Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Transkript

1 Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

2 Regler för personuppgifter Idag finns regler om hur personuppgifter får hanteras i PUL samt regler om hur marknadsföring får göras enligt marknadsföringslagen Ny dataskyddsförordning ersätter PuL i hela EES De nya reglerna gäller från och med 25 maj 2018 Företag som bryter mot lagen riskerar böter upp till det högre beloppet av euro eller 4 % av koncernens globala omsättning Nya Dataskyddsförordningen

3 Förordningen i korthet Principerna bygger på nuvarande lag, men också ett stort antal nyheter Gäller alla personuppgifter allt som går att koppla till en individ, t.ex. namn, kunddata, köphistorik, adress, kontonummer, osv. Krav på när och hur personuppgifter får behandlas Nya Dataskyddsförordningen

4 Sanktioner Företag riskerar böter upp till det högre beloppet av 20 MEUR eller 4 % av koncernens globala omsättning Även risk för skadestånd, straff m.m. 4

5 När gäller lagen? Gäller för ansvarig eller biträde etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte Även om inte etablerade i unionen Avser registrerade som befinner sig i unionen; och Behandlingen har anknytning till utbjudande av varor eller tjänster till sådana registrerade i unionen Gäller all behandling av personuppgifter 5

6 Vad är en behandling? Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter Exempel Insamling Registrering Lagring Spridning Samkörning Radering Undantag för bl.a. rent personligt bruk 6

7 Vad är en personuppgift? Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras Är detta en personuppgift? (en IP-adress) En adressuppgift Köphistorik En bild GPS-data OBS! Oavsett kryptering 7

8 Personuppgiftsansvarig En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter Ansvarar alltid självständigt för att lagen uppfylls och ska kunna visa att lagen följs Det är alltså ni som ansvarar för att t.ex. era IT-system uppfyller lagens krav (inte leverantören) Ska genomföra lämpliga organisatoriska och tekniska åtgärder för att följa lagen när lämpligt anta policyer. Jfr. personuppgiftsombud (nu dataskyddsombud) en fysisk person 8

9 Personuppgiftsbiträde En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Finns alltid utanför den personuppgiftsansvariges organisation Exempel på vanliga biträden IT-leverantörer Rekryteringsbyråer Reklambyråer Molntjänstleverantörer IT-support Utökade direkta skyldigheter Självständigt ansvar 9

10 Krav på personuppgiftsbiträdesavtal Utökade krav på biträden - formkrav Viktigt att tänka på vid alla samarbeten som innebär utbyte av personuppgifter Inte längre ett standardavtal viktigt anpassa till situationen förhandla! Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ 10

11 När är behandling tillåten? Uppgifter ska bara hanteras i den mån det är nödvändigt med hänsyn till ett lagligt ändamål Behandlingen behöver vara tillåten enligt samtycke nödvändigt för att ett avtal med den registrerade ska kunna fullgöras nödvändigt fullgöra rättslig förpliktelse skydda intressen av grundläggande betydelse för registrerade en arbetsuppgift av allmänt intresse ska kunna utföras eller intresseavvägning 11

12 Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse

13 Konsekvenser av lagen Dataskydd blir en ledningsfråga Viktigare att följa lagen Integritetsfrågorna får mer uppmärksamhet och kräver resurser, organisation och budget Ökat fokus på förebyggande åtgärder och dokumentation System och databaser kan bli olagliga Nya Dataskyddsförordningen

14 Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policyer Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policyer för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder - rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv Nya Dataskyddsförordningen

15 Hur kan vi förbereda oss? Skapa medvetande internt om de nya reglerna och den nya rollen informera och utbilda Ett projekt för att följa lagen behövs 1. Gör en nulägesanalys ( Gap analysis ) 2. Efterlevnadsprojekt Nya Dataskyddsförordningen

16 Tips för ett lyckat efterlevnadsprojekt Budgetera och avsätt resurser noga Ha en intern projektledare och ev. även en inhyrd Lägg mycket tid i början på att identifiera rätt personer som ska delta Lägg stor vikt vid planeringsstadiet Diskutera ambitionsnivå av compliance riskapproach Nya Dataskyddsförordningen

17 Nulägesanalys ( Gap analysis ) Identifiera behandlingar och system Laglig grund för behandlingen Identifiera tredjeparter Mappa vilka legala enheter i koncernen som är personuppgiftsansvariga och biträden Vilka juridiska dokument, rutiner och samtycken finns idag? Identifiera brister och områden att hantera inför att förordningen träder i kraft Nya Dataskyddsförordningen

18 Efterlevnadsprojekt Hur säkerställa ett effektivt efterlevnadssystem ( Data Protection Management System )? 1. Säkerställ att behandlingen är laglig 2. Sätt ansvar och organisation 3. Uppdatera juridiska dokument, avtal, samtycken och policyer 4. IT- och säkerhetsåtgärder 5. Organisatoriska åtgärder och rutiner accountability Nya Dataskyddsförordningen

19 Sätt ansvar och organisation Behöver vi ett dataskyddsombud? Vem är annars högst ansvarig? Olika kompetens informationssäkerhet, projektledning och juridik Vad är en lämplig organisering för er? Lands eller bolagsvis: Lokala kontaktpersoner Områdesvis: HR/Kunddata/Leverantörsdata/Marknad/Kundklubb Ansvar över olika system/behandlingar Rapportordningar och arbetsbeskrivningar Övervakning av efterlevnad (internt/externt) Nya Dataskyddsförordningen

20 Juridisk dokumentation/policyer (exempel) Personuppgiftsbiträdesavtal och ev. underbiträdesavtal Information till registrerade (personuppgiftspolicy) Samtyckestexter Interna policyer för behandlingen, lagrings- och gallringsrutiner Beroende på verksamhet/storlek: Mall och rutiner för konsekvensbedömning Dokumentation/avtal för överföring till tredje land Rutiner och dokumentation för incidenthantering Rutiner inför upphandling Nya Dataskyddsförordningen

21 IT- och säkerhetsåtgärder (exempel) Säkerhetskrav är de tillräckliga utifrån de krav som ställs i lag och med hänsyn till vilka uppgifter det rör sig om? Börja tillämpa inbyggd integritet (privacy by design) vid egen utveckling Tekniska rutiner för gallring, behörighetsstyrning, autentisering Tekniska rutiner för att undvika personuppgiftsincidenter Nya Dataskyddsförordningen

22 Organisatoriska åtgärder och rutiner Utbildningsrutiner (och rutiner för att övervaka att utbildning genomförts) Utelämnande av information Dokumentationsrutiner Samtycken checklistor Register över behandling Rutiner för anmälan av personuppgiftsincident Konsekvensbedömning vid ny behandling Rutiner vid upphandlingar Contract management Sekretessavtal Med mera.. Nya Dataskyddsförordningen

23 Exempel på projektupplägg

24 Projektöversikt (exempel) STEG 1 Legal genomgång av personuppgiftsbehandling Granskning av systembeskrivningar/dataflöden, avtal, policyer, manualer, information på hemsidan, etc. Inledande workshop och val av projektledare internt samt identifiering av personal som ska besvara frågeformulär Intervjuer med ledning och berörd personal Granskning av svar på frågeformulär om personuppgiftsbehandling Levereras: Rapport över personuppgiftsbehandlingen (inkluderande rekommendationer för regelefterlevnad) ( Rapporten ) Nya Dataskyddsförordningen

25 Projektöversikt (exempel) STEG 2 Uppföljningsarbete Workshop med praktiska överväganden avseende Delphis rekommendationer i Rapporten Genomgång av områden som är av betydelse i relation till förordningen Upprättande av steg för steg-guide med åtgärder för efterlevnad av nuvarande personuppgiftslagstiftning och en strategi för efterlevnad av förordningen Levereras: Steg för steg-guide Nya Dataskyddsförordningen

26 Projektöversikt STEG 3 Regelefterlevnadsprojekt IT-stöd för compliance-uppföljning Utgår från slutsatser som dragits under legal genomgång och uppföljningsarbete Rådgivning i samband med genomförande av åtgärder för att uppnå efterlevnad med GDPR Upprättande av nya avtal, policyer, manualer, samtyckesformuleringar, texter till hemsidan etc. Nya Dataskyddsförordningen

27 Efterlevnadsprojekt - framgångsfaktorer Budgetera noga Lägg mycket tid på planering i början Var noga med att utse rätt personer i projekt Ha god framförhållning Utse en eller flera interna projektledare Tänk i spår, t.ex. HR, IT, CRM, Ekonomi Räkna med förseningar! Nya Dataskyddsförordningen

28 Vilka är vi och vad gör vi?

29 Olika nivåer av stöd Utbildningar och workshops Efterlevnadsprojekt (de juridiska delarna) Bollplank i enstaka frågor Hjälp med juridiska texter, avtal och checklistor Nya Dataskyddsförordningen

30 Delphi om oss Delphi är en av Sveriges främsta affärsjuridiska byråer med kontor i Stockholm, Göteborg, Malmö och Norrköping/Linköping. Modern och framtidsinriktad Specialister inom alla affärsjuridikens områden Stolt vinnare av Årets Advokatbyrå, Sveriges största klientstudie för advokatbyråer specialiserade på affärsjuridik Advokatbyråer 200+ mkr Stora klientpriset Nya Dataskyddsförordningen

31 Delphi IP/Tech - topprankade inom IT och dataskydd Topprankade av Chambers och Legal 500 inom IP och IT Stort fokus på personuppgifter och nya dataskyddsförordningen Över 20 jurister i Sverige som arbetar med dataskydd och GDPR Stor arbetsgrupp på fem kontor som arbetar målinriktat med nya dataskyddsförordningen, mallar, checklistor m.m. Specialister inom IT-juridik, online, digitala tjänster, Life Science och immaterialrätt Nya Dataskyddsförordningen

32 Johan Hübner / Partner / Advokat Direkttelefon: Mobiltelefon: Johan.Hubner@delphi.se Advokatfirman Delphi / Mäster Samuelsgatan 17, Stockholm Telefon: / Fax: / delphi.se 32

33