GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

Transkript

1

2 GDPR-DSF Göran Humling IKT-Kommittén PRO Uppsala Län

3 GDPR, DSF Den 25 maj 2018 kommer Personuppgiftslagen,PUL att ersättas av EU Allmän Dataskyddsförordning, DSF (GDPR, General Data Protection Regulation ) DSF börjar gälla utan några övergångsbestämmelser Syftet med DSF Är att skapa enhetliga dataskyddsregler inom hela EU Att anpassa lagstiftningen efter den tekniska utvecklingen Att stärka den privata personens rättigheter.

4 DSF, Dataskyddsförordningen, innebär Utökat ansvar för organisationer som registrerar eller behandlar personuppgifter. Får betydelse vid behandlingen av personuppgifter Hur PROs Distrikt, Samorganisationer och Föreningar hanterar personuppgifter. Att PROs olika IT-system måste innehålla funktioner som skyddar personuppgifter

5 Vad är en personuppgift All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer.

6 Personuppgifter Det ska inte finnas fler personuppgifter än nödvändigt. Samtycke ska inhämtas. (Intresseavvägning) Den registrerade har rätt till portabilitet. (Överflyttning till andra system) Det ska finnas en tydlig beskrivning av ändamålet med systemet. Det ska gå att få ta del av all information som är koppla till en enskild individ och den ska vara lätt förståelig. Det ska även gå att radera information om användaren så begär.

7 Personuppgifter forts. Behörighetensnivåerna ska vara konfigurerbara, så att bara de som verkligen får se information, är de som kan se information. Kryptering eller pseudonymisering av personuppgifter. För öppna nät måste överföringen ske krypterat, gäller även mail. Personuppgifter ska, om inte skäl finns (t.ex. bokföringslagen), raderas efter 2 år.

8 Detta är känsliga personuppgifter Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i en fackförening Hälsa En persons sexualliv eller sexuella läggning Genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person.

9 Utgångspunkter Det är fem viktiga punkter att utgå från Ta reda på var personuppgifter finns lagrade, både strukturerade och ostrukturerade Se till att berörda personer kan ges enkel tillgång till sina egna uppgifter Se till att berörda personer kan få sina uppgifter borttagna Se till att samtycke finns för att samla in en persons uppgifter (intresseavvägning) Se till att elektronisk kommunikation som innehåller personuppgifter är krypterade.

10 Källsystem Upprätta eller kontrollera befintliga förteckningar på register som innehåller personuppgifter. Om ett register behöver ta hänsyn till nya direktivet beror på om registret kommer att lagra personuppgifter Om registret hämtar personuppgifter från våra andra system, så behöver vi inte alltid ta hänsyn till nya direktivet för detta register. Vi måste genomföra en risk- och konsekvensanalys för de register vi har som eventuellt som innehåller känsliga uppgifter.

11 Inventering Vad innebär DSF för oss. Var finns personuppgifter? Vilken typ av personuppgifter har vi? Vilka andra lagar och standarder påverkar oss?

12 Konkreta exempel Hur och var hanterar vi uppgifter? Hur hanterar vi digitala utskrifter med personuppgifter? Hur hanterar vi utskrift på papper med personuppgifter?

13 Konkreta exempel Behövs det ID kontroll vid telefonsvar? DSF kräver att alla personuppgifter ska delges personen i fråga om så krävs, hur gör vi det? DSF kräver att personer ska få veta vem och varför någon tittat på deras uppgifter om de begär det, hur gör vi det? Incidenthantering, hur löser vi det?

14 Information till Datainspektionen. Vid integritetsbrott ska tillsynsmyndigheten och den registrerade informeras inom 72 timmar. Vi måste ha en process som hanterar detta.

15 Vad händer om vi inte följer GDPR Varning Reprimand Vite, euro, eller 4% av årsomsättning

16 Första steget: Inloggningssystem på PRO.se PRO Informerar, mars 2018 Den 16 april 2018 kommer samtliga föreningsinloggningar att stängas. Distrikt, samorganisationer eller föreningar sänder ett mail till och anmäler de personer som skall använda Hjördis. En bekräftelse skickas till anmälda personer med länk till ett webbformulär där användaren ska ta del och bekräfta att denna tagit del av PROs policy och DSF. Därefter erhåller anmälda personer en personlig inloggning till Hjördis.