GDPR NYA DATASKYDDSFÖRORDNINGEN

Transkript

1 GDPR NYA DATASKYDDSFÖRORDNINGEN

2 GDPR NYA DATASKYDDSFÖRORDNINGEN GENERAL DATA PROTECTION REGULATION De nya reglerna gäller från och med den 25 maj 2018 och ersätter PUL Syfte: Stärka integritetsskyddet Möta teknikens förändringar - internet fanns inte när direktivet tillkom Underlätta handel/fritt flöde fullt ut Likvärdigt skydd inom hela EU/EES

3 NÄR GÄLLER GDPR? Brett tillämpningsområde: alla europeiska myndigheter, kommuner, företag och alla företag som säljer till EU Lagen gäller alla: Myndigheter Kommuner Företag Föreningar Privatpersoner Gäller all behandling av personuppgifter Undantag för behandling av privatpersoner av rent privat karaktär (ej publicering på internet)

4 VAD ÄR NYTT? Värnar tydligare om enskildas fri- och rättigheter (EU:s rättighetsstadga; rätten till privatliv, familjeliv, bostad, förtrolig kommunikation) Kravet på öppenhet gentemot den registrerade har stärkts Grundläggande krav har blivit grundläggande principer för databehandling Integritet och konfidentialitet har lyfts in i de grundläggande principerna. Tydligare krav på samtycke

5 VAD ÄR NYTT? FORTS. Den personuppgiftsansvarige ansvarar inte bara för att regelverket följs utan ska också kunna visa att det efterlevs - Accountability - s.k. ansvarsskyldighet Juridiskt ansvar även för personuppgiftsbiträden Dataskyddsombud Missbruksregeln försvinner Incidentrapportering

6 VAD ÄR EN PERSONUPPGIFT? Personuppgiftslagen: All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet Dataskyddsförordningen: Varje upplysning som avser en identifierad eller identifierbar fysisk person (en registrerad) varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare såsom exempelvis: Namn, personnummer E-post: (anna.ejerblad@pulsen.se) Registreringsnummer, kreditkortsnummer Anställningsnummer, användar-id, IP-adress Egenskaper och karaktärsdrag i ett sammanhang Foto

7 VAD ÄR EN BEHANDLING? Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter. Det kan vara en åtgärd eller kombination av åtgärder beträffande personuppgifter, oberoende om de utförs automatiserat eller ej Exempelvis: Insamling Registrering Lagring Spridning Samkörning Bearbetning eller ändring Utlämning genom överföring Strukturering Spridning eller tillhandahållande på annat sätt Undantag för bl.a. rent personligt bruk

8 PERSONUPPGIFTSANSVARIG Definition: En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamål och medel med personuppgifter är personuppgiftsansvarig Ansvarar alltid självständigt för att lagen uppfylls

9 PERSONUPPGIFTSANSVAR VÄGLEDNING I ARTIKEL 24 Personuppgiftsansvarig ska bedöma riskerna med behandlingar av personuppgifter genom att : Vidta lämpliga tekniska och organisatoriska åtgärder så att man kan visa att behandlingen följer Dataskyddsförordningen Regelbundet gå igenom åtgärderna och uppdatera dem när det är nödvändigt

10 PERSONUPPGIFTSANSVAR Personuppgiftsansvariga ska ansvara för och kunna visa att följande principer efterlevs (ansvarsskyldighet) Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål Får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål Uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen

11 PERSONUPPGIFTSANSVAR FORTS Korrekthet Lagringsminimering Uppgifter ska vara korrekta och om nödvändigt uppdaterade, annars raderas eller rättas Uppgifter får inte sparas längre tid än nödvändigt för ändamålen Integritet och konfidentialitet Krav på säkerhet, inbegripet skydd mot obehörig/otillåten behandling och mot förlust

12 PERSONUPPGIFTSBITRÄDE Den som behandlar personuppgifter för den personuppgiftsansvariges räkning Exempel på vanliga biträden: IT-leverantörer Rekryteringsbyråer Leverantör av lönesystem Reklambyråer Molntjänstleverantörer IT-support Biträdet får utökade skyldigheter enligt nya förordningen och kan bli utsatta för sanktioner

13 PERSONUPPGIFTSINCIDENT Personuppgiftsincident definition, art. 4: En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats Personuppgiftsansvarig ska rapportera incident skyndsamt till Datainspektionen - dock senast 72 timmar efter vetskap om händelsen Informera varje registrerad individ : Om sannolikt leder till hög risk för enskildas rättigheter Undantag, t.ex. om system finns för att bevisa att de förlorade uppgifterna gjorts oläsbara för utomstående, t.ex. kryptering Oproportionerlig ansträngning: Informera istället allmänheten

14 PERSONUPPGIFTSBITRÄDE ANSVAR MOT PERSONUPPGIFTSANSVARIG Ska bistå personuppgiftsansvarig med att säkerställa: Säkerhet i behandlingen Anmälan av personuppgiftsincident Konsekvensbedömning avseende dataskydd Skyldighet att samarbeta med tillsynsmyndighet Återlämnande eller destruktion. Beredskapsplan för återställande Personuppgiftsbiträdets ansvar är också: Ingå biträdesavtal Utse dataskyddsombud i vissa fall Personuppgiftsbiträdet ska tillåta revisioner i sin verksamhet avseende behandlingen

15 PERSONUPPGIFTSBITRÄDE ANSVAR FORTS. Enbart behandla enligt instruktioner från den ansvarige eller tvingande lag Möjlighet rensa, gallra, rutiner för lagringshantering, patientdatalagens krav, osv. Privacy by design krav på själva systemet Registerförteckning som biträde Rutiner för exempelvis information vid personuppgiftsincident

16 SANKTIONER Företag kan få böter upp till det högre beloppet av euro eller 4 % av koncernens globala omsättning Kommuner föreslås kunna få böter upp till Upp till det högre beloppet av kr - Mindre allvarliga överträdelser Upp till det högre beloppet av kr - Allvarliga överträdelser - Underlåtenhet att följa förlägganden och beslut av tillsynsmyndigheten - Underlåtenhet att bistå tillsynsmyndigheten Ersättning till den som lidit skada Även andra sanktioner, varning, böter m.m.

17 GDPR-ARBETET PÅ PULSEN AKTIVITETER Advokatfirman Delphi AB i Göteborg är vårt juridiska stöd i arbetet och granskar personuppgiftsbiträdesavtal, underleverantörsavtal osv Tillsammans med Delphi har vi gått igenom våra tjänster Combine och Magna Cura för att identifiera eventuella luckor i systemet. Vissa åtgärder kommer att vidtas ligger i roadmap Nytt personuppgiftsbiträdelseavtal med instruktioner har distribuerats Registerförteckning upprättas Översyn av våra rutiner kring bl.a. inloggning, sekretess, supportering så all vi blir GDPR compliant Alla anställda har fått en allmän grundutbildning i GDPR Ny mailadress sätts upp för frågor till dataskyddsombudet (DPO) på Pulsen dpo.omsorg@pulsen.se

18 Tack för visat intresse!