GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Transkript

1 GDPR - nya dataskyddsförordningen Agnes Hammarstrand, IT-advokat och partner Advokatfirman

2 Intro

3 Ny EU-förordning för personuppgifter Nya dataskyddsförordningen ( GDPR ) Direkt gällande förordning som ersätter personuppgiftslagen ( PuL ) och motsvarande lagar i hela EES Syftar bl.a. till att stärka integritetsskyddet De nya reglerna gäller från och med den 25 maj GDPR 3

4 När gäller lagen? Brett tillämpningsområde: alla europeiska företag, myndigheter. Och alla företag som säljer till EU Lagen gäller alla myndigheter, företag, kommuner, föreningar och enskilda Undantag för behandling av privatpersoner av rent privat karaktär (ej publicering på internet) Gäller all behandling av personuppgifter GDPR 4

5 Vad är en personuppgift? Personuppgifter varje uppgift varigenom en fysisk person direkt eller indirekt kan identifieras Oavsett om B2B eller B2K Allt som går att kopplas till en individ, t.ex. Kontaktpersoner (e-post, namn, osv) En adressuppgift Ett bilregistreringsnummer Data som kopplas samman med individ, t.ex. köphistorisk eller omdömen En bild: GDPR 5

6 Sanktioner Företag kan få böter upp till det högre beloppet av euro eller 4 % av koncernens globala omsättning Ersättning till den som lidit skada Även andra sanktioner, varning, krav på att åtgärda (t.ex. radera data), m.m GDPR 6

7 Tillsyn Nationell tillsynsmyndighet Datainspektionen - Integritetsmyndigheten Europeisk dataskyddsstyrelse Består av chefen för en tillsynsmyndighet per medlemsstat och Europeiska datatillsynsmannen GDPR 7

8 Vem ansvarar och vad innebär ansvaret?

9 Personuppgiftsansvarig Den som själv eller tillsammans med andra bestämmer ändamål och medel med behandlingen Ansvarar alltid självständigt för att lagen uppfylls Ska kunna visa att lagen följs GDPR 9

10 Vad innebär GDPR i korthet? Ha koll - Identifiera alla behandlingar och lista dessa i en registerförteckning Inga onödiga uppgifter - Uppgifter får inte behandlas (t.ex. lagras) om ni inte har ett lagligt stöd för det. Rensa! Krav på rutiner, dokumentation och policys på plats för att följa reglerna Krav på dataskydd - informationssäkerhet GDPR 10

11 Personuppgiftsansvarig i praktiken Ni är ansvariga för all personuppgiftsbehandling inom ert företag Register Era kund- och prospektsregister Register med leverantörer och samarbetspartners Anställningsregister Kandidater (för anställningar) Eventuella andra registrerade, t.ex. nyhetsbrev Annan behandling t.ex. GPS-övervakning, digitala tjänster, molntjänster, appar, dokument, whistleblowingsystem, passersystem, sociala medier och hemsidan Även ostrukturerad data, t.ex. mejl och dokument GDPR 11

12 Ha koll på era personuppgifter! Identifiera varje behandling och lista dessa i en registerförteckning Varje behandling ska ha lagligt stöd Uppgifter får inte behandlas (t.ex. lagras) om ni inte har ett lagligt stöd för det inga onödiga uppgifter Undvik att ha personuppgifter var som helst ordning och reda GDPR 12

13 Integritetstrappan vilka regler gäller enligt lagen (exempel)? Speciella krav för känsliga uppgifter Information till registrerade (personuppgiftspolicy) Andra krav, t.ex. säkerhet, rutiner för dataportabilitet, etc. Avtal, dokumentation, rutiner, m.m. Förbud att flytta uppgifter utanför EU Är behandlingen laglig? Grundläggande principer att följa, t.ex. gallring, tid GDPR 13

14 När är behandling tillåten? Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras Nödvändigt fullgöra rättslig förpliktelse (Skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person) (En arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning) Intresseavvägning Samtycke GDPR 14

15 Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse GDPR 15

16 Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse Marknadsföring är berättigat intresse Samtycke huvudregel ok i vissa fall med stöd av intresseavvägning i B2B samt i B2K om kund gjort köp inom 1år om getts möjlighet tacka nej, m.m GDPR 16

17 Laglighetsbedömning - Sammanfattning Vilka är ändamålen med en viss behandling? Finns laglig grund enligt förordningen? Nödvändigt p.g.a. avtal med den registrerade Laglig skyldighet att utföra behandling Intresseavvägning (praxis eller bedömning) Annars behövs samtycke! Är samtycke en rimlig och proportionell åtgärd eller ska vi låta bli att utföra behandlingen? Hur samlar vi in samtycket? GDPR 17

18 Skriftligt samtycke Muntligt eller skriftligt? Informerat Frivilligt - En möjlighet att inte vara med Klart och tydligt språk Kunna särskiljas från andra frågor i en begriplig och lättillgänglig form Separata samtycken för olika ändamål krävs som huvudregel Jag har läst och godkänner användarvillkoren. Jag har läst och godkänner användarvillkoren. Jag samtycker till behandling av mina personuppgifter i enlighet med Bolagets integritetspolicy GDPR 18

19 Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgifterna får bara behandlas med hänsyn till vissa särskilda, uttryckligt angivna och berättigade ändamål Inte senare behandlas på sätt som oförenligt med detta ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i relation till ändamålet Lagringsminimering Uppgifter får inte sparas länge tid än nödvändigt Integritet och konfidentialitet Krav på säkerhet, inkl. skydd mot obehörig förlust, åtkomstkontroll GDPR 19

20 Säkerställ att ni inte behandlar de uppgifter ni inte ska ha kvar Radera uppgifter som ni inte ska ha kvar Rätta felaktiga uppgifter Säkerställ åtkomstkontroll Skapa utbildning och rutiner för att undvika att fel uppgifter hanteras Undvik känsliga uppgifter Undvik värderande omdömen eller annan kränkande info GDPR 20

21 Registrerades rätt till information och rättelse m.m.

22 Privacy policy Information ska lämnas självmant till alla registrerade ( Integritetspolicy / Personuppgiftspolicy / Privacy Policy ) Mer omfattande informationskrav som ska anpassas till just er går ej att använda en mall Åtgärd: ta fram informationsdokument Anställda Kandidater Kunder Nyhetsbrev Andra registrerade GDPR 22

23 Information på begäran (registerutdrag) och rätt att bli rättad Registrerade har rätt att begära ut information om t.ex. kategorier av uppgifter som behandlas, mottagare, period, m.m. Som huvudregel inom en månad Den registrerade har rätt att kräva att uppgifterna begränsas eller rättas Åtgärd: Se över rutinerna och säkerställ era system uppfyller kraven! GDPR 23

24 Rätten att bli bortglömd Minimera volymen av sparade personuppgifter Krav på att radera bara under vissa förutsättningar och endast om ingen legitim grund för fortsatt behandling finns Radera mina uppgifter NEJ Legitima grunder för att behålla uppgifterna och ej behandlats olagligt? JA RADERA BEHÅLL Åtgärd: Säkerställ att det är möjligt att bli glömd? GDPR 24

25 Utlämnande av uppgifter och IT-säkerhet

26 Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning Typiskt biträde är en molntjänstleverantörer Utökade skyldigheter enligt nya förordningen - kan bli utsatta för sanktioner Obs! Är inte alla som mottar uppgifter GDPR 26

27 Krav på personuppgiftsbiträdesavtal Vilka biträden har ni? Lista! Inte längre ett standardavtal Viktigt anpassa till situationen förhandla Dokumenterade instruktioner Hur ska just ert biträde behandla uppgifterna? Svårt ha en mall Men försök skapa malldokument för olika typsituationer! Hur säkerställs bra rutiner för hur ni kan arbeta med avtal? När anlita jurist? När klara själv? Personuppgiftsbiträde Personuppgiftsansvarig Individ Personuppgiftsbiträdesavtal GDPR 27

28 Förbud mot överföring utanför EES Lagstiftningen ska inte kunna kringgås Om ni inte har en garanti att data endast behandlas inom EES behöver ni säkerställa att undantag gäller Tillåten överföring, t.ex. Användning av modellklausuler Binding Corporate Rules Privacy shield Åtgärder: Säkerställ att ingen överföring sker utanför EES. Alternativt: Säkerställ att överföringen sker med stöd av laglig grund GDPR 28

29 Säkerhetskrav Tekniska åtgärder Förfarande för att kontinuerligt testa Antivirus, auktorisationskrav, behörighetsstyrning Brandväggar och krypteringsfunktioner, osv. Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott osv. Organisatoriska åtgärder Organisation och rutiner Instruktioner och Polices Säkerhetsnivå i förhållande till risk GDPR 29

30 Upphandling av IT-tjänster och molntjänster Så snart personuppgifter ska behandlas: Viktigt hur upphandlingen görs Privacy-krav på systemet eller tjänsten - Privacy by design Risk- och sårbarhetsanalys (teknik) Krav på personuppgiftsbiträdesavtal (och avtalet i övrigt) Krav på dokumenterade instruktioner Laglig grund om överföring till tredje land (t.ex. modellklausulerna) alt. löfte i avtal att ej överföra till tredje land Vid molntjänster och outsourcing: Extra krav för att bl.a. säkerställa att lagarna inte kringgås Svårigheter kring kontroll av underbiträden Åtgärd: Säkerställ att rutiner följs vid upphandlingar GDPR 30

31 Och ett antal andra nyheter GDPR 31

32 Konsekvenser och åtgärder

33 Konsekvenser av lagen Viktigare att följa lagen - Dataskydd blir en ledningsfråga Fler personer får kunskap ökar risken Integritetsfrågorna får mer uppmärksamhet och kräver resurser, organisation och budget System och databaser kan bli olagliga GDPR 33

34 Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policyer Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policyer för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder - rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv GDPR 34

35 Vem ansvarar internt? Dataskyddsombud: Speciell anställd eller konsult med ansvar för personuppgiftshantering Måste utses av företag som har kärnverksamhet som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning; eller behandling i stor omfattning består av känsliga uppgifter Vissa krav på rollen Behövs ett dataskyddsombud? Om inte: Vem ansvarar internt? GDPR 35

36 Hur kan ni arbeta med lagen? Skaffa er kunskap Är behandling av personuppgifter er kärnverksamhet viktigt att prioritera detta för försäljningens skull! Börja alltid i de juridiska kraven Inte i ITsystemen! En workshop om GDPR är ofta en bra start! GDPR 36

37 GDPR att tänka på Ni som företag (ledning) behöver bestämma ambitionsnivå Ni ska följa lagen inte främst 26 maj, utan på sikt Inse att: GDPR kräver olika typer av kompetens Arbetet är inte slut med projektet Det kommer kräva tid och resurser att följa lagen GDPR 37

38 Vad innebär ett GDPR-projekt? 1. Uppstart. Medvetandehet.. 2. Inventering över behandlingar registerförteckningen 3. Juridisk bedömning över behandlingarna 4. Rensning av personuppgifter 5. Säkerhetsåtgärder, IT-förändringar 6. Framtagande av dokument juridik och informationssäkerhet 7. Sätt rutiner, ansvar och organisation för efterlevnad på sikt GDPR 38

39 Agnes Hammarstrand / Partner, Advokat Mobil: Advokatfirman Delphi / Östra Hamngatan 29 / Göteborg / Sweden Telefon: + 46 (0) / Fax: +46 (0) / delphi.se GDPR 39

40 Årets advokatbyrå Delphi har som enda byrå och alla de senaste tre åren vunnit Regis årliga kvalitets- och branschstudie - Årets Advokatbyrå Regis undersökning är Sveriges största och enda oberoende klientstudie för advokatbyråer specialiserade på affärsjuridik Delphi är topprankade i flera internationella rankinginstitut, t.ex. Chambers och Legal 500. Topprankade år efter år inom IT, Immaterialrätt och Life Science GDPR 40

41 Varför Delphi? Skarpa specialister vars främsta uppdrag är att ge er bra rådgivning En affärsmodell som gynnar specialisering till nytta för er som kund. Satsar mycket tid på kunskapsinhämtning och mallar möjliggör en kostnadseffektiv rådgivning Progressiv syn på juridik Samarbete utan hierarkier GDPR 41

42 Delphi IP/Tech - topprankade inom IT och dataskydd Topprankade av Chambers och Legal 500 inom IP och IT Två av våra partners mottog Client Choice Award 2017 bolagsjuristernas egna pris inom IT/Telecom Stort fokus på personuppgifter och nya dataskyddsförordningen Specialister inom IT-juridik, dataskydd, online och digitala tjänster En av de största grupperna i Göteborg med fokus på dataskydd GDPR 42

43 GDPR - Olika nivåer av stöd Utbildningar och workshops Efterlevnadsprojekt (de juridiska delarna) Bollplank i enstaka frågor Bistånd vid laglighetsbedömningen när och hur samt hur länge får uppgifter behandlas? Hjälp med juridiska texter, avtal och checklistor Upprättande och förhandling av personuppgiftsbiträdesavtal GDPR 43

44 Exempel för att komma igång Start-up-paket Vi erbjuder startup hjälp Inkluderar för er anpassad workshop 6-7 timmar Hjälp med hur ni kommer igång med inventeringen över behandlingar, registerförteckningen och inventeringen över biträden Inkluderar enkel registerförteckning I excel, allmänna åtgärdslistor utifrån vad som framkommit under workshopen, uppföljningssamtal GDPR 44

45