Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Transkript

1 Digitalisering och dataskydd Agnes Hammarstrand, IT-advokat och partner Advokatfirman

2 Vilka regler gäller för digitalisering?

3 Vad är Digital juridik? Regulatoriska frågor Compliance Tvingande lagregler Regler för informationssamhällets tjänster Konsumenträtt Integritetsskydd, t.ex. Personuppgiftslagen och cookies Rätt på internet, t.ex. marknadsrätt, sociala medier, etc. Avtal inom IT och teknik, civilrättsligt och frågor kring avtals bundenhet, digital signering, m.m. Domännamn och immaterialrätt online Tolkning av andra lagar i IT-miljö Den digitala juridiken

4 EU:s jätteprojekt Digital Single Market Den digitala juridiken

5 Vilka regler gäller? Samma regler som vanligt! Extra skydd för att uppgifter sprids fortare och enklare är sökbara Den digitala juridiken

6 GDPR och EPR (cookieslagen) Marknadsföringslag Viktiga regler E-handelslag Konsumenträttsliga regler Immaterialrättsliga lagar Avtalsrätt Den digitala juridiken

7 GDPR nya regler för dataskydd

8 Ny EU-förordning för personuppgifter Nya dataskyddsförordningen ( GDPR ) Direkt gällande förordning som ersätter personuppgiftslagen ( PuL ) och motsvarande lagar i hela EES Syftar bl.a. till att stärka integritetsskyddet De nya reglerna gäller från och med den 25 maj 2018 Gäller all behandling av personuppgifter Den digitala juridiken

9 Utredningar och lagförslag Behandling av personuppgifter på utbildningsområdet (Prop 2017/18:218) Personuppgifter för forskningsändamål (SOU 2017:50) Den digitala juridiken

10 Vad är en personuppgift? Personuppgifter varje uppgift varigenom en fysisk person direkt eller indirekt kan identifieras Allt som går att kopplas till en individ, t.ex. Kontaktpersoner (e-post, namn, osv) En adressuppgift Data som kopplas samman med individ, t.ex. köphistorisk eller omdömen En bild: Den digitala juridiken

11 Sanktioner Myndigheter kan få böter upp till 10 miljoner kronor Ersättning till den som lidit skada Även andra sanktioner, varning, krav på att åtgärda (t.ex. radera data), m.m. Datainspektionen utövar tillsyn Den digitala juridiken

12 Vem ansvarar och vad innebär ansvaret?

13 Personuppgiftsansvarig Den som själv eller tillsammans med andra bestämmer ändamål och medel med behandlingen Ni är personuppgiftsansvarig för era behandlingar inte er leverantör av system Den digitala juridiken

14 Vad innebär GDPR i korthet? Ha koll - Identifiera alla behandlingar och lista dessa i en registerförteckning Inga onödiga uppgifter - Uppgifter får inte behandlas (t.ex. lagras) om ni inte kan motivera varför; och har ett lagligt stöd för det. Krav på rutiner, dokumentation och policys på plats för att följa reglerna Krav vid upphandling av system Krav på dataskydd - informationssäkerhet Den digitala juridiken

15 Personuppgiftsansvarig i praktiken Ni är ansvariga för all personuppgiftsbehandling inom ert lärosäte Register Era studenter, forskare och lärare Register med leverantörer och samarbetspartners Anställningsregister Kandidater (för anställningar) Eventuella andra registrerade, t.ex. nyhetsbrev Annan behandling t.ex. GPS-övervakning, digitala tjänster, molntjänster, appar, dokument, whistleblowingsystem, passersystem, sociala medier och hemsidan Även ostrukturerad data, t.ex. mejl och dokument Den digitala juridiken

16 Integritetstrappan vilka regler gäller enligt lagen (exempel)? Speciella krav för känsliga uppgifter Information till registrerade (personuppgiftspolicy) Andra krav, t.ex. säkerhet, rutiner för dataportabilitet, etc. Avtal, dokumentation, rutiner, m.m. Förbud att flytta uppgifter utanför EU Är behandlingen laglig? Grundläggande principer att följa, t.ex. gallring, tid Den digitala juridiken

17 När är behandling tillåten? Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras Nödvändigt fullgöra rättslig förpliktelse Skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person En arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning Intresseavvägning Samtycke Den digitala juridiken

18 Samtycke Samtycke är sista utvägen Används sällan inom utbildningsväsendet Muntligt eller skriftligt Informerat Frivilligt - En möjlighet att inte vara med Klart och tydligt språk Kunna särskiljas från andra frågor i en begriplig och lättillgänglig form Separata samtycken för olika ändamål krävs som huvudregel Jag har läst och godkänner användarvillkoren. Jag har läst och godkänner användarvillkoren. Jag samtycker till behandling av mina personuppgifter i enlighet med Bolagets integritetspolicy Den digitala juridiken

19 Ha koll på era personuppgifter! Gör en inventering - Identifiera varje behandling och lista dessa i en registerförteckning Varje behandling ska ha lagligt stöd Uppgifter får inte behandlas (t.ex. lagras) om ni inte har ett lagligt stöd för det inga onödiga uppgifter Undvik att ha personuppgifter var som helst ordning och reda Den digitala juridiken

20 Registrerades rättigheter Krav på att självmant ge information policy Information ska ges efter begäran registerutdrag Rätt för registrerade att kräva rättelse, begränsning eller radering Rätten att bli bortglömd Hur kan man säkerställa att detta kan ske i praktiken? IT-mässigt Rutiner Den digitala juridiken

21 Vad tänka på vid digitalisering av tjänst/funktion?

22 Privacy by design Inbyggd integritet Säkerhets- och integritetsaspekter ska tas hänsyn till redan vid planering och utveckling av IT-system och funktioner Ni ska ställa kraven Anpassa era krav efter vad som ska digitaliseras och vilken typ av system/lösning som ska utvecklas/köpas in Nya dataskyddsförordningen 22

23 Hur säkerställer ni att de grundläggande principerna följs? Laglighet, korrekthet och öppenhet (transparens) Ändamålsbegränsning Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen. Korrekthet Lagringsminimering Uppgifter får inte sparas längre tid än nödvändigt för ändamålen - gallringsfrister Integritet och konfidentialitet Begränsa åtkomst Krav på säkerhet GDPR 23

24 Privacy by design exempel Uppgiftsminimering Anonymisera om möjligt, undvik peka ut individer Begränsa åtkomsten till uppgifterna Hög säkerhet Möjligheter till kryptering, säkerhetskopiering och loggar, säker utplåning Funktioner för autentisering, behörighet Enkel möjlighet till gallring, automatisk och enkel radering av uppgifter som inte behövs Möjliggöra utelämnande av information till registrerade Minimera fritextfält Nya dataskyddsförordningen 24

25 Säkerhetskrav Tekniska åtgärder Förfarande för att kontinuerligt testa Antivirus, auktorisationskrav, behörighetsstyrning Brandväggar och krypteringsfunktioner, osv. Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott osv. Organisatoriska åtgärder Organisation och rutiner Instruktioner och Polices Säkerhetsnivå i förhållande till risk Den digitala juridiken

26 Hur kan ni/era system uppfylla de grundläggande kriterierna? Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet åtkomstkontroll De registrerades rättigheter Rätt bli raderad Rätt få registerutdrag Rätt till rättelse Nya dataskyddsförordningen 26

27 Upphandling av digitala tjänster (från dataskyddsperspektivet)

28 Kommer någon leverantör bistå er? Personuppgiftsbiträde - den som behandlar personuppgifter för den personuppgiftsansvariges räkning Typiskt biträde är en molntjänstleverantörer Utökade skyldigheter enligt nya förordningen - kan bli utsatta för sanktioner Den digitala juridiken

29 Krav på personuppgiftsbiträdesavtal Inte längre ett standardavtal Viktigt anpassa till situationen förhandla Dokumenterade instruktioner Hur ska just ert biträde behandla uppgifterna? Varför viktigt hur avtalet är formulerat? Krav enligt lag Risk och ansvar vid brott mot lag Vem tar kostnader för utveckling? Andra kommersiella aspekter Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ Den digitala juridiken

30 Vem är biträde resp. ansvarig? Personuppgiftsbiträdesavtal Personuppgiftsansvarig Personuppgiftsbiträde? Finns laglig grund för överföring till annan ansvarig? Personuppgiftsansvarig Individ Den digitala juridiken

31 Förbud mot överföring utanför EES Lagstiftningen ska inte kunna kringgås Om ni inte har en garanti att data endast behandlas inom EES behöver ni säkerställa att ett undantag gäller Tillåten överföring, t.ex. Användning av modellklausuler Binding Corporate Rules Privacy shield Den digitala juridiken

32 Checklista upphandling av tjänst Privacy by design krav på tjänsten/systemet Risk- och sårbarhetsanalys informationssäkerhet Krav på personuppgiftsbiträdesavtal Dokumenterade instruktioner hur får personuppgifter behandlas? Laglig grund om överföring utanför EES eller löfte i avtal att ej överföra Specialkrav enligt lag Glöm inte avtalet i övrigt! Kravspecifikation, tillgänglighet/sla, support, ansvar, risk, osv Den digitala juridiken

33 Konsekvenser och åtgärder

34 Hur säkerställer ni att ni tar hänsyn till juridiken vid digitalisering? Involvera jurist tidigt i processen Hur säkerställer ni att juridiken inte missas - kontrollpunkt Säkerställ att ni gör rätt vid utveckling såväl som upphandling av digitala tjänster Juridiken ska inte vara ett hinder mot digitalisering ifrågasätt! Den digitala juridiken

35 Agnes Hammarstrand / Partner, Advokat Mobil: Advokatfirman Delphi / Östra Hamngatan 29 / Göteborg / Sweden Telefon: + 46 (0) / Fax: +46 (0) / delphi.se Den digitala juridiken

36