GDPR. General Data Protection Regulation

Transkript

1 GDPR General Data Protection Regulation

2 GDPR - Vad vet ni om GDPR? - Var står ni idag? - Var ligger ansvaret internt att hantera GDPR?

3 Kort om GDPR Vad händer 25 maj 2018 träder en omfattande reform av dataskyddet i kraft i Europa. Då börjar en förordning om dataskydd att tillämpas som blir direkt gällande lag i Sverige och som kommer att ersätta personuppgiftslagen. Den nya dataskyddsförordningen omnämns ofta som GDPR som är en förkortning av General Data Protection Regulation som förordningen kallas på engelska. - Den här reformen kommer att få stora konsekvenser för alla företag, myndigheter och andra organisationer som hanterar personuppgifter och kommer också att stärka skyddet och rättigheterna för de personer vars uppgifter registreras, säger Datainspektionens generaldirektör Kristina Svahn Starrsjö. Varför Förordningen stärker privatpersoners möjlighet att ha kontroll över sina personuppgifter i vår digitala värld med smarta telefoner, sociala medier, internetbanker och gränsöverskridande överföringar av data.

4 Den registrerades rättigheter - Information ska vara tydlig - koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk - Rätt att få information om ens uppgifter behandlas, och i så fall vissa detaljer kring detta (gratis och inom 1 månad) - Rätt till rättelse utan dröjsmål - Right to be forgotten rätt till radering under vissa förutsättningar - Rätt till begränsning av behandling (t ex om behandlingen är olaglig) - Portabilitet uppgifter ska vara maskinläsbara och den registrerade ska kunna överföra dessa till annan registeransvarig - Vägra behandling för direkt marknadsföring, inklusive profilering

5 Skillnaderna PuL vs GDPR Missbruksregeln försvinner PUL tillåter lagring och hantering av personuppgifter så länge som (1) personuppgifterna inte är kränkande och (2) de lagras på andra sätt än i traditionella databaser. Detta undantag i PUL kallas ibland Missbruksregeln. Exempelvis så räknas ljudfiler, bilder och löpande text i bloggar, mail, Office dokument som information i ostrukturerad form och får därför så länge PUL gäller hanteras fritt bara de inte är kränkande. När Dataskyddsförordningen träder i kraft så får ingen personinformation längre lagras/behandlas utan dokumenterat samtycke, annan laglig grund eller att informationen är av rent privat karaktär. Detta kommer även att gälla bloggar, bilder, innehåll i textfiler, ljudupptagningar mm. Viten Brott mot PUL ger sällan kännbara påföljder. Brott mot GDPR kan (vid allvarliga överträdelser!) leda till böter på maximalt eller 4% av koncernens globala omsättning. Omvänd bevisbörda I GDPR måste företaget som lagrar, inhämtar och behandlar personuppgifter bevisa att man har gjort allt i sin makt för att skydda data. Detta genom att ha dokumenterar sina personuppgifter, syftet, samtycket, hur du skyddar data etc. I PuL var det den drabbade som skulle bevisa att företaget hade misskött sig.

6 Dataskyddsombud - Ska utses om den Registeransvarige är en myndighet eller en privataktör som huvudsakligen behandlar uppgifter - Om det är fråga om regelbunden och systematisk övervakning - Om kärnverksamheten består av behandling i stor omfattning av känsliga uppgifter - Ombud får i annat fall också utses, eller ska (om nationell rätt så kräver) - Ska vara en person som utses på grundval av dennes yrkesmässiga kvalifikationer, sakkunskap om lagstiftning och praxis, samt förmåga utföra uppgifterna - Ska rapportera till högsta ledningen - Ska vara självständig och i viss mån ha en skyddad position

7 Din GDPR resa i fyra steg

8 Din GDPR resa i fyra steg 1. Undersök Inventering Mål med detta steg: Att identifiera vad för personuppgifter ni har och var det är lagrat Innehåll: Vad vi letar efter (typ av data som kan bidra med att identifiera en person) - Personuppgifter, namn, E-post adresser, social media inlägg, fysisk information, telefonnummer, adresser/ platser, - Bank detaljer, IP adresser, cookies, kulturell identitet Var vi letar (vart data samlas in och sparas): - , dokument, databaser, lagringsmedia, metadata, log filer, backuper Aktiviteter: -Workshop med kund, inventering med verktyg, rapportskrivning Kostnad: Från tre dagar arbete och uppåt beroende på datavolym och typ av information

9 Din GDPR resa i fyra steg 2. Hantera Klassificering Riskanalys Policy & mallar Mål med detta steg: Att kartlägga hur era personuppgifter används inom er organisation Innehåll: Klassificering: Här organiserar och kategoriserar vi data för att säkerställa korrekt hantering enligt kategorierna; Datatyp, Känslighet, Kontext / användning, Äganderätt, Förvaltare, Administratörer, Användare Riskanalys: I riskanalysen hjälper vi er att kartlägga och bedöma hur känsligt ert data är ur ert säkerhetsperspektiv och GDPR Policies och mallar: Här definierar vi policies, roller och ansvar för hantering av data samt användning av personuppgifter enligt kategorierna; Vilandes, Pågående, I transport, Lagring, Återskapande, Arkivering, Borttagande samt skapar IT-policy, Social media policy, etc. Kostnad: Från tre dagar arbete och uppåt beroende på datavolym och typ av information

10 Din GDPR resa i fyra steg 3. Skydda Mål med detta steg: Upprätta säkerhetsåtgärder för att förhindra, upptäcka och svara på sårbarheter och dataöverträdelser. Innehåll: -Implementera säkerhetslösningar anpassat just för er Pris: från ca 300 kr/mån/anv Hantering & grundinstallation tillkommer Skydda ytterdörren -2 faktors inloggning -Avancerade säkerhetsrapporter -Identifiera hot mot lokalt data -Identifiera osäkra molntjänster -Identifiera osäker datahantering Skydda data - Upptäck dataläckage - Intelligent klassning av data - Kryptering, spårbarhet och återkallande av dokument - Monitorering av delade filer och dataläckage - Kontrollera vart data får öppnas Säkra enheter - Reglerad access - Styr hur användare kan logga in - Enhets- och applikationskryptering - Begränsa möjlighet att spara som, kopiera och klistra in - Fjärradera enhet eller applikation Användarvänlighet - En inloggning till allt ditt data (Single sign on) - Återställ och ändra ditt lösenord - Avancerad flerfaktorsinloggning - Tillgång till applikationer utan VPN

11 Din GDPR resa i fyra steg 4. Rapportera Dokumentera Rapportera Mål med detta steg: Säkerställ nödvändig dokumentation, hantera dataförfrågningar och intrångsnotifieringar Innehåll: Dokumentering: Säkerställ löpande dokumentering om varför, hur, var ert data hanteras, av vem, etc. Implementera dokumenhanteringstjänsten Easy GDPR Document Rapporteringsverktyg: Implementera rapporteringstjänst för att kunna rapportera incidenter med Easy GDPR Reporting Biträde: Vi hjälper er att upprätta Personbiträdesavtal för dina leverantörer Pris: Från 1,000 kr per månad/easy GDPR paketen Etablering tillkommer

12 Nästa steg Vad blir ert nästa steg? IT och verksamhet i samspel en nyckel för lyckat GDPRprojekt