GDPR efter 25e maj Vad händer nu? 21 november 2018

Transkript

1 GDPR efter 25e maj Vad händer nu?

2 Välkommen! Agenda Inledning kort tillbakablick Avgöranden som kommit Datainspektionen Vad gör DI nu? Förvaltning av GDPR Lägg in ett foto i denna storlek Christine Axentjärn Senior Manager Stefan Schreiter Senior Manager 2

3 Inledning 3

4 Sammanfattning viktiga område för GDPR - Legalt stöd (vem äger din data) - Stöd till DPO (teknisk expertis) - Gapanalys - Ägarskap av data/informationsklassning - Teknisk analys av IT-miljö (loggning, backup, behörigheter etc) Risk- och sårbarhetsanalyser Dataskyddsombud (DPO) Överföring av data till 3e land - Awareness träning ledningsgrupper (table top) - Riskanalyser /sårbarhetsanalys/beorendeanalys - Nulägesanalys av IT-funktionalitet/IT-säkerhet. - Måste göras innan datainsamling sker (ur den registrerades perspetiv). Krav på rapportering (72 h) GDPR - Systemkunskap - Juridisk analys av konsekvens - Tekniska konsekvenser -Teknisk analys av befintlig IT-miljö - Processer för rapporteringskrav (övning och implementering) - Åtgärdsförslag / Implementering - Verktyg för Data Flow Rätt att bli glömd Rätt att begära ut all info om sig själv - Datarensning och anonymisering - Gapanalys - Teknisk analys (tekniska aspekter för rensning) - Process och test av borttagning av data - Hjälp till privacy design - Utreda IT-miljön (spårbarhet, sökbarhet i system) - Nulägesanalyser, verktygsval och implementation. - Process - Leder till dataportabilitet. 4

5 Sanktioner Dessutom kan drabbade resa skadeståndskrav. och för myndigheter gäller: Dataskyddsutredningens (SOU 2017:39) förslag är att sanktionsavgifter ska få tas ut även av statliga, regionala och kommunala myndigheter. För mindre allvarliga överträdelser ska avgiften uppgå till högst kronor och för allvarligare överträdelser till högst kronor. 5

6 Aktiviteter före den 25:e maj 2018 Under 2017 och 2018 har genomfört en mängd uppdrag/projekt hos kund. Ett axplock från vad kunderna främst har fokuserat på är följande delar; Skapat och implementerat ett register över behandlingar av personuppgifter (data inventory) Utsett en Data Protection Officer (DPO) Genomfört gap analyser mellan Personuppgiftslag (PuL) och Dataskyddsförordningen (GDPR) Skapat och implementerat roller och ansvarsområde/gränser (governance structure) Upprättat biträdesavtal och/eller uppdaterat tidigare avtal efter den nya lagstiftningen. Avtal mellan personuppgiftsansvarig och personuppgiftsombud behöver komma på plats Skapat och implementerat en process för samtycke från privatpersoner Framtagning och implementering av gallrings- och raderingsregler (retention rules) Skapat och implementerat en incidenthanteringsprocess (<72 tim) 6

7 Utanför Sverige - avgöranden som kommit Det har skett tillsynsärenden runtom i Europa, bl.a. Österrike - DSB har beslutat om sanktionsavgift på EUR i ett ärende gällande installation av en kamera Portugal - Comissão Nacional de Protecção de Dados har förelagt ett sjukhus att betala tot EUR för att bl.a. ha tillgängliggjort patientuppgifter för andra än läkare. 7

8 Avgöranden som kommit forts. Tyskland - Tillsynsmyndigheten i Bayern och Niedersachsen har meddelat att det kommer att utföra slumpmässiga kontroller - The Facebook fanbook Avgörande från ECJ Ägaren av facebooksidan och Facebook måste informera om behandlingen Danmark - Datatilsynet har publicerat frågeformulär som används vid granskningar 8

9 Avgöranden som kommit forts. Storbritannien - En matvarukedja har förlorat ett mål om en incident där information om ca anställda publicerats på nätet. - ICO har påbörjat ytterligare två granskningar om personuppgiftsincidenter British Airways och Dixions Carphone Nederländerna - Tillsynsmyndigheten har inlett granskning av registerförteckningar - Genomfört granskning om offentliga organ har dataskyddsombud Irland - DPC har påbörjat en granskning av Facebooks efterlevnad av GDPR 9

10 Avgöranden som kommit forts. Frankrike - CNIL har genomfört ca 12 granskningar Varningar, förbud eller böter Vid säkerhetsbrister: böter om EUR Reprimand om att samtycke måste finnas vid användning av appar som använder sig av geolokalisering samt direktmarknadsföring Reprimand till försäkringsbolag som samlat in personuppgifter i samband med pensionsutbetalningar för marknadsföringsändamål 10

11 Hur ser det ut i Sverige? Vad har Datainspektionen (DI) gjort? #kunskapsdagar unika besökare på hemsidan den 24/ anmälda personuppgiftsincidenter (från 25/5 1/11) Den första svenska GDPR-granskningen - Blev klar i oktober Granskning av ca 400 företag och myndigheter - DI undersökte om dataskyddsombud utsetts - Granskningen visade brister hos nästan ¼ av fackförbunden 11

12 Datainspektionen Vad har DI gjort? - Det är en väldigt viktig roll för att öka medvetenheten och regelefterlevnaden av GDPR, vilket är skälet till att vi prioriterat detta som vår första GDPR-granskning, säger Datainspektionens generaldirektör Lena Lindgren Schelin. Granskningen visar att majoriteten av de granskade organisationerna har anmält och utsett ett dataskyddsombud i tid. Vissa branscher utmärker sig dock negativt. Av de 51 fackförbund som fanns med i urvalet hade närmare 25 procent brister. - Eftersom det gått så pass kort tid efter att GDPR infördes den 25 maj, har vi stannat vid att utfärda reprimander. Men, skulle vi framöver konstatera fortsatta brister när det gäller dataskyddsombud så kan även administrativa sanktionsavgifter bli aktuella, säger Lena Lindgren Schelin. 12

13 Snabba repliker i media 13

14 Datainspektionen Vad gör DI nu? forts. Ny granskning om samtycken har inletts Projekt för att klargöra gränsdragningen mellan personuppgiftsbiträde och personuppgiftsansvarige Granskning enligt brottsdatalagen 14

15 Förvaltning av GDPR att tänka på vid överlämnande från GDPR projekt till förvaltning Fördela ansvaret inom organisationen Koppla till roller för att undvika personberoenden Dataskyddsombud Personer Rätt till information Rätt att bli bortglömd Rätt till dataportabilitet Rätt till rättelse Rätt till begränsning Rätt till invändningar Personuppgiftsansvarig Information och samtycke Behandlingsförteckning Risk- och konsekvensbedömningar Kravställning av säkerhetsnivå Gallrings- och raderingsrutiner Avtalshantering Anmäla personuppgiftsincidenter Personuppgiftsbiträde Register över kategorier av behandling Underrätta ansvarig vid incident Avtalshantering 15

16 Förvaltning av GDPR Att tänka på vid överlämning från GDPR-projekt till förvaltning Internrevision - Viktigt att kunna visa att GDPR efterlevs Kontinuerlig uppdatering av policys och rutiner Bygg en GDPR-kultur - e-learning (obligatoriska, vartannat år ex vis) - informera och kommunicera - låt exempelvis linjechefen ta ett ansvar för upprätthållande av compliance frågan - ta stöd av DPO:n 16

17 Vill du veta mer? Kontakta oss gärna Christine Axentjärn LinkedIn: Stefan Schreiter Läs mer på: Följ oss på 2018 PricewaterhouseCoopers i Sverige AB. All rights reserved. In this document, refers to PricewaterhouseCoopers i Sverige AB which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.