Information om dataskyddsförordningen

Transkript

1 Information om dataskyddsförordningen

2 Agenda Kort om dataskyddsförordningen (GDPR) Info om centralt GDPR-projekt Övriga frågor

3 Bakgrund Dataskyddsförordningen (GDPR) ersätter personuppgiftslagen (1998:204) fr.o.m. den 25 maj 2018 Gäller alla verksamheter som behandlar personuppgifter, dvs. alla förvaltningar och bolag, samt alla personuppgiftsbehandlingar oavsett form Personuppgiftsansvariges skyldigheter utökas och de registrerades rättigheter förstärks Höga böter för de personuppgiftsansvariga som inte följer lagen

4 Den digitala utvecklingen har skapat nya behov av integritetsskydd 1973 Datalagen (SE) 1998 Personuppgiftslagen (Sverige) 2012 Kommissionens förslag till dataskyddsförordni ng (EU) 25 maj 2018 GDPR* träder i kraft 1995 Dataskydds -direktivet (EU) 2007 Uppdaterad Personuppgift s-lag (SE) 2016 General Data Protection Regulation /GDPR* (EU) GDPR* är den engelska förkortningen för dataskyddsförordningen, General Data Protection Regulation.

5 Viktiga ingångsvärden Nämnden är personuppgiftsansvarig, men personal på alla nivåer måste med på tåget (utbildning är en nyckel!) Dataskyddsförordningen är inte en it-fråga utan en verksamhetsfråga Dataskyddsförordningen är inte en engångsinsats utan ska efterlevas över tid detta är det nya normala Ett bra tillfälle att få koll på sina rutiner och sin information!

6 Vad är en personuppgift? En personuppgift är en uppgift som direkt eller indirekt kan hänföras till en fysisk person Exempel på personuppgifter Exempel på känsliga personuppgifter Namn Cookies Bild Etnicitet Religiös el politisk övertygelse Hemadress E-postadress Ljudupptagning Politisk åsikt Hälso- och genetiska data Personnummer Elektroniskt ID IP-adress Sexuell läggning Medlemskap i fackförening Exempel på var personuppgifter kan finnas System och program Dokument (word, excel etc) Arkiv Register och listor Nätverk Sms och chattprogram Hemsidor Brev Servrar Kalendrar

7 Väsentliga skillnader från PUL Stärkta rättigheter och säkerhetskrav Dokumenterat register över all behandling Riskanalys och konsekvensbedömning Skyddsåtgärder (tekniska & organisatoriska) Leverantörsstyrning Privacy by design and by default Ökade krav på Dataskyddsombud Tydligare säkerhetskrav Stärkta rättigheter för de registrerade Ökad insyn och information Ökat krav på samtycke Rättning av uppgifter Rätten att bli bortglömd Dataportabilitet Lagen kommer även gälla för personuppgifter i löpande text, exempelvis e-post eller på en webbsida Missbruksregeln försvinner Strängare krav om rapportering av incidenter Krav att rapportera incidenter till tillsynsmyndigheten inom 72 h Krav att rapportera incidenter till de registrerade

8 Verksamheter ska inte sluta hantera personuppgifter! Allmänna principer för behandling av personuppgifter Laglig grund som personuppgiftsbehandlingen måste uppfylla Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt samlas in för ett uttryckligt angivet och berättigat ändamål och behandlas i enlighet med detta angivna ändamål är adekvata, relevanta och inte för omfattande i förhållande till ändamålen är korrekta och om nödvändigt uppdaterade ska inte lagras längre än nödvändigt ska behandlas på ett sätt som säkerställer lämplig säkerhet Varje behandling av personuppgifter måste vila på en laglig grund (Art 6) Minst ett av nedan kriterier måste föreligga för att laglig grund ska vara uppfyllt: a) Samtycke b) Avtalsrelation c) Rättslig förpliktelse d) Skydda grundläggande intressen e) Myndighetsutövning/ allmänt intresse (ex arkivlagen) f) Intresseavvägning Allmänna principer + Laglig grund = Tillåten personuppgiftsbehandling

9 Aktiviteter som verksamheter kan starta med Säkerställ att din verksamhet skyddar personuppgifter på ett korrekt sätt Säkerställ att din verksamhet har: Identifierat vilka personuppgifter som verksamheten hanterar. Det gäller både strukturerat material (exempelvis it-system, register) och ostrukturerat material (i löpande text, ex i e-post) Dokumenterat dessa personuppgifter i ett register. (Det finns en mall framtagen som kan användas för detta ändamål) Genomfört informationsklassificering för uppgifterna. Informationsklassificering innebär att din verksamhet måste bestämma hur skyddsvärda uppgifterna är samt vilka säkerhetskrav som behöver ställas för att skydda informationen. (Länk till KLASSA) Infört de skyddsåtgärder som krävs för att uppfylla säkerhetskraven (från steget ovan). Skyddsåtgärderna kan beröra såväl din verksamhet som dina leverantörer (om dessa hanterar personuppgifter). En förteckning på de leverantörer som hanterar personuppgifter åt verksamheten och om det finns personuppgiftsbiträdesavtal med dessa. (Det finns en mall framtagen som kan användas för detta ändamål).

10 Aktiviteter som verksamheter kan starta med Förbered anpassningar av rutiner och processer till den nya lagen Påbörja analysen av vilka rutiner och processer som finns inom er verksamhet redan idag (alternativt vad som inte finns) vad gäller följande områden: hur registerutdrag ska lämnas ut hur riskanalyser ska genomföras hur samtycke ska inhämtas samt samtycke som gäller barn incidentrapportering. Utse ansvarig för rapportering till Datainspektionen & registrerade hur säkerställs att verksamheten inte samlar in mer personinformation än nödvändigt hur information ska lämnas i samband med att personuppgifter lämnas ut hur ni rättar/begränsar/invänder mot/raderar personuppgifter hur konsekvensanalys ska göras

11 Hela EU omfattas av lagen - Både privat och offentlig verksamhet Enligt EU kommissionen är bara två länder tillräckligt redo Tyskland och Österrike Sverige behöver anpassa 50 till 100 lagar De flesta verksamheter tycks ha kommit igång sent De flesta verksamheter tycks sikta på att efterleva det viktigaste först till den 25 maj, och därefter jobba vidare med resten

12 Olika nivåer av sanktionsavgifter Allvarliga överträdelser 10 mnkr Otillåten behandling av personuppgifter (Art. 5 och 6) Underlåtelse att lämna information till registrerade (Art ) Bristande eller felaktigt samtycke (Art. 7) Underlåtelse att tillgodose de registrerades rättigheter (Art ) Extra skydd för känsliga personuppgifter (Art. 9) Rätt att inte bli föremål för beslut grundat på automatiserad behandling Otillåten överföring till tredje land (Art ) Saknar registerförteckning Utse Dataskyddsombud Data protection by design and by default Personuppgiftsbiträ den Bristande samarbete med DI Mindre allvarliga överträdelser 5 mnkr Konsekvensbedömning och samråd för riskfylld behandling Anmälan av incident till Datainspektionen (inom 72 h) Underlåtenhet att informera registrerade om incidenter Barns samtycke Lämpliga tekniska och organisatoriska åtgärder

13 Info om det stadsövergripande GDPR-projektet Centralt GDPR-projekt Lokalt GDPR-projekt Startat! Planering pågår. Syftet är att ta fram riktlinjer, stödmaterial och verktyg Fokus: stadsövergripande frågor Förvaltningar och bolag är PuA och ansvarar för att följa lagen och stadens riktlinjer, precis som idag Fokus: Den egna verksamhetens personuppgiftshantering

14 Syftet med det centrala GDPR-projekt Del 1: Anpassa stadens styrande dokument till dataskyddsförordningen» Riktlinjer för informationssäkerhet» Riktlinjer för incidentrapportering» Handbok för Informationsklassning (ny handbok tas fram just nu!)» Ramverk för molntjänster» Checklista för upphandling av molntjänster» Riktlinje för stadens IT-infrastruktur» F-guide - principer för ansvar och roller för centrala systemägare och lokala informationsägare» U-guide» Lilla ratten Del 2: Ta fram stödmaterial som ska hjälpa stadens förvaltningar att följa lagen Del 3: Teknisk översyn med målet att det ska vara lätt att göra rätt. o Fokus på att skapa automatiserade stödprocesser istället för manuella stödprocesser, exempelvis för inventering och registerutlämnande.

15 Vilket stöd finns idag från det centrala projektet? Samverkansyta med GDPR-material Mall för inventering och registerförteckning Mall för personuppgiftsbiträdesavtal Vägledning: GDPR och gallring/arkivering Utbildningsmaterial Funktionsbrevlåda med svar från GDPR-jurist FAQ GDPR-sida på intranätet Incidentverktyget IA: Anpassningar har utlovats Verktyget KLASSA: Anpassningar kommer 31 mars 2018 Utbildningar vid förfrågan Intensivt arbete pågår med fler leveranser!

16 Vilken nytta kan vi ha av dataskyddsförordningen? Finns till för ett skydda individens rättigheter En möjlighet att skapa ordning och reda i vår verksamhet Ökad kunskap hos medarbetare

17 Kontaktytor Funktionsbrevlåda (svar dröjer dock något just nu) Samverkansyta

18