Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi
|
|
- Lina Fredriksson
- för 6 år sedan
- Visningar:
Transkript
1 Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi Nya dataskyddsförordningen 1
2 Agenda Introduktion Svenska utredningar Vem ansvarar? Överföring av personuppgifter De grundläggande principerna och hur får personuppgifter behandlas? Konsekvensbedömningar Registerförteckning Samtycke Registrerades rättigheter Vem ansvarar internt? Dataskyddsombud m.m. Säkerhet och IT-krav Sammanfattning och avslutning Nya dataskyddsförordningen 2
3 Introduktion
4 Ny dataskyddsförordning ( GDPR ) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 Direkt gällande förordning som ersätter PuL och motsvarande lagar i hela EU (EES) De nya reglerna gäller från och med den 25 maj 2018 Principerna bygger på nuvarande lag, men också ett stort antal nyheter Tydlig strävan efter enhetlighet, men finns vissa möjligheter till nationella avvikelser, t.ex. vad gäller offentlighetsprincipen och hälsodata Gäller all behandling av personuppgifter Nya dataskyddsförordningen 4
5 Vad är en personuppgift? Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras Allt som går att kopplas till en individ, t.ex. En adress (en IP-adress) En adressuppgift Ett bilregistreringsnummer En bild: Oavsett kryptering Nya dataskyddsförordningen 5
6 Vad är en behandling? Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter Exempel Insamling Registrering Lagring Spridning Samkörning Radering Undantag för bl.a. rent personligt bruk Nya dataskyddsförordningen 6
7 I praktiken. Anställningsregister och kandidatdatabaser Register respektive nämnd för över vissa kommunmedborgare, t.ex. Elever Brukare Politiker Klienter inom individ- och familjeomsorg Registrerade för ansökningar, kommuntjänster, m.m. Leverantörsregister Eventuella andra registrerade, t.ex. nyhetsbrev Annan behandling t.ex. GPS-övervakning, digitala tjänster, molntjänster, appar, mejl, dokument, whistleblowingsystem, passersystem, sociala medier och hemsidan Även ostrukturerad data, t.ex. mejl och dokument Nya dataskyddsförordningen 7
8 Tillsyn Nationell tillsynsmyndighet Behörig inom sitt land Tillsynsmyndigheten för den ansvariges eller biträdets huvudsakliga verksamhetsställe behörig även vid gränsöverskridande behandling Europeisk dataskyddsstyrelse Består av chefen för en tillsynsmyndighet per medlemsstat och Europeiska datatillsynsmannen Nya dataskyddsförordningen 8
9 Sanktioner Rätt för individer att kräva skadestånd och straff föreskrivs av varje medlemsstat Varning, reprimand eller beordran Begränsning eller förbud Medlemsstaterna ska fastställa sanktioner för de överträdelser som inte är föremål för böter och säkerställa att sanktionerna genomförs Administrativa böter ( böter ) hur blev det? Nya dataskyddsförordningen 9
10 Svenska utredningar
11 Kompletterande lagstiftning Förordningen behöver kompletteras av nationella regler Ett flertal utredningar tillsatta i Sverige, t.ex. apoteksmarknad, forskning och utbildning Dessutom finns kompletterande lag som får stor betydelse på enskilda områden Nya dataskyddsförordningen 11
12 SOU 2017:39 Ny dataskyddslag Utredningen föreslår en nya dataskyddslag Målsättning: Bevara så mycket som möjligt av tidigare bestämmelser en del personuppgiftsbehandling kommer därför förbli densamma Preciserar vad som ska gälla för svenska förhållanden Nya dataskyddsförordningen 12
13 När kan en kommun få böter? 1: Upp till det högre beloppet av kr Mindre allvarliga överträdelser 2: Upp till det högre beloppet av kr Allvarliga överträdelser Underlåtenhet att följa förlägganden och beslut av tillsynsmyndigheten Underlåtenhet att bistå tillsynsmyndigheten Vid bestämmandet av avgiftens storlek i det enskilda fallet ska dataskyddsförordningens bestämmelser tillämpas Nya dataskyddsförordningen 13
14 Administrativa böter hur? Administrativa böter ska beroende på omständigheterna i det enskilda fallet åläggas utöver eller i stället för andra åtgärder Böterna ska vara effektiva, proportionella och avskräckande Harmoniserade bötesnivåer Hänsyn till ett antal faktorer, t.ex. Överträdelsens natur, svårighetsgrad och varaktighet De åtgärder som vidtagits för att lindra skada Graden samarbete med myndigheterna/egen anmälan Genomförda säkerhetsåtgärder Nya dataskyddsförordningen 14
15 Exempel på fler förslag från utredningen Specificeringar av vad som ska gälla, slår fast det som redan följer av lagen Rättslig förpliktelse, även kollektivavtal eller beslut som har meddelats med stöd av lag eller författning Individ ska efter tre månader kunna kräva att Datainspektionen ska behandla klagomål från registrerade inom två veckor Fler grunder för behandling av känsliga uppgifter Se vidare nedan Nya dataskyddsförordningen 15
16 Förhållandet till offentlighetsprincipen PuL inskränker inte en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen Skyldigheten att lämna ut uppgifter gäller efter att en medborgare begärt ett sådant utlämnande När skyldighet att lämna ut information inte finns (t.ex. elektroniskt) måste kommunen pröva noga om det är möjligt att lämna ut med hänsyn till PuL Inga förändringar vad gäller offentlighets- och sekretesslagstiftningen föreslås Nya dataskyddsförordningen 16
17 Andra utredningar Kameraövervakningslagen föreslås ersattas av ny kamerabevakningslag SOU 2017:55 - En ny kamerabevakningslag En ny lag om en hög gemensam nivå av säkerhet i nätverk och informationssystem föreslås SOU 2017:36 Informationssäkerhet för samhällsviktiga och digitala tjänster Förslag har lämnats till ändringar inom utbildningsområdet SOU 2017:49 - EU:s dataskyddsförordning och utbildningsområdet Integritetskommitténs utredning SOU 2017:52 - Så stärker vi den personliga integriteten Föreslår upprättande av uppförandekoder inom skolan och hälso- och sjukvården, speciellt inom patientdatalagens område Kompletterande bestämmelser till patientdatalagen föreslås, t.ex. för att konkretisera några av de krav som ställs på ett informationssystem som har den typen av uppgifter Nya dataskyddsförordningen 17
18 Pågående utredningar Socialdataskyddsutredningen, inklusive översyn av Patientdatalagen, Socialförsäkringsbalken och Lagen om behandling av personuppgifter inom socialtjänsten Redovisas den 31 augusti 2017 S 2016:05 Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde Utredningen utreder bl.a. Behovet av bestämmelser om undantag från förbudet att behandla känsliga personuppgifter Behovet av nationella regler om registrerades rätt att göra invändningar mot behandling av personuppgifter Behovet av kompletterande föreskrifter för vissa myndigheter och verksamheter som idag saknar särskilda registerförfattningar Utredningen om Rättsmedicinalverkets verksamhet Redovisas 31 oktober 2017 JU 2016:18 stärkt integritet i Rättsmedicinalverkets verksamhet Tar ställning till möjligheten och behovet av särskild personuppgiftsreglering för RMV Nya dataskyddsförordningen 18
19 Vem ansvarar?
20 Personuppgiftsansvarig ( PuA ) En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter Ansvarar alltid självständigt för att lagen uppfylls och ska kunna visa att lagen följs Det är alltså ni som är personuppgiftsansvarig som ytterst ansvarar för att t.ex. era IT-system uppfyller lagens krav (inte leverantören) Jfr. personuppgiftsombud (nu dataskyddsombud) En fysisk person Nya dataskyddsförordningen 20
21 Personuppgiftsansvarig i kommunen i dag I en kommun är typiskt sätt både kommunstyrelsen och de kommunala nämnderna personuppgiftsansvariga för sina egna behandlingar Självständig nämnd = egen förvaltningsmyndighet = eget personuppgiftsansvar Om olika nämnder är olika juridiska personer då kan inte uppgifter föras ut mellan nämnderna hur som helst Vårdgivare är alltid personuppgiftsansvarig Sannolikt samma under nya förordningen Nya dataskyddsförordningen 21
22 Gemensamt personuppgiftsansvar Om två eller flera personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen av personuppgifter Ofta fallet vid gemensamt använda system, webbportaler, m.m. Ska gemensamt fastställa sitt respektive ansvar avseende den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla information Delge väsentliga drag i arrangemanget för registrerade d.v.s. publicera i praktiken Den registrerade kan utöva sina rättigheter mot var och en av de personuppgiftsansvariga Nya dataskyddsförordningen 22
23 Personuppgiftsbiträde ( PuB ) En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Finns alltid utanför den personuppgiftsansvariges organisation Exempel på vanliga biträden IT-leverantörer Rekryteringsbyråer Reklambyråer Molntjänstleverantörer IT-support Utökade direkta skyldigheter Tillsynsobjekt kan också åläggas sanktionsavgift Nya dataskyddsförordningen 23
24 Hur avgöra vem som är personuppgiftsansvarig? Vem bestämmer syftena med behandlingen? Vem bestämmer hur behandlingen ska ske? T.ex. vilka uppgifter ska behandlas, vilka ska få tillgång till dem och när ska uppgifter raderas Den som enbart har tillgång till ett system är normalt inte ansvarig (om denne inte bestämmer någonting) Nya dataskyddsförordningen 24
25 Förhållandet mellan PuA och PuB Krav på avtal mellan parterna som anger hur behandlingen ska ske Den ansvarige ska endast anlita biträden som ger tillräckliga garantier om att behandling av personuppgifter sker i enlighet med kraven i dataskyddsförordningen Biträdet får endast behandla personuppgifter utifrån dokumenterade instruktioner från den ansvarige Nya dataskyddsförordningen 25
26 Ansvarsfördelning mellan personuppgiftsansvarig och biträde Ersättningsskyldighet om en person lider skada genom överträdelse av dataskyddsförordningen Solidariskt ansvar den skadelidande kan kräva full ersättning från antingen den personuppgiftsansvarige eller personuppgiftsbiträdet Om full ersättning betalas ut av en personuppgiftsansvarig eller ett biträde har denne i sin tur rätt att återkräva den del av ersättningen som orsakades av någon annan som medverkade vid behandlingen Nya dataskyddsförordningen 26
27 Överföring av personuppgifter
28 Krav på personuppgiftsbiträdesavtal Krav på skriftligt avtal mellan ansvarig och biträde I vissa fall är bägge parter personuppgiftsansvariga och personuppgiftsbiträden åt varandra Viktigt att tänka på vid alla samarbeten som innebär utbyte av personuppgifter, t.ex. marknadsföring, IT och rekrytering Ska ha visst innehåll mycket mer omfattande information än enligt personuppgiftslagen viktigare avtal Nya avtal och mallar behöver tas fram Personuppgiftsbiträde Personuppgiftsansvarig Åtgärd: Uppdatera gamla personuppgiftsbiträdesavtal Personuppgiftsbiträdesavtal Individ Nya dataskyddsförordningen 28
29 Biträdesavtal obligatoriska punkter Föremålet för behandlingen Behandlingens varaktighet, art och ändamål Typ av personuppgift och kategorier av registrerade Den personuppgiftsansvariges skyldigheter och rättigheter Biträdets skyldigheter Endast får behandla personuppgifter enligt dokumenterade instruktioner Iaktta konfidentialitet Vidta lämpliga säkerhetsåtgärder samt bistå den personuppgiftsansvarige med att skyldigheterna om säkerhet för personuppgifter fullgörs Respektera villkoren för anlitandet av underbiträden Hjälpa personuppgiftsansvariga att fullgöra skyldigheterna i GDPR om säkerhet och avseende registrerades rättigheter Ge den personuppgiftsansvarige rätt till inspektion Radera eller återlämna personuppgifter efter avslutad behandling Nya dataskyddsförordningen 29
30 Dokumenterade instruktioner Dokumenterade instruktioner krav på instruktionsbilaga eller liknande med detaljerade krav på behandlingen Krav på skriftlighet Inga andra särskilda formkrav Ska vara så detaljerade att otillåten behandling inte kommer att utföras av personuppgiftsbiträdet Nya dataskyddsförordningen 30
31 Viktiga förhandlingspunkter Ansvarsfördelning Hur biträdet får överföra utanför EES-området Hur biträdet får anlita underbiträden Särskilt förhandstillstånd Allmänt förhandstillstånd De dokumenterade instruktionerna Ersättning Vad ska ske efter avslutat behandling? Återlämna Radera Nya dataskyddsförordningen 31
32 Anlitande av underbiträden Särskilt eller allmänt skriftligt förhandstillstånd krävs Om allmänt tillstånd ges: informationskrav innan och en möjlighet att göra invändningar Underbiträdet ska, genom avtal (eller annan rättsakt), åläggas samma skyldigheter i fråga om dataskydd som fastställts i avtalet mellan ansvarig och biträdet Individ ( den registrerade ) Personuppgiftsansvarig (PuA) biträdesavtal Instruktioner Personuppgiftsbiträde (PuB) Biträdet ska i avtalet uttryckligen åta sig att följa regler för anlitande av underbiträden OBS! Biträdet ansvarar gentemot ansvarig om underbiträden inte fullföljer sina åtaganden Underbiträde Underbiträde Underbiträde Underbiträde Nya dataskyddsförordningen 32
33 Överföring av personuppgifter Huvudregeln är ett förbud mot överföring av personuppgifter utanför EU Lagstiftningen ska inte kunna kringgås genom att flytta ut data Behöver ha koll på var data behandlas Innebär viss tjänst eller support överföring till länder som inte är tillåtna? Räcker att någon ges tillgång till data t.ex. för support Nya dataskyddsförordningen 33
34 Exempel på undantag när är överföring tillåten? Överföring till land inom EU och vissa tillåtna länder Användning av modellklausuler Binding Corporate Rules Safe Harbor-anslutna företag i USA underkänt av EU-domstolen Privacy shield Åtgärder: Säkerställ att ingen överföring sker utanför EES. Alternativt: Säkerställ att överföringen sker med stöd av laglig grund Nya dataskyddsförordningen 34
35 Åtgärder: Hur göra i praktiken? Säkerställ laglig överföring inom organisationen och med etablerade samarbetspartners Utbilda organisationen om t.ex. cloudtjänster och andra varningsklockor För enstaka avtal: Använd modellklausulerna Säkerställ att biträdesavtalen innehåller praktiska möjligheter att kontrollera var behandling sker och av vem exempelvis genom krav på informationsskyldighet, audits, biträdets anlitande av underbiträden etc Nya dataskyddsförordningen 35
36 De grundläggande principerna och hur får personuppgifter behandlas?
37 Accountability Ni ska kunna visa att lagen följs Krav på att 1) Identifiera varje behandling 2) Varje behandling ska vara laglig 3) Följa grundläggande krav på behandlingen, t.ex. gallring, lagring, etc. 4) Krav på att ha olika rutiner, dokumentation och policyer på plats för att följa reglerna 5) Krav att arbeta aktivt med lagen, skapa medvetenhet m.m. Skyldighet för personuppgiftsansvariga (och biträden) att föra register över alla behandlingar ( registerförteckning ) Nya dataskyddsförordningen 37
38 Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål Får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen Lagringsminimering Uppgifter får inte sparas längre tid än nödvändigt för ändamålen Integritet och konfidentialitet Krav på säkerhet, inbegripet skydd mot obehörig/otillåten behandling och mot förlust Ansvarsskyldighet Den ansvarige ska kunna visa att de grundläggande principerna efterlevs Nya dataskyddsförordningen 38
39 Integritetstrappan vilka regler gäller enligt lagen (exempel)? Speciella krav för känsliga uppgifter Information till registrerade (personuppgiftspolicy) Säkerhet, rutiner för dataportability, etc. Avtal, dokumentation, rutiner, m.m. Förbud att flytta uppgifter utanför EU Är behandlingen laglig? Grundläggande principer att följa, t.ex. gallring, tid Nya dataskyddsförordningen 39
40 När är behandling tillåten? Samtycke från den registrerade Nödvändig för att ett avtal med den registrerade ska kunna fullgöras Nödvändig för att fullgöra rättslig förpliktelse (eller kollektivavtal och beslut enl. SOU 2017:39) Nödvändig för att skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person Nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning Intresseavvägning Nya dataskyddsförordningen 40
41 Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse Obs! Kan inte användas av myndigheter när de fullgör sina uppgifter Nya dataskyddsförordningen 41
42 Intresseavvägning STOPP! Den registrerades intresse mot kränkning av den Enligt personliga förordningen kan inte en intresseavvägning Personuppgiftsansvariges integriteten användas för behandling av kommuner berättigade när fullgör intresse sina uppgifter Obs! Kan inte användas av myndigheter när de fullgör sina uppgifter Nya dataskyddsförordningen 42
43 Laglighetsbedömning Vilka är ändamålen med en viss behandling? Finns laglig grund enligt förordningen? Annars behövs samtycke! Är samtycke en rimlig och proportionell åtgärd eller ska vi låta bli att utföra behandlingen? Hur samlar vi in samtycket? Nya dataskyddsförordningen 43
44 Åtgärder laglighetsbedömning m.m. Se över laglig grund för alla era behandlingar Säkerställ att inte fler uppgifter hanteras än nödvändigt med hänsyn till ändamålet Säkerställ gallringsrutiner att inte uppgifter behandlas längre än nödvändigt med hänsyn till ändamålet Säkerställ åtkomstkontroll att inte fler personer än nödvändigt behandlar uppgifterna Säkerställ att de grundläggande rutinerna i övrigt följs Nya dataskyddsförordningen 44
45 Känsliga personuppgifter Känsliga personuppgifter Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Biometriska och genetiska uppgifter, t.ex. fingeravtryck Hälsa Sexuell läggning/sexualliv Får fortfarande bara behandlas i undantagsfall, exempelvis Uttryckligt samtycke Nödvändig behandling för vissa syften inom arbetsrätten och angivna syften enligt nationell lag, t.ex. omsorg, socialt skydd Åtgärd: Är behandlingen strikt nödvändig för att uppfylla vår skyldighet enligt lag? Nya dataskyddsförordningen 45
46 Förslag till undantag för hantering av känsliga uppgifter (SOU 2017:39) Myndigheter ska få behandla känsliga personuppgifter I löpande text om uppgifterna lämnats i ett ärende eller är nödvändiga för handläggning av ett ärende Om uppgifterna lämnats till myndigheten och behandlingen krävs enligt lag I enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och den inte innebär otillbörligt intrång i den registrerades rättigheter OBS! Sökbegrepp som avslöjar känsliga uppgifter får ej användas Nya dataskyddsförordningen 46
47 Särskilt om vissa personuppgifter Förslag enligt SOU 2017:39 Specialregel om personnummer föreslagen. Får behandlas utan samtycke endast när det är klart Motiverat med hänsyn Till ändamålet med behandlingen Vikten av en säker identifiering eller Något annat beaktansvärt skäl Förbjudet att hantera uppgifter om fällande domar och överträdelser (tidigare brott) förutom i undantagsfall t.ex. för att anmäla brott Nya dataskyddsförordningen 47
48 Konsekvensbedömningar
49 Konsekvensbedömning ( PIA ) Nytt krav på att göra en konsekvensbedömning (Data Protection Impact Assessment) och dokumentera grunderna för beslutet När? Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter Nya dataskyddsförordningen 49
50 När ska en konsekvensbedömning avseende dataskydd göras? Konsekvensbedömning krävs särskilt i följande fall a) En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer b) Behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av personuppgifter som rör fällande domar i brottmål och överträdelser som avses i artikel 10 c) Systematisk övervakning av en allmän plats i stor omfattning Nya dataskyddsförordningen 50
51 Vilken vägledning finns att få? Bedömningen ska göras i förväg Konsekvensbedömning bör göras för personuppgiftsbehandling som påbörjas redan innan GDPR träder ikraft En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker Förhandssamråd med tillsynsmyndigheten om konsekvensbedömningen visar att behandlingen skulle leda till en hög risk Artikel 29-gruppens vägledning för konsekvensbedömningar avseende dataskydd Datainspektionen ska upprätta en förteckning Åtgärd: Inför rutiner för konsekvensbedömningar samt en ev. mall för dessa Nya dataskyddsförordningen 51
52 Exempel på när PIA bör göras om fler än två av nedan gäller Behandlingen innehåller element av bedömning eller värderingar Behandlingen syftar till att fatta automatiserade beslut med rättsliga följder eller liknande för den registrerade Behandlingen innefattar systematisk övervakning Behandlingen omfattar känsliga personuppgifter Behandlingen innebär att personuppgifter behandlas i stor skala Behandlingen innefattar samkörning av uppgifter mellan olika register Behandlingen omfattar personuppgifter om särskilt utsatta eller skyddsvärda typer av registrerade Personuppgifterna behandlas på ett innovativt sätt Personuppgifter ska föras över till ett land utanför EES Personuppgiftsbehandlingen i sig förhindrar registrerade från att utöva en rättighet eller att använda en tjänst eller ett avtal Nya dataskyddsförordningen 52
53 Registerförteckning
54 Vad ska en registerförteckning för personuppgiftsansvariga innehålla? Namn och kontaktuppgifter för den personuppgiftsansvarige Namn och kontaktuppgifter till eventuella gemensamma personuppgiftsansvariga Namn och kontaktuppgifter till dataskyddsombudet Ändamål med alla behandlingar Beskrivning av kategorierna av registrerade och kategorierna av personuppgifter Kategorier av mottagare Eventuell överföring till tredjeland Om möjligt, förutsedda tidsfrister för radering Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder Nya dataskyddsförordningen 54
55 Vad mer kan vara bra att ha i en registerförteckning? Namn på behandling Laglig grund Applikationer/system där behandlingen sker Lagras personuppgifter i en molntjänst? Har information lämnats? Kommentar Nya dataskyddsförordningen 55
56 Registerförteckning praktiska tips Hur vill ni föra ert register? Excelark, köpt applikation eller egenutvecklad applikation? Tänk på hur många som behöver access Hur förvaltar ni registret på sikt? Påbörja registerförteckningen så tidigt som möjligt för att undvika dubbelarbete Nya dataskyddsförordningen 56
57 Samtycke
58 Samtycke Varje slag av frivillig, specifik, informerad, och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande behandling, godtar behandling av personuppgifter Informerat samtycke information först Nya dataskyddsförordningen 58
59 Exempel på samtycken i kommunen Formulär för anmälan av klotter och nedskräpning som innehåller en uppmaning till anmälaren att lämna sitt namn, telefonnummer och sin e-postadress. Behandling av personuppgifter rörande anmälaren själv kan ske med stöd av samtycke Bibliotekets låneregister Skolfotografering OBS! Samtycke kan bara ges av den som det berör (eller dess vårdnadshavare) Nya dataskyddsförordningen 59
60 Ett samtycke måste vara frivilligt Det får inte råda betydande ojämlikhet mellan parterna (t.ex. normalt ej anställd) Fri valmöjlighet eller inte? Det ska vara lika lätt att återkalla sitt samtycke som att lämna det Samtycke inte frivilligt om Det inte medger att separata samtycken lämnas för olika behandlingar av uppgifter trots att detta är lämpligt i det enskilda fallet, eller Genomförandet av ett avtal/tjänst görs avhängigt av samtycket trots att detta inte nödvändigt Nya dataskyddsförordningen 60
61 Hur inhämta samtycke? Personuppgiftsansvarig ska kunna visa att samtycke har lämnats till behandlingen Skriftlig (inklusive elektronisk) förklaring Muntlig förklaring Kryssrutor Val av inställningsalternativ för tjänster på informationssamhällets område Annan förklaring eller beteende som tydligt visar den registrerades vilja (dock ej för särskilda kategorier av personuppgifter) Separata samtycken för olika behandlingar Välj lämplig form (muntlig eller skriftlig beroende på situationen) Skriftligt enklare att bevisa Nya dataskyddsförordningen 61
62 Skriftligt samtycke Jag har läst och godkänner användarvillkoren. Begriplig och lättillgänglig form Klart och tydligt språk Kunna särskiljas från andra frågor i en begriplig och lättillgänglig form Jag har läst och godkänner användarvillkoren. Jag samtycker till behandling av mina personuppgifter i enlighet med Bolagets integritetspolicy Nya dataskyddsförordningen 62
63 Hur skriva samtycken i praktiken? Utred om samtycke behöver inhämtas för behandlingen Ta hjälp av en jurist för att bedöma om samtycke behövs och för att skriva samtyckesförklaringen Skriv enkelt och tydligt den registrerade ska kunna förstå vad samtycket innebär Lämna information om behandlingen i samband med att samtycket inhämtas, t.ex. i en integritetspolicy Nya dataskyddsförordningen 63
64 Samtycke från barn Gäller Vid erbjudande av informationssamhällets tjänster direkt till ett barn Behandling (samtycke) som rör barn är tillåten om barnet är minst 16 år Föräldrars samtycke krävs för behandling om barnet är under 13 år (SOU 2017:39) Metod för att kontrollera att vuxen ger samtycke online? Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik Nya dataskyddsförordningen 64
65 Inhämta nytt samtycke? När förordningen börjar tillämpas upphävs det direktiv som PuL grundas på Alla samtycken behöver då följa nya dataskyddsförordningen Om behandlingen grundar sig på samtycke enligt direktivet är det inte nödvändigt att inhämta samtycke på nytt för att behandlingen ska kunna fortsätta efter att förordningen börjar tillämpas Om det sätt på vilket samtycket gavs överensstämmer med förordningens bestämmelser Nya dataskyddsförordningen 65
66 Åtgärder samtycke Se över om gamla samtycken är giltiga Kan information behöva raderas? Behöver nya samtycken inhämtas? Kan vi finna alternativ laglig grund istället för samtycke? Skriv nya samtyckestexter och utvärdera hur många samtycken som behövs i visst fall? Nya dataskyddsförordningen 66
67 Registrerades rättigheter
68 Information som ska lämnas självmant Information ska lämnas självmant till alla registrerade Mer omfattande information än enligt PuL Olika krav beroende på om uppgifterna samlats in från den registrerade själv eller ej Uppgifter behöver inte ges om sådant den registrerade redan förfogar över Nya dataskyddsförordningen 68
69 Information som ska lämnas självmant Om uppgifterna inte samlats in från den registrerade själv så finns vissa undantag Sekretesslag eller tystnadsplikt Erhållande uttryckligen föreskrivs i lag som även fastställer lämpliga åtgärder för att skydda den registrerades intressen Omöjligt under vissa omständigheter, bl.a. allmänt intresse Åtgärd: Uppdatera informationshandlingar och integritetspolicyer Anställda och kandidater Kunder för ex. kommunala bostadsbolag Leverantörer Andra registrerade, t.ex. nyhetsbrev Nya dataskyddsförordningen 69
70 Vad ska informationen innehålla? Identitet och kontaktuppgifter för den personuppgiftsansvarige Kontaktuppgifter till dataskyddsombudet Ändamål och rättslig grund för behandlingen. Om den rättsliga grunden är intresseavvägning ska även den personuppgiftsansvariges eller tredje parts berättigade intressen anges Mottagare eller kategorier av mottagare Ev. överföring till tredje land eller internationell organisation samt laglig grund för överföringen Lagringstid eller kriterierna för lagringstiden Nya dataskyddsförordningen 70
71 Vad ska informationen innehålla? Information om den registrerades rättigheter Om uppgifterna krävs enligt lag eller avtal, om den registrerade är skyldig att lämna uppgifterna och följderna av att uppgifterna inte lämnas Ev. automatiskt beslutsfattande och profilering Om personuppgifterna inte har inhämtats från den registrerade själv även vilka kategorier av personuppgifter som behandlas, varifrån personuppgifterna kommer och om de har sitt ursprung i allmänt tillgängliga källor Nya dataskyddsförordningen 71
72 Information på begäran registerutdrag Registrerade har rätt att begära ut information om t.ex. kategorier av uppgifter som behandlas, mottagare, period, m.m. Ska lämnas utan onödigt dröjsmål och senast inom en månad efter begäran Första förfrågan ska lämnas gratis! (jfr. journaler) Perioden får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden Gäller ej minnesanteckningar, ej färdiga utredningar m.m. (SOU 2017:39) Åtgärd: Se över rutinerna för registerutdrag! Nya dataskyddsförordningen 72
73 Rätten att bli bortglömd Minimera volymen av sparade personuppgifter Krav på att radera bara under vissa förutsättningar och endast om ingen legitim grund för fortsatt behandling finns Radera mina uppgifter NEJ Legitima grunder för att behålla uppgifterna och ej behandlats olagligt? JA RADERA BEHÅLL Åtgärd: Säkerställ att det är möjligt att bli glömd? Nya dataskyddsförordningen 73
74 Hur ska en begäran om att få uppgifter raderade hanteras? Vid en begäran om att bli bortglömd ska personuppgifterna raderas utan onödigt dröjsmål om: Uppgifterna inte längre är nödvändiga för de ändamål för vika de samlats in eller på annat sätt behandlas Den registrerade återkallar sitt samtycke och det inte finns någon annan rättslig grund för behandlingen Den registrerade invänder mot behandlingen och det saknas berättigade skäl för behandlingen som väger tyngre Den registrerade invänder mot behandling för marknadsföring och profilering Personuppgifterna har behandlats på olagligt sätt Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller nationell rätt Personuppgifterna har samlats in efter samtycke från barn i samband med erbjudanden av informationssamhällets tjänster Om uppgifterna har offentliggjorts ska den personuppgiftsansvarige vidta rimliga åtgärder för att underrätta andra personuppgiftsansvariga Nya dataskyddsförordningen 74
75 Hur ska en begäran om att få uppgifter raderade hanteras? Undantag från kravet att radera personuppgifterna Behandlingen är nödvändig för att utöva rätten till yttrande- och informationsfrihet För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller nationell rätt För att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning För skäl som rör ett viktigt allmän intresse på folkhälsoområdet För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål dock endast i den utsträckning som raderingen sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen För att kunna fastställa, göra gällande eller försvara rättsliga anspråk Nya dataskyddsförordningen 75
76 Rätt till rättelse och begränsning Den registrerade har rätt att kräva att uppgifterna rättas, raderas eller begränsas Vid rättelse, begränsning eller radering: Viktigt meddela personuppgiftsbiträden/mottagare av uppgifter att också rätta, begränsa och radera! Åtgärd: Se över rutiner för att säkerställa rättning, radering och begränsning Nya dataskyddsförordningen 76
77 Vem ansvarar internt? Dataskyddsombud m.m.
78 Vem ansvarar internt? Tidigare: Personuppgiftsombud, nu dataskyddsombud Måste utses av alla kommuner Förändrad roll Tydligare regler och krav för dataskyddsombudet Nya dataskyddsförordningen 78
79 Krav på dataskyddsombud Speciell anställd eller konsult med ansvar för personuppgiftshantering Skapa medvetenhet, övervaka efterlevnad m.m. Kriterier för utnämnande Yrkesmässiga kvalifikationer Sakkunskap om lagstiftning och praxis om dataskydd Förmågan att fullgöra sina uppgifter Dataskyddsombudets kontaktuppgifter ska offentliggöras och meddelas till Datainspektionen Dataskyddsombudet ska vara kontaktbar för de registrerade Nya dataskyddsförordningen 79
80 Dataskyddsombudets ställning Ska på ett korrekt sätt och i god tid delta i alla frågor som rör skyddet av personuppgifter Ska erhålla stöd från registeransvarig vid utförandet av sina arbetsuppgifter Ska få tillräckliga resurser, tillgång till personuppgifter och behandlingsförfaranden och upprätthållande av kunskap Får inte motta instruktioner som gäller utförandet av arbetsuppgifterna Får inte avsättas eller bli föremål för sanktioner Ska rapportera direkt till högsta förvaltningsnivå Får ha andra uppgifter och uppdrag, men den registeransvarige ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt Åtgärder: Utvärdera om ni behöver anställa, vidareutbilda eller anlita en utomstående uppdragstagare! Nya dataskyddsförordningen 80
81 Vem utser ni? Kan vara anställd eller konsult Ska anmälas till Datainspektionen Ett dataskyddsombud kan utses för flera myndigheter eller offentliga organ med hänsyn till deras organisationsstruktur och storlek Samma dataskyddsombud för flera nämnder inom en kommun? Samarbete mellan mindre kommuner? Nya dataskyddsförordningen 81
82 Säkerhet och IT-krav
83 Säkerhetskrav Ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken Tekniska åtgärder Antivirus, auktorisationskrav, behörighetsstyrning Brandväggar och krypteringsfunktioner, osv. Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott osv. Organisatoriska åtgärder Organisation och rutiner Instruktioner och policyer Åtgärder: Säkerställ att IT- och säkerhetsansvariga har kompetens och resurser för att arbeta med dataskydd. Se över era säkerhetsrutiner (såväl teknisk som organisatorisk, t.ex. NDA) Säkerhetsnivå i förhållande till risk Nya dataskyddsförordningen 83
84 Informationskrav vid personuppgiftsincident Informera tillsynsmyndigheten utan onödigt dröjsmål Om det inte är osannolikt att incidenter medför en risk för fysiska personers rättigheter och friheter Som huvudregel inom 72 timmar efter vetskap om intrånget Informationen ska innehålla åtminstone Incidentens art och, om möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs Kategorier av och det ungefärliga antalet personuppgiftsposter som berörs Namn och kontaktuppgifter till dataskyddsombudet eller andra kontaktpunkter Sannolika konsekvenser av incidenten En beskrivning av vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten och minska dess konsekvenser Nya dataskyddsförordningen 84
85 Informationskrav vid personuppgiftsincident Om det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål Biträden ska underrätta ansvarig utan onödigt dröjsmål efter vetskap om incident Alla incidenter, dessas effekter och åtgärderna som vidtagits ska dokumenteras Nya dataskyddsförordningen 85
86 Informationskrav vid personuppgiftsincident Informera varje registrerad individ utan onödigt dröjsmål Om sannolikt leder till hög risk för enskildas rättigheter Undantag, t.ex. om system finns för att bevisa att de förlorade uppgifterna gjorts oläsbara för utomstående, t.ex. kryptering Oproportionerlig ansträngning: Istället informera allmänheten Informationen ska innehålla Tydlig och klar beskrivning av personuppgiftsincidentens art Namn och kontaktuppgifter till dataskyddsombudet eller andra kontaktpunkter Sannolika konsekvenser av incidenten En beskrivning av vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten och minska dess konsekvenser Nya dataskyddsförordningen 86
87 Rutin vid personuppgiftsincident Skapa en rutin så att ni vet vad ni ska göra om olyckan är framme Vem gör vad? Ta fram en manual/guide med blankett att fylla i Se över/stärk era säkerhetsåtgärder och inför rutiner för att meddela registrerade individer Nya dataskyddsförordningen 87
88 Sammanfattning och avslutning
89 Och ett antal andra regler att följa... Privacy by design Dataportabilitet Rutiner för att visa efterlevnad Code of Conducts? Nya dataskyddsförordningen 89
90 Hur gör vi då? Inled ett projekt för att följa lagen om ni inte redan börjat (jfr. min presentation Tips för ett lyckat efterlevnadsprojekt ) Ta hjälp av t.ex. SKL Involvera jurist tidigt, t.ex. genom en inledande workshop Tänk på att anpassa checklistor, mallar, m.m. till er situation och det specifika fallet! Nya dataskyddsförordningen 90
91 Agnes Hammarstrand / Partner / Advokat Mobil: Advokatfirman Delphi / Östra Hamngatan 29 / Göteborg / Sweden Telefon: + 46 (0) / Fax: +46 (0) / delphi.se Nya dataskyddsförordningen 91
Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand
Nya Dataskyddsförordningen Agnes Andersson Hammarstrand Personuppgiftslagen ( PuL ) Syfte att skydda personlig integritet I praktiken få sanktioner vid brott mot lagen Många bryter idag mot lagen Nationell
Läs merDigitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman
Digitalisering och dataskydd Agnes Hammarstrand, IT-advokat och partner Advokatfirman Delphi @IT_advokaten Vilka regler gäller för digitalisering? Vad är Digital juridik? Regulatoriska frågor Compliance
Läs merGDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018
GDPR Datalag - 1973 Personuppgiftslag - 1998 Dataskyddsförordning - maj 2018 Dataskyddslag - maj 2018 Ny lag om personuppgiftsbehandling för forskningsändamål är på gång Förordningen i korthet Principerna
Läs merNya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi
Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi 2017-08-30 Nya dataskyddsförordningen 1 Agenda Introduktion Svenska utredningar Vem ansvarar? Överföring av personuppgifter
Läs merGDPR- Seminarium 2017
GDPR- Seminarium 2017 Guldfågeln Arena Jonas Lindbäck 070-526 82 27 jonas.lindback@aditor.se Dataskyddsförordningen GDPR Martin Brinnen 2017-10-24 Ett par nyheter En förordning gäller som svensk lag Harmonisering
Läs merGDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman
GDPR - nya dataskyddsförordningen Agnes Hammarstrand, IT-advokat och partner Advokatfirman Delphi @IT_advokaten Juseks karriärtjänster J U S E K. S E / K A R R I Ä R A K A D E M I K E R - F Ö R B U N D
Läs merGDPR NYA DATASKYDDSFÖRORDNINGEN
GDPR NYA DATASKYDDSFÖRORDNINGEN GDPR NYA DATASKYDDSFÖRORDNINGEN GENERAL DATA PROTECTION REGULATION De nya reglerna gäller från och med den 25 maj 2018 och ersätter PUL Syfte: Stärka integritetsskyddet
Läs merGDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman
GDPR - nya dataskyddsförordningen Agnes Hammarstrand, IT-advokat och partner Advokatfirman Delphi @IT_advokaten Intro Ny EU-förordning för personuppgifter Nya dataskyddsförordningen ( GDPR ) Direkt gällande
Läs merGDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017
GDPR utmaningar och konsekvenser för dig som jobbar med lön Peter Nordbeck 9 november 2017 Agenda Introduktion De viktigaste att tänka på för dig som jobbar med lön Hur får du använda personuppgifterna?
Läs merGDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018
GDPR & eprivacy för e- handlare Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Delphi @IT_advokaten Magentodagen 2018 GDPR&ePrivacy 2 Har ni GDPR-panik? 3 Stay cool! Det finns konkreta tips på vad
Läs merPolicy och riktlinje för hantering av personuppgifter i Trosa kommun
Policy och riktlinje för hantering av personuppgifter i Trosa kommun Antagen av: Kommunfullmäktige 2018-04-25, 36, dnr KS 2018/65 Dokumentkategori: Styrdokument Dokumenttyp: Policy Kommunstyrelsen Policy
Läs merPRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN
1 (7) BEHANDLING AV PERSONUPPGIFTER (GDPR) SALA4000, v 2.0, 2012-08-27 N:\Informationsenheten\InformationSala\Projekt\GDPR\sakn-integritetspolicy-behandling av personuppgifter.docx Behandling av personuppgifter...
Läs merDataskyddsförordningen
Dataskyddsförordningen Almega Express 26 april 2018 på Heléne Hellström Persson Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsförordningen - beslut i EU våren 2016 Förordning ikraft 25 maj 2018
Läs merDataskyddsförordningen
Stadsledningskontoret Juridiska avdelningen Sida 1 (6) 2017-04-25 kommer den 25 maj 2018 att ersätta personuppgiftslagen (PuL). Förordningen behöver kompletteras med nationella regler. För närvarande pågår
Läs merDataskyddsförordningen
Dataskyddsförordningen Almega Express Sundsvall 22 maj 2018 på Kenneth Lidgren Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsförordningen - Beslut i EU våren 2016 Förordning ikraft 25 maj 2018
Läs merDATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018
DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION 25 maj 2018 DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION 20 meur 4% AV GLOBAL ÅRSOMSÄTTNING Personnummer Namn PERSONUPPGIFTER
Läs merNya Dataskyddsförordningen. Agnes Hammarstrand
Nya Dataskyddsförordningen Agnes Hammarstrand Personuppgiftslagen ( PuL ) idag Syfte att skydda personlig integritet I praktiken få sanktioner vid brott mot lagen Många bryter idag mot lagen Nationell
Läs merDataskyddsförordningen (GDPR)
Dataskyddsförordningen (GDPR) Borlänge den 7 december 2016 Martin Brinnen Rätten till privatliv Rättighet EU grundläggande stadga Europakonventionen Regeringsformen EU-nivå Dataskyddsförordningen E-privacy
Läs merNya regler för behandling av personuppgifter GDPR EN CHECKLISTA
Sida 1 (6) Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA Vad är GDPR den nya dataskyddsförordningen? Dataskyddsförordningen (GDPR) är en ny EU-förordning som innehåller regler om hur
Läs merVälkomna till kurs i den nya dataskyddsförordningen
Välkomna till kurs i den nya dataskyddsförordningen Malmö den 6 oktober 2016 Eva Maria Broberg, Lisa Johansson, Jonas Agnvall och Martin Brinnen Disposition Introduktion rätten till privatliv, dataskyddsregleringen,
Läs merDataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB
Dataskyddsförordningen Kristina Blomberg PuL-Pedagogen Sverige AB www.pulpedagogen.se Lite historia och fakta 1973 trädde datalagen i kraft (världens första nationella integritetslagstiftning) 1998 trädde
Läs merKOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige
KOMMUNAL FÖRFATTNINGSSAMLING 2018:1-003 Policy och riktlinjer för hantering av personuppgifter Antagen av kommunfullmäktige 2018-03-27 35 1 Att gälla från och med 2018-05-01 Policy för hantering av personuppgifter
Läs merGDPR. Ulrika Harnesk 17 oktober 2018
GDPR Ulrika Harnesk 17 oktober 2018 Rätten till privatliv Europakonventionen om de mänskliga rättigheterna EU:s stadga om de grundläggande rättigheterna Dataskyddsförordningen Svenska grundlagar Kompletterande
Läs merBig data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner
Big data Legala svårigheter och möjligheter Johan Hübner, Advokat / Partner Agenda Big data: vad, varför och hur (från en advokats synvinkel? Vem äger datan? Integritetsskydd - PuL och Dataskyddsförordningen
Läs merGDPR. Dataskyddsförordningen
GDPR Dataskyddsförordningen torsdagen den 29 mars 2018 Innehåll» Inledning» Integritetskontroll?» Centrala begrepp» Grundläggande krav» Laglig grund» Den registrerades rättigheter» Känsliga personuppgifter»
Läs merPUL OCH DATASKYDDSFÖRORDNINGEN
PUL OCH DATASKYDDSFÖRORDNINGEN Tfn 08-654 94 62 soren@sorenoman.se, www.sorenoman.se PUL och den nya förordningen Personuppgiftslagen 1998 Missbruksregel (5 a ) för behandling utanför databaser 2007 Dataskyddsförordningen
Läs merDataskyddsförordningen GDPR
Dataskyddsförordningen GDPR 2017-12-14 1 När? Dataskyddsförordningen 25 maj 2018. Dataskyddslag - SOU 2017:39 En ny dataskyddslag kompletterande bestämmelser till EU:s dataskyddsförordning. 2 Vad är en
Läs merStyrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad
Styrande dokument Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad 2BDetta dokument gäller för Göteborgs Stads samtliga nämnder samt styrelser i sådana organisationer där Göteborgs
Läs merLaglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat
Laglig hantering av den data vi delar med oss i våra uppkopplade liv Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat Agenda Big data: vad, varför och hur (från en advokats
Läs merRIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN
1 RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN INLEDNING Dataskyddsförordningen, GDPR, (förkortning av engelskans General Data Protection Regulation) och datalagen, båda kallas
Läs merDataskyddsförordningen
Dataskyddsförordningen Dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och
Läs merKoncernkontoret Enheten för juridik
Koncernkontoret Enheten för juridik Per Bergstrand Dataskyddsombud +46 44 309 32 56 E-post: per.bergstrand@skane.se Instruktion Datum 2018-06-20 Dnr 1800025 1 (9) Instruktion för s behandling av personuppgifter
Läs merRiktlinjer för att tillvarata enskildas rättigheter
Riktlinjer för att tillvarata enskildas rättigheter Innehållsförteckning Instruktion för att tillvarata enskildas rättigheter... 3 Syfte... 3 Rätt till information vid insamlande av personuppgifter...
Läs merPersonuppgiftsinformation för Svedala kommun
Personuppgiftsinformation för Svedala kommun Den nya dataskyddsförordningen, General Data Protection Regulation (GDPR), började tillämpas den 25 maj 2018 och ersatte den tidigare personuppgiftslagen. Dataskyddsförordningen
Läs merGDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017
GDPR Behandling av personuppgifter för forskningsändamål Ulrika Harnesk 11 december 2017 Rätten till privatliv Europakonventionen om de mänskliga rättigheterna EU:s stadga om de grundläggande rättigheterna
Läs merHur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat
Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat Regler för personuppgifter Idag finns regler om hur personuppgifter
Läs merATT TILLVARATA ENSKILDAS RÄTTIGHETER
ATT TILLVARATA ENSKILDAS RÄTTIGHETER INNEHÅLLSFÖRTECKNING Övergripande... 3 Syfte... 3 Rätt till information vid insamlande av personuppgifter... 3 Rätt till registerutdrag... 5 Alternativ för begäran
Läs merDataskyddsförordningen
Dataskyddsförordningen Almega Express den 7 december 2016 på Nils Bergh Heléne Hellström Persson Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsdirektivet från 1995 införlivades i Sverige genom
Läs merStyrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med
Styrande dokument för dataskydd Fastställd av Kommunstyrelsen Senast reviderad av 2018-05-17 Gäller från och med 2018-05-25 Innehållsförteckning 1 Inledning 3 2 Omfattning 3 3 Bakgrund 3 4 Personuppgiftsansvar
Läs merFör att tillvarata medlemmarnas enskildas rättigheter
För att tillvarata medlemmarnas enskildas rättigheter Syftet med dessa riktlinjer är att förtydliga hur Turebergs simklubb, nedan kallat TSK, arbetar för att tillvarata medlemmarnas rättigheter avseende
Läs merDen nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi
Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi Ny EU-lag för personuppgifter Nya dataskyddsförordningen ( GDPR ) Ersätter nuvarande
Läs merInstruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter
Instruktion för att tillvarata enskildas rättigheter 1 Innehållsförteckning... 3 Syfte... 3 Rätt till information vid insamlande av personuppgifter... 3 Rätt till registerutdrag... 4 Alternativ för begäran
Läs merNy personuppgiftsförordning Försäkringsjuridiska Föreningen. Agnes A Hammarstrand / Advokat 3 mars 2016
Ny personuppgiftsförordning Försäkringsjuridiska Föreningen Agnes A Hammarstrand / Advokat 3 mars 2016 Nya personuppgiftsförordningen Bakgrund: Personuppgiftslagen idag Nya förordningen Exempel på nyheter
Läs merDataskyddsförordningen och kvalitetsregister
Dataskyddsförordningen och kvalitetsregister 2 maj 2018 Josef Driving Landstingsjurist, SLL Bakgrund EU-direktiv blir EU-förordning 25 maj 2018 Personuppgiftslagen (PUL) upphör att gälla Annan registerlagstiftning
Läs merDataskyddsförordningen
Dataskyddsförordningen Almega Express den 21 september 2016 på Nils Bergh Heléne Hellström Persson Christian Rimmerfeldt Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsdirektivet från 1995 införlivades
Läs merGDPR definition och hur utbildningen berör(t)s av förordningen
GDPR definition och hur utbildningen berör(t)s av förordningen Tammerfors 29.11.2018 Thomas Sundell Jurist Regionförvaltningsverkens svenska enhet för bildningsväsendet Regionförvaltningsverkens svenska
Läs mer12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter
1 Avsnitt 1 Insyn och villkor 12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter 1. Den personuppgiftsansvarige ska vidta lämpliga
Läs merDen nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?
Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet? BAKGRUND Personuppgiftslagen (PuL) ersätts av Dataskyddsförordningen (General Data Protection Regulation, GDPR). Dataskyddsförordningen,
Läs merPuL och GDPR en översiktlig genomgång
PuL och GDPR en översiktlig genomgång Innehåll: Allmänt om nuvarande PuL Definitioner Allmänna bestämmelser Grundläggande krav Roller Säkerhet GDPR Skillnader mot dagens bestämmelser Checklista Personuppgiftslagen
Läs merRiktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund
Syfte Riktlinjen har som syfte att göra policyn för behandling av personuppgifter konkret den ger vägledning i hur hantering av personuppgifter skall ske inom Sydnärkes kommunalförbund. Riktlinjen är antagen
Läs merDataskyddsförordningen
Dataskyddsförordningen Dataskyddsförordningen, DSF Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter
Läs merEU:s dataskyddsförordning
EU:s dataskyddsförordning Länsstyrelsen den 8 november 2016 Elisabeth Jilderyd och Eva Maria Broberg Datainspektionen Datainspektionen Datainspektionen arbetar för att säkra den enskilda individens rätt
Läs merPersonuppgiftsbehandling Dataskydd
Riktlinjer Beslutad av: Helena Ståhl Beslutsdatum: 2019-05-23 Framtagen av: Lina Bennäs, Informationssäkerhetssamordnare Dokumentansvarig: Förvaltningschef Uppdaterad: Diarienummer: HVN/2019:152 Giltighetstid
Läs merDataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?
Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten? BAKGRUND Personuppgiftslagen (PuL) har ersatts av Dataskyddsförordningen (General Data Protection Regulation, GDPR). Sedan 25
Läs merRiktlinjer för behandling av personuppgifter i Årjängs kommun
Kommunfullmäktige Lina Johannesson, 0573-141 26 lina.johannesson@arjang.se RIKTLINJE Antagen av Kommunfullmäktige 1(12) Dnr KS 2018/210.00 Paragraf 2018-06-18 96 Riktlinjer för behandling av personuppgifter
Läs merEU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.
EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd. Datainspektionen Adress: Elverksgatan 10 (Kv. itiden) Telefon:
Läs merINTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER
INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER 2018-05-03 INNEHÅLLSFÖRTECKNING 1 INLEDNING OCH SYFTE... 2 2 TILLÄMPNING OCH REVIDERING... 2 3 ORGANISATION OCH ANSVAR... 2 4 BEGREPP OCH FÖRKORTNINGAR...
Läs merInstruktion för att tillvarata enskildas rättigheter
Instruktion för att tillvarata enskildas rättigheter De personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär i korthet
Läs merDATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1
DATASKYDDSFÖRORDNINGEN Copyright Qnister AB 1 DATASKYDDSFÖRORDNINGEN GDPR General Data Protection Regulation Börjar tillämpas 25 maj 2018 DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION
Läs merDataskyddsförordningen 2018
Dataskyddsförordningen 2018 Adress till denna presentation: www.bit.do/gdpr-ant Vi talar om dataskyddsförordningen och GDPR General Data Protection Regulation Tra dde i kraft 24.5.2016, ga ller i Finland
Läs merDataskyddsförordningen 2018
Dataskyddsförordningen 2018 Adress till denna presentation: bit.do/gdprant Vi talar om dataskyddsförordningen och GDPR General Data Protection Regulation Tra dde i kraft 24.5.2016, ga ller i Finland fr.o.m.
Läs merEU:s dataskyddsförordning
EU:s dataskyddsförordning Riksarkivets konferens Näringslivets hus, Stockholm 10 oktober 2017 Elisabeth Jilderyd Datainspektionen Dataskydd vad handlar det om? Behandling av personuppgifter personuppgiftsansvariga
Läs merEU:s nya dataskyddsförordning Lotta Wikman Öman
EU:s nya dataskyddsförordning Lotta Wikman Öman EU:s Dataskyddsförordning 2016/679 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende
Läs merSvensk författningssamling
Svensk författningssamling Brottsdataförordning Utfärdad den 20 juni 2018 Publicerad den 27 juni 2018 Regeringen föreskriver 1 följande. 1 kap. Allmänna bestämmelser 1 I denna förordning finns kompletterande
Läs merDataskyddsförordningen i utbildningsverksamhet
Dataskyddsförordningen i utbildningsverksamhet Vasa, Ledande jurist Ida Sulin Finlands Kommunförbund Ny personuppgiftslag, 25.5.2018 EU:s dataskyddsför ordning Speciallagstift ning Dataskyddslag 2 [pvm]
Läs merANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN
ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN 1 1. Bakgrund och syfte 1.1 Animech Technologies, nedan Animech, värnar om sina kunders, partners, leverantörers och anställdas integritet och är alltid
Läs merGDPR- Vad har hänt och hur ser tillämpningen ut?
GDPR- Vad har hänt och hur ser tillämpningen ut? Upplägg Tillåten behandling. När kan samtycke användas? Rätten till information, rättning och radering Tillsyn 2 Bakgrund: GDPR-spelarna Lagstiftare Media
Läs merPolicy för behandling av personuppgifter
Policy för behandling av personuppgifter Rättslig grund Dokumentägare Antagen datum Upprättad av Antagen av VD 2018-05-28 [Legal] Styrelsen Dokumenttyp Publiceras Ersätter Version Policy Intranätet 1.0
Läs merInstruktion till mall för registerförteckning
Datum 2017-12-01 1 (7) Avdelningen för Digitalisering Instruktion till mall för registerförteckning Dataskyddsförordningen artikel 30.1 kräver att varje personuppgiftsansvarig organisation ska föra ett
Läs merRiktlinjer för dataskydd
1 Riktlinjer för dataskydd Inledning Följande riktlinje syftar till att konkretisera policyn för dataskydd samt ge vägledning och råd vid hantering av personuppgifter i X kommun. Riktlinjen, som grundar
Läs merKerstin Wardman, 25 april 2018
Kerstin Wardman, 25 april 2018 Agenda Syfte och bakgrund med GDPR Exempel på stärkta rättigheter och skyldigheter Grundläggande begrepp Vad är en personuppgift? Principer för personuppgiftsbehandling Villkor
Läs merDataskyddsförordningen GDPR - General Data Protection Regulation
Dataskyddsförordningen GDPR - General Data Protection Regulation September 2017 Cecilia Frank Bakgrund Dataskyddsdirektivet (95/46) 1995 Digital utveckling Olikheter i nationell implementering Harmonisering
Läs merFastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY
Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY Inledning Dataskyddsförordningen 1 började tillämpas den 25 maj 2018 i hela EU. Den är därför
Läs merUpprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter
Dokumenttyp Policy Dokumentansvarig Kommunkontoret Upprättad 2018-08-06 Antagen Ks 2018-09-24, 97 Senast reviderad Dokumentet gäller för Kiruna kommunkoncern Dataskyddspolicy Hur vi inom Kiruna kommunkoncern
Läs merEU:s allmänna dataskyddsförordning:
EU:s allmänna dataskyddsförordning: Datainspektionens roll och befogenheter, dataskyddsombudet och anpassning av svensk lagstiftning Eva Maria Broberg och Lisa Johansson, jurister Enheten för myndigheter,
Läs merRiktlinjer för hantering av personuppgifter
Riktlinjer för hantering av personuppgifter Mariestads kommun Antaget av Kommunstyrelsen Mariestad 2018-05-14 Datum: 2018-04-04 Dnr: Sida: 2 (6) Riktlinjer för hantering av personuppgifter Inledning EU:s
Läs merBehandling av personuppgifter vid Göteborgs universitet
Behandling av personuppgifter vid Göteborgs universitet Illustrationer: Dolling Tahko 1 Personuppgifter vid Göteborgs universitetet Universitet behandlar personuppgifter för Studenter (till exempel i Ladok)
Läs merGDPR General data protection regulation Dataskyddsförordningen
GDPR General data protection regulation Dataskyddsförordningen Agenda Vad är och innebär GDPR för er organisation? Aktiviteter för att klara de nya kraven. Vad finns det för stöd? Vad innebär GDPR? GDPR
Läs merDataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017
Dataskyddsförordningen vad innebär den för myndigheten Registrator 2017 Ability Partner 11 oktober 2017 1 Bakgrund och processen mot EU:s dataskyddsförordning Förordningen publicerades den 4 maj 2016 och
Läs merGrundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud
Grundkurs i dataskyddslagstiftningen Grundkurs för personuppgiftsombud den 15-16 november 2016 Lisa Johansson, Tove Fors, Ulrika Bergström och Agneta Runmarker Disposition Idag Introduktion Kort om Datainspektionen
Läs merHur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat
Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat Regler för personuppgifter Idag finns regler om hur personuppgifter får hanteras i PUL samt
Läs merPolicy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa
KS18-410 003 Dataskyddspolicy För kommunstyrelse och nämnder Föreskrifter Plan Policy Program Reglemente Riktlinjer Strategi Taxa Innehåll Bakgrund... 3 Syfte... 3 Ansvar... 3 Styrelse och nämnder... 3
Läs merRIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER
RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER GULLSPÅNG KOMMUN Antagen av kommunfullmäktige 2018-05-30, 69 Dnr: KS 2018/275 Kommunledningskontoret Torggatan 19, Box 80 548 22 HOVA Tel: 0506-360 00 www.gullspang.se
Läs merAllmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)
Kommunledningsförvaltningen STYRDOKUMENT Godkänd/ansvarig 1(5) Beteckning Riktlinjer behandling personuppgifter Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) 1.
Läs merAvtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE
Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE 1. Personuppgiftsbiträdesavtalets syfte Detta Personuppgiftsbiträdesavtal syftar till att uppfylla stadgandet i 30 personuppgiftslagen (PuL)
Läs merRIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)
1. BAKGRUND RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS) Rätten till skydd av personuppgifter och den personliga integriteten tillkommer alla fysiska personer.
Läs merDen nya Dataskyddsförordningen
Studenter Informations- och utbildningsmaterial Den nya Dataskyddsförordningen Dataskyddsförordningen/General Data Protection Regulation (GDPR) ska stärka enskilda personers rättigheter över hur myndigheter,
Läs merSammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun
Mjölby Kommun PROTOKOLLSUTDRAG Sammanträdesdatum Arbetsutskott 2017-09-04 1 (1) Sida 134 Dnr KS/2015:410 Personuppgiftslagen - förslag på riktlinje för Mjölby kommun Bakgrund EU:s dataskyddsförordning
Läs merIntegritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag
Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag Giltig från och med: 2018-05-25 1. Inledning Bonnier Fastigheter med dotterbolag påverkas liksom våra hyresgäster,
Läs merGDPR. Dataskyddsförordningen 27 april Emil Lechner
GDPR. Dataskyddsförordningen 27 april 2017 Emil Lechner Advokatfirman EdmarLaw Hjälper främst IT-bolag och teknikintensiva bolag. Specialistkompetens inom IT-rätt, avtalsrätt, immaterialrätt och e-handel.
Läs merGDPR Presentation Agenda
GDPR Presentation Agenda Start & välkommen Föreläsning - dataskyddsförordningen - principer - laglig behandling - den registrerades rättigheter - ansvarsskyldighet - GDPR Roadmap Föreläsning slut Varför
Läs merGDPR- Vad är det? Frukostmöte hösten Advokatfirman VICI
GDPR- Vad är det? Frukostmöte hösten 2017 1 DATASKYDD? - Skydd av fysiska personers grundläggande rättigheter och friheter, särskilt skydd av PU - På företagens bekostnad? 2 1 DET ALLA PRATAR OM VAD KOSTAR
Läs merPOLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB
POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB 1. BAKGRUND Rätten till skydd av personuppgifter och den personliga integriteten tillkommer alla fysiska personer. Dessa rättigheter skyddas
Läs merInformationsbrev. De nyheter som jag vill vara särskilt tydlig med är:
Universitetsledningens stab Erika Tegström, universitetsjurist 010-142 8666 erika.tegstrom@miun.se Informationsbrev Om din forskning använder människor eller hanterar personuppgifter är denna information
Läs merDataskyddsförordningen
Dataskyddsförordningen - En översikt om de nya reglerna Observera att denna broschyr endast ger information om dataskyddsförordningen och ska inte uppfattas som juridisk rådgivning. Lindmark Welinder uppmanar
Läs merGDPR - Riktlinjer för hantering av personuppgifter
GDPR - Riktlinjer för hantering av personuppgifter Innehåll GDPR - Riktlinjer för hantering av personuppgifter... 1 BAKGRUND... 2 Definitioner och begrepp... 2 Personuppgiftsansvarig (PuA)... 2 Personuppgiftsbiträde
Läs merDataskyddsförordningen, GDPR
Dataskyddsförordningen, GDPR Vad är dataskyddsförordningen? Dataskyddsförordningen/GDPR, innehåller regler om hur man får behandla personuppgifter. GDPR syftar till att skydda människors integritet. Förordningen
Läs merPersonuppgiftsbiträdesavtal
1 Personuppgiftsbiträdesavtal Parter Klubb Organisationsnummer Adress Postadress Nedan: ansvarig Bolag Organisationsnummer Adress Postadress Nedan: biträdet Kontaktperson: Telefonnummer: Mejladress: Kontaktperson:
Läs merGrundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud
Grundkurs i dataskyddslagstiftningen Grundkurs för personuppgiftsombud den 20-21 september 2016 Eva Maria Broberg, Lisa Johansson, Jonas Agnvall och Martin Brinnen Disposition Idag Introduktion Kort om
Läs merIntegritetspolicy för Judiska församlingen (JF) i Stockholm
Integritetspolicy för Judiska församlingen (JF) i Stockholm Integritet är viktig för oss på JF och vi ansvarar för den personliga information som olika personer förser oss med. För att medlemmar/deltagare/besökare/anställda
Läs mer