Nya dataskyddsförordningen GDPR

Transkript

1 Välkommen till seminariet Nya dataskyddsförordningen GDPR (General Data Protection Regulation) Vilka är vi? Ulrika Blomqvist Eva Blomberg 1

2 Upplägg för dagen De viktigaste nyheterna Grunder, begrepp och principer Vad behöver ni som förening göra? Seminariet håller på i cirka1,5 timme Varför ny dataskyddsförordning? Stärka den enskildes integritetsskydd Anpassa till dagens digitaliserade samhälle och skydda mot o- säker överföring Underlätta för företag att verka inom hela EU med samma regler Personuppgiftslagen extra allt = GDPR Om PUL följs redan i dag, bra grund. Principer desamma. PUL från 1995 (1998) ersattes av GDPR den 25 maj Reglerna i GDPR är anpassade efter dagens teknik Även efter de typer av personuppgifter som vi ofta lämnar ifrån oss numera Och nya sätt som organisationer använder för att samla in och använder information om oss på. 2

3 Skillnader mot PUL Tuffare men tydligare krav Tydligare definierat vad som är personuppgifter Strängare sanktioner syftar till att de som behandlar uppgifter, personuppgiftsansvariga, tar ett aktivt ansvar och ska kunna visa det. Personuppgiftsansvarig är den som bestämmer ändamålen och medlen för behandlingen av personuppgifterna Vad är en personuppgift? varje upplysning som avser en identifierad eller identifierbar fysisk person avgörande är om uppgiften, enskild eller i kombination med andra uppgifter, kan knytas till en levande person Ex. Personnummer, namn, adress, e-postadress, telefonnummer, bilder, filmer, ljudupptagningar, elektroniska identiteter såsom IP-nummer och cookies. Vad är en personuppgiftsbehandling? insamling registrering organisering strukturering lagring bearbetning eller ändring framtagning läsning användning utlämning genom överföring spridning eller tillhandahållande på annat sätt justering eller sammanförande begränsning radering eller förstöring 3

4 Undantag: Privat bruk Yttrande- och informationsfrihet Journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande Brottsbekämpande ändamål Uppgifterna ska behandlas Lagligt, korrekt och öppet för den registrerade Säkert Med berättigat ändamål och får inte utan vidare behandlas i ett annat syfte senare De ska vara: relevanta, korrekta, inte fler än nödvändigt och inte längre tid än nödvändigt för ändamålet. Ordet nödvändigt är ett ledord. Nyheter rättigheter för personer Rätt till information Rätt till tillgång (utdrag i det medium som begärs) Rätt till rättelse Rätt till radering (gäller inte medlem i medlemsoch lägenhetsförteckning) Rätt till begränsning av behandling Rätt att göra invändningar Klagomål Skadestånd 4

5 Fler nyheter Känsliga uppgifter: om hälsa, etniskt ursprung, politisk uppfattning, sexuell läggning, facklig tillhörighet eller religiös tro. Nu även: genetiska och biometriska uppgifter. Här ställs särskilt höga krav och utgångspunkten är att det är förbjudet. Den så kallade missbruksregeln försvinner. Personuppgifter i löpande text, e-post och enkla listor var tidigare undantagna. Högre ställda krav t ex på samtycken och information Sanktionsavgifter Sanktioner Varning Reprimand Indragen rätt Böter, mindre allvarligt: 10 miljoner euro eller 2 % av omsättningen. Böter, allvarligt: Upp till 20 miljoner euro eller 4 % av den globala årsomsättningen. Grund för er att föra uppgifter Samtycke finns. Aktivt, frivilligt = inte villkorat, specifikt, individuellt och tydligt informerat. Ändamål och behandling ska framgå. Obs! Den svagaste grunden. Om det är nödvändigt för att: Följa lagen. Medlems- och lägenhetsförteckning måste föras enligt Lagen om ekonomiska föreningar och Bostadsrättslagen. Fullfölja ett avtal eller inför att ett avtal ska ingås. Det finns ett berättigat intresse för er eller tredje part. Om inte den registrerades intressen eller grundläggande fri- och rättigheter väger tyngre och kräver skydd av personuppgifter, s.k. intresseavvägning. Särskilt viktigt när det gäller barn. 5

6 Vad behöver föreningen göra och tänka på? Inventera: vilka uppgifter för vi i register/listor, varför och hur rensas/uppdateras/lagras de? Och vem/vilka har åtkomst? Dokumentera. Hur informerar vi medlemmar om vilka uppgifter som förs och varför? Har vi samtycken som håller? Biträdesavtal befintliga avtal med exempelvis förvaltare måste ses över och ev. kompletteras. Biträdesavtalet bör innehålla: Bara behandla personuppgifter enligt instruktioner från den personuppgiftsansvarig Tystnadsplikt för de/den som hos biträdet behandlar personuppgifter Ha lösningar (tekniska och organisatoriska) för att garantera säkerheten Ha lösningar (tekniska och organisatoriska) för att kunna svara på begärd information, lämna registerutdrag, rätta, radera, med mera. OCH för att identifiera personen som begär uppgifter. Förhandstillstånd och avtal vid anlitande av underbiträde Anmälan av personuppgiftsincidenter och information om incidenter till de registrerade samt konsekvensbedömning Radera eller återlämna alla personuppgifter till den personuppgiftsansvarige när uppdraget avslutas och även radera alla kopior Ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att man fullgör sina skyldigheter och möjliggöra och bidra till inspektioner och andra granskningar som den personuppgiftsansvarige vill genomföra. Föreningen bör också Skapa rutiner för att informera, rensa, uppdatera och lämna registerutdrag. För nyckelhantering och byte av inloggningsuppgifter och koder. Och för att anmäla incidenter (inom 72 timmar) Skapa gemensam e-postadress för styrelsen och gemensam lagringsplats. Mappsystem. Se över säkerheten viktigt med inloggningsrutiner när styrelseledamöter byts. Inga känsliga uppgifter, okrypterade, via e-post. 6

7 Olika situationer i en brf Ombyggnation av lägenhet uppgifter i e- post, spara eller inte? (kan innehålla känsliga personuppgifter) Störningsärenden anmälan via e-post, hur spara? (kan innehålla känsliga personuppgifter) Felanmälningar ska allt sparas? Nya medlemmar kreditupplysningar I förekommande fall Vid andrahandsuthyrning uppgifter om andrahandshyresgästen ska som regel raderas eller avidentifieras när uthyrningen upphört. OM inte det finns skäl att tro att de kan behöva sparas för ev. rättsliga anspråk. Se nedan. Då det kan bli fråga om rättsliga anspråk uppgifter förs separat INTE i medlems- eller lägenhetsförteckning. Raderas så snart de inte är relevanta, då medlem avflyttat eller senaste efter tio år. Kamerabevakning ny lag från 1 augusti 2018 Tillstånd behövs i mindre utsträckning MEN Måste ha tungt vägande behov Måste uppfylla kraven i GDPR högre krav på information, när, hur, hur mycket och hur länge material sparas och tillgång Vilken rättslig grund? Intresseavvägning 7

8 Elektroniska nyckelsystem Vilken rättslig grund? Intresseavvägning Tydlig information om loggar Biträdesavtal med företaget som tillhandahåller systemet Spara inte loggarna längre än nödvändigt Får inte användas för att i efterhand spåra exempelvis vem som stökat till i tvättstugan Kan behöva sparas längre för att tillvarata rättsliga anspråk IT och säkerhet Överföring till land utanför EU var finns molntjänstleverantörens server? Privacy Shield adekvat skyddsnivå Datainspektionens lista över länder som har adekvat skyddsnivå Kryptering/pseudonymisering vs Anonymisering/avidentifiering Backup-er? Dataskydd på 20 sekunder Nödvändigt är ett nyckelord fråga er varför, hur, vilka, var och hur länge? Endast i ett visst, i förväg, bestämt syfte Se till att ha stöd i lagen att föra dem Samla inte fler uppgifter än nödvändigt Spara inte uppgifterna längre än nödvändigt Begränsa åtkomst till dem INFORMATION RUTINER SÄKERHET 8

9 Lär dig mer om bostadsrätt Styrelserådgivningen: eller Faktablad, artiklar och medlemsförmåner på bostadsratterna.se Styrelsebladet Bostadsrätterna Direkt och boendetidningen Din Bostadsrätt Ont om tid? Gå vår webbkurs Så funkar styrelsen! Följ oss på Tack för visat intresse Lycka till! 9