ( den registrerade ) Personuppgiftsansvarig (PuA) biträdesavtal Instruktioner Personuppgiftsbiträde (PuB) Biträdet ska i avtalet uttryckligen åta sig att följa regler för anlitande av underbiträden OBS! Biträdet ansvarar gentemot ansvarig om underbiträden inte fullföljer sina åtaganden Underbiträde Underbiträde Underbiträde Underbiträde Nya dataskyddsförordningen 32

33 Överföring av personuppgifter Huvudregeln är ett förbud mot överföring av personuppgifter utanför EU Lagstiftningen ska inte kunna kringgås genom att flytta ut data Behöver ha koll på var data behandlas Innebär viss tjänst eller support överföring till länder som inte är tillåtna? Räcker att någon ges tillgång till data t.ex. för support Nya dataskyddsförordningen 33

34 Exempel på undantag när är överföring tillåten? Överföring till land inom EU och vissa tillåtna länder Användning av modellklausuler Binding Corporate Rules Safe Harbor-anslutna företag i USA underkänt av EU-domstolen Privacy shield Åtgärder: Säkerställ att ingen överföring sker utanför EES. Alternativt: Säkerställ att överföringen sker med stöd av laglig grund Nya dataskyddsförordningen 34

35 Åtgärder: Hur göra i praktiken? Säkerställ laglig överföring inom organisationen och med etablerade samarbetspartners Utbilda organisationen om t.ex. cloudtjänster och andra varningsklockor För enstaka avtal: Använd modellklausulerna Säkerställ att biträdesavtalen innehåller praktiska möjligheter att kontrollera var behandling sker och av vem exempelvis genom krav på informationsskyldighet, audits, biträdets anlitande av underbiträden etc Nya dataskyddsförordningen 35

36 De grundläggande principerna och hur får personuppgifter behandlas?

37 Accountability Ni ska kunna visa att lagen följs Krav på att 1) Identifiera varje behandling 2) Varje behandling ska vara laglig 3) Följa grundläggande krav på behandlingen, t.ex. gallring, lagring, etc. 4) Krav på att ha olika rutiner, dokumentation och policyer på plats för att följa reglerna 5) Krav att arbeta aktivt med lagen, skapa medvetenhet m.m. Skyldighet för personuppgiftsansvariga (och biträden) att föra register över alla behandlingar ( registerförteckning ) Nya dataskyddsförordningen 37

38 Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål Får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen Lagringsminimering Uppgifter får inte sparas längre tid än nödvändigt för ändamålen Integritet och konfidentialitet Krav på säkerhet, inbegripet skydd mot obehörig/otillåten behandling och mot förlust Ansvarsskyldighet Den ansvarige ska kunna visa att de grundläggande principerna efterlevs Nya dataskyddsförordningen 38

39 Integritetstrappan vilka regler gäller enligt lagen (exempel)? Speciella krav för känsliga uppgifter Information till registrerade (personuppgiftspolicy) Säkerhet, rutiner för dataportability, etc. Avtal, dokumentation, rutiner, m.m. Förbud att flytta uppgifter utanför EU Är behandlingen laglig? Grundläggande principer att följa, t.ex. gallring, tid Nya dataskyddsförordningen 39

40 När är behandling tillåten? Samtycke från den registrerade Nödvändig för att ett avtal med den registrerade ska kunna fullgöras Nödvändig för att fullgöra rättslig förpliktelse (eller kollektivavtal och beslut enl. SOU 2017:39) Nödvändig för att skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person Nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning Intresseavvägning Nya dataskyddsförordningen 40

41 Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse Obs! Kan inte användas av myndigheter när de fullgör sina uppgifter Nya dataskyddsförordningen 41

42 Intresseavvägning STOPP! Den registrerades intresse mot kränkning av den Enligt personliga förordningen kan inte en intresseavvägning Personuppgiftsansvariges integriteten användas för behandling av kommuner berättigade när fullgör intresse sina uppgifter Obs! Kan inte användas av myndigheter när de fullgör sina uppgifter Nya dataskyddsförordningen 42

43 Laglighetsbedömning Vilka är ändamålen med en viss behandling? Finns laglig grund enligt förordningen? Annars behövs samtycke! Är samtycke en rimlig och proportionell åtgärd eller ska vi låta bli att utföra behandlingen? Hur samlar vi in samtycket? Nya dataskyddsförordningen 43

44 Åtgärder laglighetsbedömning m.m. Se över laglig grund för alla era behandlingar Säkerställ att inte fler uppgifter hanteras än nödvändigt med hänsyn till ändamålet Säkerställ gallringsrutiner att inte uppgifter behandlas längre än nödvändigt med hänsyn till ändamålet Säkerställ åtkomstkontroll att inte fler personer än nödvändigt behandlar uppgifterna Säkerställ att de grundläggande rutinerna i övrigt följs Nya dataskyddsförordningen 44

45 Känsliga personuppgifter Känsliga personuppgifter Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Biometriska och genetiska uppgifter, t.ex. fingeravtryck Hälsa Sexuell läggning/sexualliv Får fortfarande bara behandlas i undantagsfall, exempelvis Uttryckligt samtycke Nödvändig behandling för vissa syften inom arbetsrätten och angivna syften enligt nationell lag, t.ex. omsorg, socialt skydd Åtgärd: Är behandlingen strikt nödvändig för att uppfylla vår skyldighet enligt lag? Nya dataskyddsförordningen 45

46 Förslag till undantag för hantering av känsliga uppgifter (SOU 2017:39) Myndigheter ska få behandla känsliga personuppgifter I löpande text om uppgifterna lämnats i ett ärende eller är nödvändiga för handläggning av ett ärende Om uppgifterna lämnats till myndigheten och behandlingen krävs enligt lag I enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och den inte innebär otillbörligt intrång i den registrerades rättigheter OBS! Sökbegrepp som avslöjar känsliga uppgifter får ej användas Nya dataskyddsförordningen 46

47 Särskilt om vissa personuppgifter Förslag enligt SOU 2017:39 Specialregel om personnummer föreslagen. Får behandlas utan samtycke endast när det är klart Motiverat med hänsyn Till ändamålet med behandlingen Vikten av en säker identifiering eller Något annat beaktansvärt skäl Förbjudet att hantera uppgifter om fällande domar och överträdelser (tidigare brott) förutom i undantagsfall t.ex. för att anmäla brott Nya dataskyddsförordningen 47

48 Konsekvensbedömningar

49 Konsekvensbedömning ( PIA ) Nytt krav på att göra en konsekvensbedömning (Data Protection Impact Assessment) och dokumentera grunderna för beslutet När? Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter Nya dataskyddsförordningen 49

50 När ska en konsekvensbedömning avseende dataskydd göras? Konsekvensbedömning krävs särskilt i följande fall a) En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer b) Behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av personuppgifter som rör fällande domar i brottmål och överträdelser som avses i artikel 10 c) Systematisk övervakning av en allmän plats i stor omfattning Nya dataskyddsförordningen 50

51 Vilken vägledning finns att få? Bedömningen ska göras i förväg Konsekvensbedömning bör göras för personuppgiftsbehandling som påbörjas redan innan GDPR träder ikraft En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker Förhandssamråd med tillsynsmyndigheten om konsekvensbedömningen visar att behandlingen skulle leda till en hög risk Artikel 29-gruppens vägledning för konsekvensbedömningar avseende dataskydd Datainspektionen ska upprätta en förteckning Åtgärd: Inför rutiner för konsekvensbedömningar samt en ev. mall för dessa Nya dataskyddsförordningen 51

52 Exempel på när PIA bör göras om fler än två av nedan gäller Behandlingen innehåller element av bedömning eller värderingar Behandlingen syftar till att fatta automatiserade beslut med rättsliga följder eller liknande för den registrerade Behandlingen innefattar systematisk övervakning Behandlingen omfattar känsliga personuppgifter Behandlingen innebär att personuppgifter behandlas i stor skala Behandlingen innefattar samkörning av uppgifter mellan olika register Behandlingen omfattar personuppgifter om särskilt utsatta eller skyddsvärda typer av registrerade Personuppgifterna behandlas på ett innovativt sätt Personuppgifter ska föras över till ett land utanför EES Personuppgiftsbehandlingen i sig förhindrar registrerade från att utöva en rättighet eller att använda en tjänst eller ett avtal Nya dataskyddsförordningen 52

53 Registerförteckning

54 Vad ska en registerförteckning för personuppgiftsansvariga innehålla? Namn och kontaktuppgifter för den personuppgiftsansvarige Namn och kontaktuppgifter till eventuella gemensamma personuppgiftsansvariga Namn och kontaktuppgifter till dataskyddsombudet Ändamål med alla behandlingar Beskrivning av kategorierna av registrerade och kategorierna av personuppgifter Kategorier av mottagare Eventuell överföring till tredjeland Om möjligt, förutsedda tidsfrister för radering Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder Nya dataskyddsförordningen 54

55 Vad mer kan vara bra att ha i en registerförteckning? Namn på behandling Laglig grund Applikationer/system där behandlingen sker Lagras personuppgifter i en molntjänst? Har information lämnats? Kommentar Nya dataskyddsförordningen 55

56 Registerförteckning praktiska tips Hur vill ni föra ert register? Excelark, köpt applikation eller egenutvecklad applikation? Tänk på hur många som behöver access Hur förvaltar ni registret på sikt? Påbörja registerförteckningen så tidigt som möjligt för att undvika dubbelarbete Nya dataskyddsförordningen 56

57 Samtycke

58 Samtycke Varje slag av frivillig, specifik, informerad, och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande behandling, godtar behandling av personuppgifter Informerat samtycke information först Nya dataskyddsförordningen 58

59 Exempel på samtycken i kommunen Formulär för anmälan av klotter och nedskräpning som innehåller en uppmaning till anmälaren att lämna sitt namn, telefonnummer och sin e-postadress. Behandling av personuppgifter rörande anmälaren själv kan ske med stöd av samtycke Bibliotekets låneregister Skolfotografering OBS! Samtycke kan bara ges av den som det berör (eller dess vårdnadshavare) Nya dataskyddsförordningen 59

60 Ett samtycke måste vara frivilligt Det får inte råda betydande ojämlikhet mellan parterna (t.ex. normalt ej anställd) Fri valmöjlighet eller inte? Det ska vara lika lätt att återkalla sitt samtycke som att lämna det Samtycke inte frivilligt om Det inte medger att separata samtycken lämnas för olika behandlingar av uppgifter trots att detta är lämpligt i det enskilda fallet, eller Genomförandet av ett avtal/tjänst görs avhängigt av samtycket trots att detta inte nödvändigt Nya dataskyddsförordningen 60

61 Hur inhämta samtycke? Personuppgiftsansvarig ska kunna visa att samtycke har lämnats till behandlingen Skriftlig (inklusive elektronisk) förklaring Muntlig förklaring Kryssrutor Val av inställningsalternativ för tjänster på informationssamhällets område Annan förklaring eller beteende som tydligt visar den registrerades vilja (dock ej för särskilda kategorier av personuppgifter) Separata samtycken för olika behandlingar Välj lämplig form (muntlig eller skriftlig beroende på situationen) Skriftligt enklare att bevisa Nya dataskyddsförordningen 61

62 Skriftligt samtycke Jag har läst och godkänner användarvillkoren. Begriplig och lättillgänglig form Klart och tydligt språk Kunna särskiljas från andra frågor i en begriplig och lättillgänglig form Jag har läst och godkänner användarvillkoren. Jag samtycker till behandling av mina personuppgifter i enlighet med Bolagets integritetspolicy Nya dataskyddsförordningen 62

63 Hur skriva samtycken i praktiken? Utred om samtycke behöver inhämtas för behandlingen Ta hjälp av en jurist för att bedöma om samtycke behövs och för att skriva samtyckesförklaringen Skriv enkelt och tydligt den registrerade ska kunna förstå vad samtycket innebär Lämna information om behandlingen i samband med att samtycket inhämtas, t.ex. i en integritetspolicy Nya dataskyddsförordningen 63

64 Samtycke från barn Gäller Vid erbjudande av informationssamhällets tjänster direkt till ett barn Behandling (samtycke) som rör barn är tillåten om barnet är minst 16 år Föräldrars samtycke krävs för behandling om barnet är under 13 år (SOU 2017:39) Metod för att kontrollera att vuxen ger samtycke online? Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik Nya dataskyddsförordningen 64

65 Inhämta nytt samtycke? När förordningen börjar tillämpas upphävs det direktiv som PuL grundas på Alla samtycken behöver då följa nya dataskyddsförordningen Om behandlingen grundar sig på samtycke enligt direktivet är det inte nödvändigt att inhämta samtycke på nytt för att behandlingen ska kunna fortsätta efter att förordningen börjar tillämpas Om det sätt på vilket samtycket gavs överensstämmer med förordningens bestämmelser Nya dataskyddsförordningen 65

66 Åtgärder samtycke Se över om gamla samtycken är giltiga Kan information behöva raderas? Behöver nya samtycken inhämtas? Kan vi finna alternativ laglig grund istället för samtycke? Skriv nya samtyckestexter och utvärdera hur många samtycken som behövs i visst fall? Nya dataskyddsförordningen 66

67 Registrerades rättigheter

68 Information som ska lämnas självmant Information ska lämnas självmant till alla registrerade Mer omfattande information än enligt PuL Olika krav beroende på om uppgifterna samlats in från den registrerade själv eller ej Uppgifter behöver inte ges om sådant den registrerade redan förfogar över Nya dataskyddsförordningen 68

69 Information som ska lämnas självmant Om uppgifterna inte samlats in från den registrerade själv så finns vissa undantag Sekretesslag eller tystnadsplikt Erhållande uttryckligen föreskrivs i lag som även fastställer lämpliga åtgärder för att skydda den registrerades intressen Omöjligt under vissa omständigheter, bl.a. allmänt intresse Åtgärd: Uppdatera informationshandlingar och integritetspolicyer Anställda och kandidater Kunder för ex. kommunala bostadsbolag Leverantörer Andra registrerade, t.ex. nyhetsbrev Nya dataskyddsförordningen 69

70 Vad ska informationen innehålla? Identitet och kontaktuppgifter för den personuppgiftsansvarige Kontaktuppgifter till dataskyddsombudet Ändamål och rättslig grund för behandlingen. Om den rättsliga grunden är intresseavvägning ska även den personuppgiftsansvariges eller tredje parts berättigade intressen anges Mottagare eller kategorier av mottagare Ev. överföring till tredje land eller internationell organisation samt laglig grund för överföringen Lagringstid eller kriterierna för lagringstiden Nya dataskyddsförordningen 70

71 Vad ska informationen innehålla? Information om den registrerades rättigheter Om uppgifterna krävs enligt lag eller avtal, om den registrerade är skyldig att lämna uppgifterna och följderna av att uppgifterna inte lämnas Ev. automatiskt beslutsfattande och profilering Om personuppgifterna inte har inhämtats från den registrerade själv även vilka kategorier av personuppgifter som behandlas, varifrån personuppgifterna kommer och om de har sitt ursprung i allmänt tillgängliga källor Nya dataskyddsförordningen 71

72 Information på begäran registerutdrag Registrerade har rätt att begära ut information om t.ex. kategorier av uppgifter som behandlas, mottagare, period, m.m. Ska lämnas utan onödigt dröjsmål och senast inom en månad efter begäran Första förfrågan ska lämnas gratis! (jfr. journaler) Perioden får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden Gäller ej minnesanteckningar, ej färdiga utredningar m.m. (SOU 2017:39) Åtgärd: Se över rutinerna för registerutdrag! Nya dataskyddsförordningen 72

73 Rätten att bli bortglömd Minimera volymen av sparade personuppgifter Krav på att radera bara under vissa förutsättningar och endast om ingen legitim grund för fortsatt behandling finns Radera mina uppgifter NEJ Legitima grunder för att behålla uppgifterna och ej behandlats olagligt? JA RADERA BEHÅLL Åtgärd: Säkerställ att det är möjligt att bli glömd? Nya dataskyddsförordningen 73

74 Hur ska en begäran om att få uppgifter raderade hanteras? Vid en begäran om att bli bortglömd ska personuppgifterna raderas utan onödigt dröjsmål om: Uppgifterna inte längre är nödvändiga för de ändamål för vika de samlats in eller på annat sätt behandlas Den registrerade återkallar sitt samtycke och det inte finns någon annan rättslig grund för behandlingen Den registrerade invänder mot behandlingen och det saknas berättigade skäl för behandlingen som väger tyngre Den registrerade invänder mot behandling för marknadsföring och profilering Personuppgifterna har behandlats på olagligt sätt Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller nationell rätt Personuppgifterna har samlats in efter samtycke från barn i samband med erbjudanden av informationssamhällets tjänster Om uppgifterna har offentliggjorts ska den personuppgiftsansvarige vidta rimliga åtgärder för att underrätta andra personuppgiftsansvariga Nya dataskyddsförordningen 74

75 Hur ska en begäran om att få uppgifter raderade hanteras? Undantag från kravet att radera personuppgifterna Behandlingen är nödvändig för att utöva rätten till yttrande- och informationsfrihet För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller nationell rätt För att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning För skäl som rör ett viktigt allmän intresse på folkhälsoområdet För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål dock endast i den utsträckning som raderingen sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen För att kunna fastställa, göra gällande eller försvara rättsliga anspråk Nya dataskyddsförordningen 75

76 Rätt till rättelse och begränsning Den registrerade har rätt att kräva att uppgifterna rättas, raderas eller begränsas Vid rättelse, begränsning eller radering: Viktigt meddela personuppgiftsbiträden/mottagare av uppgifter att också rätta, begränsa och radera! Åtgärd: Se över rutiner för att säkerställa rättning, radering och begränsning Nya dataskyddsförordningen 76

77 Vem ansvarar internt? Dataskyddsombud m.m.

78 Vem ansvarar internt? Tidigare: Personuppgiftsombud, nu dataskyddsombud Måste utses av alla kommuner Förändrad roll Tydligare regler och krav för dataskyddsombudet Nya dataskyddsförordningen 78

79 Krav på dataskyddsombud Speciell anställd eller konsult med ansvar för personuppgiftshantering Skapa medvetenhet, övervaka efterlevnad m.m. Kriterier för utnämnande Yrkesmässiga kvalifikationer Sakkunskap om lagstiftning och praxis om dataskydd Förmågan att fullgöra sina uppgifter Dataskyddsombudets kontaktuppgifter ska offentliggöras och meddelas till Datainspektionen Dataskyddsombudet ska vara kontaktbar för de registrerade Nya dataskyddsförordningen 79

80 Dataskyddsombudets ställning Ska på ett korrekt sätt och i god tid delta i alla frågor som rör skyddet av personuppgifter Ska erhålla stöd från registeransvarig vid utförandet av sina arbetsuppgifter Ska få tillräckliga resurser, tillgång till personuppgifter och behandlingsförfaranden och upprätthållande av kunskap Får inte motta instruktioner som gäller utförandet av arbetsuppgifterna Får inte avsättas eller bli föremål för sanktioner Ska rapportera direkt till högsta förvaltningsnivå Får ha andra uppgifter och uppdrag, men den registeransvarige ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt Åtgärder: Utvärdera om ni behöver anställa, vidareutbilda eller anlita en utomstående uppdragstagare! Nya dataskyddsförordningen 80

81 Vem utser ni? Kan vara anställd eller konsult Ska anmälas till Datainspektionen Ett dataskyddsombud kan utses för flera myndigheter eller offentliga organ med hänsyn till deras organisationsstruktur och storlek Samma dataskyddsombud för flera nämnder inom en kommun? Samarbete mellan mindre kommuner? Nya dataskyddsförordningen 81

82 Säkerhet och IT-krav

83 Säkerhetskrav Ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken Tekniska åtgärder Antivirus, auktorisationskrav, behörighetsstyrning Brandväggar och krypteringsfunktioner, osv. Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott osv. Organisatoriska åtgärder Organisation och rutiner Instruktioner och policyer Åtgärder: Säkerställ att IT- och säkerhetsansvariga har kompetens och resurser för att arbeta med dataskydd. Se över era säkerhetsrutiner (såväl teknisk som organisatorisk, t.ex. NDA) Säkerhetsnivå i förhållande till risk Nya dataskyddsförordningen 83

84 Informationskrav vid personuppgiftsincident Informera tillsynsmyndigheten utan onödigt dröjsmål Om det inte är osannolikt att incidenter medför en risk för fysiska personers rättigheter och friheter Som huvudregel inom 72 timmar efter vetskap om intrånget Informationen ska innehålla åtminstone Incidentens art och, om möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs Kategorier av och det ungefärliga antalet personuppgiftsposter som berörs Namn och kontaktuppgifter till dataskyddsombudet eller andra kontaktpunkter Sannolika konsekvenser av incidenten En beskrivning av vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten och minska dess konsekvenser Nya dataskyddsförordningen 84

85 Informationskrav vid personuppgiftsincident Om det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål Biträden ska underrätta ansvarig utan onödigt dröjsmål efter vetskap om incident Alla incidenter, dessas effekter och åtgärderna som vidtagits ska dokumenteras Nya dataskyddsförordningen 85

86 Informationskrav vid personuppgiftsincident Informera varje registrerad individ utan onödigt dröjsmål Om sannolikt leder till hög risk för enskildas rättigheter Undantag, t.ex. om system finns för att bevisa att de förlorade uppgifterna gjorts oläsbara för utomstående, t.ex. kryptering Oproportionerlig ansträngning: Istället informera allmänheten Informationen ska innehålla Tydlig och klar beskrivning av personuppgiftsincidentens art Namn och kontaktuppgifter till dataskyddsombudet eller andra kontaktpunkter Sannolika konsekvenser av incidenten En beskrivning av vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten och minska dess konsekvenser Nya dataskyddsförordningen 86

87 Rutin vid personuppgiftsincident Skapa en rutin så att ni vet vad ni ska göra om olyckan är framme Vem gör vad? Ta fram en manual/guide med blankett att fylla i Se över/stärk era säkerhetsåtgärder och inför rutiner för att meddela registrerade individer Nya dataskyddsförordningen 87

88 Sammanfattning och avslutning

89 Och ett antal andra regler att följa... Privacy by design Dataportabilitet Rutiner för att visa efterlevnad Code of Conducts? Nya dataskyddsförordningen 89

90 Hur gör vi då? Inled ett projekt för att följa lagen om ni inte redan börjat (jfr. min presentation Tips för ett lyckat efterlevnadsprojekt ) Ta hjälp av t.ex. SKL Involvera jurist tidigt, t.ex. genom en inledande workshop Tänk på att anpassa checklistor, mallar, m.m. till er situation och det specifika fallet! Nya dataskyddsförordningen 90

91 Agnes Hammarstrand / Partner / Advokat Mobil: Advokatfirman Delphi / Östra Hamngatan 29 / Göteborg / Sweden Telefon: + 46 (0) / Fax: +46 (0) / delphi.se Nya dataskyddsförordningen 91

92 Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

93 Hur kan vi förbereda oss? Skapa medvetande internt om de nya reglerna och den nya rollen informera och utbilda Ett projekt för att följa lagen behövs 1. Gör en nulägesanalys ( Gap analysis ) 2. Efterlevnadsprojekt Nya dataskyddsförordningen 93

94 Tips för ett lyckat efterlevnadsprojekt Budgetera och avsätt resurser noga Ha en intern projektledare och ev. även en inhyrd Lägg mycket tid i början på att identifiera rätt personer som ska delta i projektet Lägg stor vikt vid planeringsstadiet Starta med en utbildning eller workshop för alla i projektet Ha själv kontroll över projektet och inventeringen över data Ta extern hjälp med sådant som experter gjort förut och som tar lång tid för er, t.ex. mallar för avtal, information till registrerade och övriga juridiska dokument Nya dataskyddsförordningen 94

95 Olika typer av kompetens behövs Juridik IT Informationssäkerhet Kunskap om er kommun och just er nämnd Kunskap om hur bra rutiner och organisation implementeras Nya dataskyddsförordningen 95

96 Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policyer Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policyer för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv Nya dataskyddsförordningen 96

97 Nulägesanalys ( Gap analysis ) Identifiera och mappa behandlingar och system Utgå gärna från registerförteckningens krav redan nu Undvik att mappa system endast, det är behandlingar som lagens krav utgår från Involvera alltid jurist innan ni påbörjar jobbet Identifiera och mappa tredjeparter, biträden, m.m. Mappa vilka legala enheter i kommunen som är personuppgiftsansvariga och biträden Vilka juridiska dokument, rutiner och samtycken finns idag? Identifiera brister och områden att hantera inför att förordningen träder i kraft Nya dataskyddsförordningen 97

98 Efterlevnadsprojekt Hur säkerställa ett effektivt efterlevnadssystem ( Data Protection Management System )? 1. Säkerställ att behandlingen är laglig 2. Sätt ansvar och organisation 3. Uppdatera juridiska dokument, avtal, samtycken och policyer 4. IT- och säkerhetsåtgärder 5. Organisatoriska åtgärder och rutiner accountability Nya dataskyddsförordningen 98

99 1. Säkerställ att behandlingen är laglig För varje behandling säkerställ laglig grund Säkerställ gallringsfrister Säkerställ att inte fler uppgifter behandlas än nödvändigt, osv. Policy och gallringspolicy Nya dataskyddsförordningen 99

100 2. Sätt ansvar och organisation Behöver vi ett dataskyddsombud? Vem är i så fall högst ansvarig? Olika kompetens informationssäkerhet, projektledning och juridik Ansvar över olika system/behandlingar Rapportordningar och arbetsbeskrivningar Övervakning av efterlevnad (internt/externt) Nya dataskyddsförordningen 100

101 3. Juridisk dokumentation/policyer (exempel) Personuppgiftsbiträdesavtal och ev. underbiträdesavtal Information till registrerade (personuppgiftspolicy) Samtyckestexter Mall och rutiner för konsekvensbedömning Ev. dokumentation/avtal för överföring till tredje land Rutiner och dokumentation för incidenthantering Rutiner inför upphandling Interna policyer för behandlingen, lagrings- och gallringsrutiner Nya dataskyddsförordningen 101

102 4. IT- och säkerhetsåtgärder (exempel) Radera data som inte ska finnas kvar Säkerhetskrav är de tillräckliga utifrån de krav som ställs i lag och med hänsyn till vilka uppgifter det rör sig om? Börja tillämpa inbyggd integritet (privacy by design) vid egen utveckling Tekniska rutiner för gallring, behörighetsstyrning, autentisering Tekniska rutiner för att undvika personuppgiftsincidenter Nya dataskyddsförordningen 102

103 5. Organisatoriska åtgärder och rutiner Utbildningsrutiner (och rutiner för att övervaka att utbildning genomförts) Utelämnande av information Dokumentationsrutiner Samtycken checklistor Register över behandling Rutiner för anmälan av personuppgiftsincident Konsekvensbedömning vid ny behandling Rutiner vid upphandlingar Contract management Sekretessavtal Med mera Nya dataskyddsförordningen 103

104 Agnes Hammarstrand / Partner / Advokat Mobil: Advokatfirman Delphi / Östra Hamngatan 29 / Göteborg / Sweden Telefon: + 46 (0) / Fax: +46 (0) / delphi.se Nya dataskyddsförordningen 104