Sex månader med GDPR. 8 november 2018

Transkript

1 Sex månader med GDPR 8 november 2018

2 Agenda Dataskyddsförordningen i 10 punkter Grunderna i ett effektivt dataskyddsarbete Framgångsfaktorer Hur skapar vi förtroende för våra produkter och tjänster

3 Dataskyddsförordningen i 10 punkter 1. Gäller sedan den 25 maj En förordning är direkt tillämplig behöver inte implementeras som nationell lag 4. Undantaget för ostrukturerad behandling av personuppgifter försvinner 5. Krav på register över behandlingen av personuppgifter 3. Personuppgiftslagen, och motsvarande lagstiftning i andra EUländer har avskaffats

4 Dataskyddsförordningen i 10 punkter 6. Ökade krav på dokumentation och administration (t ex DSO) för att kunna säkerställa kontroll och visa efterlevnad ( accountability principle ) 7. Krav på utformningen av IT-system, rutiner och arbetssätt genom principerna för privacy by design och privacy by default 8. Förstärkta rättigheter för registrerade - Ytterligare information - Rätten att bli glömd - Dataportabilitet m.m. 9. Krav på rapportering avseende personuppgiftsincidenter - till Datainspektionen inom 72 timmar - till registrerade utan onödigt dröjsmål 10. Kraftiga sanktionsavgifter - Upp till det högre av 20 MEUR eller 4 % av den globala årsomsättningen. För myndigheter är den övre gränsen 10 miljoner kronor

5 Agenda Dataskyddsförordningen i 10 punkter Grunderna i ett effektivt dataskyddsarbete Framgångsfaktorer Hur skapar vi förtroende för våra produkter och tjänster

6 Vad kräver GDPR? Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet (8.1 rättighetsstadgan och 16.1 EUF-fördraget). Skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter (Art 1 GDPR) Behandlingen av personuppgifter bör utformas så att den tjänar människor (skäl 4) Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet för personuppgifter. Tekniken gör det möjligt för både privata företag och offentliga myndigheter att i sitt arbete använda sig av personuppgifter i en helt ny omfattning (Skäl 6) Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter (1.3 GDPR) det är viktigt att skapa den tillit som behövs för att utveckla den digitala ekonomin över hela den inre marknaden (Skäl 7)

7 Agenda Dataskyddsförordningen i 10 punkter Grunderna i ett effektivt dataskyddsarbete Framgångsfaktorer Hur skapar vi förtroende för våra produkter och tjänster

8 Att driftsätta dataskyddet Balans mellan olika intressen (beroende på marknad, risk osv) Lita på och respektera alltid anställda/kunder m.m. Skapa digitalt förtroende Stärk användarna i utövandet av deras rättigheter

9 Agenda Dataskyddsförordningen i 10 punkter Grunderna i ett effektivt dataskyddsarbete Framgångsfaktorer Hur skapar vi förtroende för våra produkter och tjänster

10 Hur skapar vi förtroende? Dataskydd och informationssäkerhet är strategiska frågor som aktivt stödjer affärsmålen Arbeta med rätt visioner Arbeta in dataskyddet som operativ del från början Change management många organisationer underskattade kulturella utmaningarna inför maj 2018 kommunicera! GDPR ger verktyg och koncept att arbeta med, vi behöver dock höja transparensen

11 Frågor

12 Maria Holmström Mellberg Senior Counsel Maria är medlem i Lindahls grupp för Strategiska kontrakt och fokuserar i första hand på integritet och dataskydd men också på compliance och finansregulatoriska frågor. Hon är en drivande integritets- och dataskyddsprofil men har också mångårig erfarenhet av informationssäkerhet, operativa risker samt intern styrning och kontroll, förändringsprojekt och försäljning som hon arbetat med i Nordea-koncernen och därigenom skaffat sig stor erfarenhet av operativa frågor, styrningsaspekter, strategiska frågor och av att utforma och genomföra regelefterlevnads- och riskhanteringsprogram med koncernövergripande policys och strategier och inte minst från att ha bedrivit licensierad verksamhet under tillsyn av flera myndigheter i flera jurisdiktioner. påverkansarbete och representerade Nordea i branschorganisationer, t ex flera av Svenska Bankföreningens och Europeiska Bankföreningens kommittéer. Maria har, förutom juridik, studerat IT och retorik på Uppsala universitet samt är certifierad av ISACA som Certified Information Security Manager (CISM), av International Compliance Association (ICA) med International Diploma in Compliance samt av Association of Corporate Treasurers (ACT) med Cert ICM (International Cash Management). Maria är bl a vice ordförande i Forum för Dataskydd och en aktiv svensk och internationell talare och utbildare. Under åren i Nordea var Maria aktiv inom policy- och