Nya dataskyddsförordningen - Tolkning och tillämpning i den offentliga förvaltningen

Transkript

1 Nya dataskyddsförordningen - Tolkning och tillämpning i den offentliga förvaltningen 15 mars 2017 Cecilia Magnusson Sjöberg Professor, rättsinformatik

2 Dagens presentation GDPR - General Data Protection Regulation Översikt Särskilt viktigt för myndigheter Sammanfattning Mer information 2

3 1. ÖVERSIKT

4 EU:s dataskyddsreform Övergripande syften Starkare integritetsskydd Ökad harmonisering Minskad byråkratisering Bättre teknisk anpassning Främja den inre digitala marknaden

5 Dataskyddsreformens huvudsakliga rättsakter Den allmänna dataskyddsförordningen Nya dataskyddsdirektivet (brottsbekämpning) Direktiv om användning av PNR-uppgifter (Passenger Name Record)

6 Den regleringsmässiga ramen Dataskyddsförordningen Tillämpas som lag från och med den 25 maj 2018 Kompletterande övergripande nationell lagstiftning Dir 2016:15, Dataskyddsutredningen Skyldigheter Möjligheter Särreglering Förordningsanpassad registerlagstiftning Översyn sektorsvis/departementsvis

7

8 Dataskyddsförordningen Tillämplig den 25 maj 2018 Dataskyddsdirektivet och personuppgiftslagen upphävs Består av 99 artiklar Innehåller 173 beaktandeskäl Finns i många språkversioner

9 Struktur KAPITEL I Allma nna besta mmelser KAPITEL II Principer KAPITEL III Den registrerades raẗtigheter KAPITEL IV Personuppgiftsansvarig och personuppgiftsbitra de KAPITEL V O verfo ring av personuppgifter till tredjela nder eller internationella organisationer KAPITEL VI Oberoende tillsynsmyndigheter KAPITEL VII Samarbete och enhetlighet KAPITEL VIII Raẗtsmedel, ansvar och sanktioner KAPITEL IX Besta mmelser om sa rskilda behandlingssituationer KAPITEL X Delegerade akter och genomfo randeakter KAPITEL XI Slutbesta mmelser

10 2. SÄRSKILT VIKTIGT FÖR MYNDIGHETER

11 Laglig behandling förutsätter en rättslig grund Nödvändig behandling: Artikel 6.1 c Fullgöra en rättslig förpliktelse Artikel 6.1 e Arbetsuppgift av allmänt intresse Ett led i den personuppgiftsansvariges myndighetsutövning Artikel 6.1 f) Behandlingen a r no dva ndig fo r a ndama l som ro r den personuppgiftsansvariges eller en tredje parts beraẗtigade intressen, om inte den registrerades intressen eller grundla ggande raẗtigheter och friheter va ger tyngre och kra ver skydd av personuppgifter, sa rskilt na r den registrerade a r ett barn. Led f i fo rsta stycket ska inte ga lla fo r behandling som utfo rs av offentliga myndigheter na r de fullgo r sina uppgifter. Krav på fastställande i unionsrätten eller den nationella rätten (artikel 6.3)

12 Datainspektionens bedömning Vanligen är den s.k. missbruksregeln tillämplig (5 a PUL) Tillsyn enligt personuppgiftslagen (1998:204) Arbetsmiljöverkets användning av Beslut , dnr Facebook Katrineholms kommuns användning av s.k. sociala medier Beslut , dnr Aktiebolaget Gröna Lunds Tivolis användning av Beslut , dnr Facebook

13 Behandling av särskilda kategorier av personuppgifter och uppgifter om lagöverträdelser Artikel 9 Fortsatt principiellt förbud med möjligheter till undantag Grunden för vissa undantag måste författningsbestämmas ytterligare Behandling av personuppgifter som avslo jar ras eller etniskt ursprung, politiska a sikter, religio s eller filosofisk o vertygelse eller medlemskap i fackfo rening och behandling av genetiska uppgifter, biometriska uppgifter fo r att entydigt identifiera en fysisk person, uppgifter om ha lsa eller uppgifter om en fysisk persons sexualliv eller sexuella la ggning ska vara fo rbjuden. Artikel 10 Uppgifter om fällande domar i brottmål samt överträdelser Under kontroll av en officiell myndighet Införande av undantag kommer att utredas

14 Artikel 87 Behandling av nationella identifikationsnummer Medlemsstaterna fa r na rmare besta mma pa vilka sa rskilda villkor ett nationellt identifikationsnummer eller na got annat vedertaget saẗt fo r identifiering fa r behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget saẗt fo r identifiering ska i sa dana fall endast anva ndas med iakttagande av la mpliga skyddsa tga rder fo r de registrerades raẗtigheter och friheter enligt denna fo rordning. Behovet av begränsande villkor i svensk lagstiftning utreds

15 Artikel 85 Behandling och yttrande- och informationsfriheten 1. Medlemsstaterna ska i lag fo rena ra tten till integritet i enlighet med denna fo rordning med yttrande- och informationsfriheten, inbegripet behandling som sker fo r journalistiska a ndama l eller fo r akademiskt, konstna rligt eller littera rt skapande.

16 Artikel 86 Behandling och allma nhetens tillga ng till allma nna handlingar Personuppgifter i allma nna handlingar som fo rvaras av en myndighet eller ett offentligt organ eller ett privat organ fo r utfo rande av en uppgift av allma nt intresse fa r la mnas ut av myndigheten eller organet i enlighet med den unionsraẗt eller den medlemsstats nationella raẗt som myndigheten eller det offentliga organet omfattas av, fo r att ja mka samman allma nhetens raẗt att fa tillga ng till allma nna handlingar med raẗten till skydd av personuppgifter i enlighet med denna fo rordning.

17 Dataskydd som grund för sekretess 21 kap. 7 offentlighets- och sekretesslagen (2009:400) Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204).

18 Artikel 5 Lagringsminimering som utgångspunkt En hel del reglering av: Skyddsa tga rder och undantag fo r behandling av personuppgifter fo r arkiveringsa ndama l i allma nhetens intresse, eller fo r historiska och vetenskapliga forskningsa ndama l eller statistiska a ndama l (artikel 83 m.fl.) Artikel 89 Skyddsa tga rder och undantag fo r behandling av personuppgifter fo r arkiveringsa ndama l i allma nhetens intresse, eller fo r historiska och vetenskapliga forskningsa ndama l eller statistiska a ndama l Ur dir. 2016:15: Det är /emellertid / av central betydelse att myndigheternas bevarande av allmänna handlingar inte hindras av dataskyddsregleringen och att myndigheternas möjlighet att använda uppgifter i dessa handlingar säkerställs.

19 Raẗt till radering ("raẗten att bli bortglo md") artikel 17 Ej absolut Gäller t.ex. ej om Uppgifterna är nödvändiga för det ändamål som de samlades in för Behandlingen är motiverad med hänvisning till yttrande- och informationsfriheten. En avvägning måste i ske i varje enskilt fall Den registeransvarige har bevisbördan varför en begäran inte tillgodoses

20 Artikel Information som ska lämnas självmant Om uppgifterna samlas in från den registrerade Om uppgifterna inte erhålls från den registrerade Information som ska lämnas på begäran Den registrerades rätt till tillgång (åtkomst) Format Tillgängliggörande Identifiering

21 Automatiserat individuellt beslutsfattande, inbegripet profilering Artikel 22 Den registrerade ska ha raẗt att inte bli fo rema l fo r ett beslut som enbart grundas pa automatiserad behandling, inbegripet profilering, vilket har raẗtsliga fo ljder fo r honom eller henne eller pa liknande saẗt i betydande grad pa verkar honom eller henne. Se vidare undantag Artikel 4.4 profilering: varje form av automatisk behandling av personuppgifter som besta r i att dessa personuppgifter anva nds fo r att bedo ma vissa personliga egenskaper hos en fysisk person, i synnerhet fo r att analysera eller fo rutsa ga denna fysiska persons arbetsprestationer, ekonomiska situation, ha lsa, personliga preferenser, intressen, pa litlighet, beteende, vistelseort eller fo rflyttningar,

22 Bestämmelserna om överföring av personuppgifter till tredjeländer aktualiseras bl.a. vid myndigheters utkontraktering ( outsourcing ) i form av molntjänster ( cloud computing ) Överföring kan vara tillåten Kommissionens beslut om adekvat skyddsnivå Lämpliga skyddsåtgärder Bindande företagsbestämmelser Standardiserade uppgiftsskyddsbestämmelser Särskilda situationer (Artikel 44 m.fl.)

23 Proaktivt arbete Artikel 25 Inbyggt dataskydd och dataskydd som standard Artikel 35 Konsekvensbedömning avseende dataskydd

24 Säkerhet allt viktigare Artikel 32 m.fl. Tekniska och organisatoriska skyddsåtgärder Integritet och konfidentialitet Pseudonymisering, kryptering

25 Incidentrapportering - personuppgiftsincident Artikel 33 Anma lan av ett personuppgiftsincident till tillsynsmyndigheten Datainspektionen är mottagare Anmälan ska göras av den registeransvarige/pua Inom 72 timmar: typ av incident, omfattning, konsekvenser, vidtagna åtgärder Artikel 34 Information till den registrerade om ett personuppgiftsincident Artikel 4.12 personuppgiftsincident: en sa kerhetsincident som leder till oavsiktlig eller olaglig fo rsto ring, fo rlust eller a ndring eller till obeho rigt ro jande av eller obeho rig a tkomst till de personuppgifter som o verfo rts, lagrats eller pa annat saẗt behandlats,. Observera även myndigheters skyldigheter att anmäla it-incidenter till MSB

26 Samordning av förteckningsskyldigheter Register över behandling Artikel 30 dataskyddsförordningen Dokumentationsskyldighet 4 kap. 3 offentlighets och sekretesslagen Beskrivning av en myndighets allmänna handlingar 4 kap. 2 offentlighets- och sekretesslagen Arkivbeskrivning och arkivförteckning 6 arkivlagen Information enligt PSI-lagen 11 lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen

27 Dataskyddsombud Artikel 37.1 Den personuppgiftsansvarige och personuppgiftsbitra det ska under alla omsta ndigheter utna mna ett dataskyddsombud om a) behandlingen genomfo rs av en myndighet eller ett offentligt organ, fo rutom na r detta sker som en del av domstolarnas do mande verksamhet,

28 Dataskyddsombud forts. Obligatoriskt för myndigheter Självständig ställning Ombudets uppgifter tydliggörs Expert på dataskydd Artikel 37.5 Dataskyddsombudet ska utses pa grundval av yrkesma ssiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt fo rma gan att fullgo ra de uppgifter som avses i artikel 39. Jurist, arkivarie, it-arkitekt säkerhetsansvarig verksamhetsutvecklarare etc.

29 Rapporterar till högsta förvaltningsnivå Kommuner: Varje nämnd registeransvarig/pua och måste ha ett ombud (som i praktiken kan vara en och samma person) Inga särskilda regler i dataskyddsförordningen om vem som utser ombud

30 Ansvar & sanktioner Registrerad har rätt till effektivt rättsmedel mot PUA eller PUB (artikel 79) Utökat ansvar för personuppgifsbiträden Kan ge mandat till integritetsskyddsorganisation (artikel 80)

31 Skadestånd ( artikel 82) Administrativa sanktionsavgifter ( artikel 83) Bedömningsfaktorer Avgiftens storlek Kan bli höga avgifter 20 miljoner Euro eller 4 % av global årlig omsättning Medlemsstaten får reglera sanktionsavgifter mot myndigheter (artikel 83.7) Andra sanktioner ( artikel 84) Medlemsstaterna ska fastställa regler Om t.ex. straffrättsliga sanktioner Kommissionen ska underrättas

32 3. SAMMANFATTNING

33 Den allmänna dataskyddsförordningen Syfte Tillämpningsområde Definitioner Principer Laglig grund Samtycke Särskilda kategorier av personuppgifter Registrerades rättigheter Information Rättelse Radering Dataportabilitet Invändningar Automatiserade beslut Personuppgiftsansvarig & personuppgiftsbiträde Dataskyddsombud Inbyggt dataskydd & dataskydd som standard Säkerhet Konsekvensbedömningar Tredjelandsöverföringar Tillsynsmyndighet Sanktioner Särskilda behandlingssituationer M.m. 33

34 4. MER INFORMATION

35

36

37 Datainspektionen

38

39