Att hantera personuppgifter

Transkript

1 Att hantera personuppgifter

2 Välkomna! Christer Atterling Frida Lenberg

3 Dokumentinfo experter på informationshantering

4 Dokumentinfo experter på informationshantering Dokumentinfo är ett oberoende konsultföretag som arbetar med informationshantering. Vi erbjuder konsulttjänster, kurser och konferenser. Vårt mål är lösningar för våra kunder som är kostnadseffektiva, stöder kärnverksamheten och lever upp till lagar och regler.

5 Informationshantering Lagar Styrning Människor Verksamhet Lagring

6 Att hantera personuppgifter Då kör vi igång!

7 Bakgrund Datalagen(1973:289) Grundläggande regler om inrättande och förande av personregister med hjälp av automatiskt databehandling Personuppgiftslagen (1998:1191) Dataskyddsdirektivet 1995

8 Syfte: Skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU Det fria flödet av personuppgifter inte hindras För vilka: All offentlig verksamhet, företag, organisationer, föreningar För vad: Automatiserad behandling och manuell, epost, worddokument, etc

9 Dataskyddsreformens delar Dataskyddsförordningen Dataskyddslagen Registerförfattningar Patientdatalagen Dataskyddsdirektivet Brottsdatalagen Polisdatalagen Registerförfattningar

10 Personuppgifter All typ av information som kan användas, direkt eller indirekt för att identifiera en fysisk, levande person, tex. anställda, kunder, leverantörer och partners Namn, , adress, telefonnummer, samt övrig kontaktinformation Foto, röst och video Personligt id nummer (personnummer) Familjerelationer, personliga intressen CVs och prestationsutvärderingar Löneinformation IP adresser, GPS koordinatorer Kreditkortsinformation

11 Känsliga personuppgifter Ras/etniskt ursprung Politisk åskådning Religion Facklig tillhörighet Hälsorelaterad information Filosofisk övertygelse Sexliv (sexuell läggning) Genetisk och biometrisk data Behandling förbjuden enligt artikel 9, men undantag finns: tex samtycke, rättsliga skyldigheter, allmänt intresse, nödvändigt för vetenskapliga forskningsändamål

12 Vad betyder behandling? En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning, eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning, tillhandhållande på annat sätt, justering eller sammanförande, begränsning, radering, eller förstöring

13 Enligt artikel 5 Personuppgifter ska behandlas på lagligt korrekt och öppet sätt i förhållande till den registrerade Ska samlas in för särskilda uttryckligt angivna och berättigade ändamål Får inte behandlas senare på ett sätt som är oförenligt med dessa ändamål Uppgifterna ska vara korrekta Får inte förvaras under längre tid än nödvändigt Behandlas säkert

14 Rättslig grund, artikel 6.1 a) Samtycke b) Nödvändig för att fullgöra ett avtal c) Nödvändig för att fullgöra en rättslig förpliktelse d) Nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade e) Nödvändig för att utföra en uppgift av allmänt intresse eller som led i myndighetsutövning f) Nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter

15 Några begrepp Personuppgiftsansvarig, personuppgiftsbiträde, dataskyddsombud Uppförandekod certifiering Rätt till rättelse, radering, begränsningar Privacy by design Dataportabilitet

16 Register över behandlingen Skyldighet att föra ett register över behandlingarna (artikel 30) Gäller personuppgiftsansvarige och personuppgiftsbiträdet Ska innehålla: Kontaktuppgifter Ändamål med behandlingen Beskrivning av kategorier av registrerade och personuppgifter Lämnas ut till andra Överföring till tredje land Tidsfrister för radering Beskrivning av säkerhetsåtgärder

17 PUL vs GDPR Likheter Samtycke Rätt att få info om behandlingen Säkerhetsåtgärder Känsliga uppgifter särskilda krav Skillnader Tydligare information till registrerade Dataportabilitet Konsekvensbedömning Anmälan om personuppgiftsincident inom 72 timmar Sanktionsavgift, max 4% av den maximala omsättningen Dataskyddsombud Missbruksregeln försvinner

18 Vad behöver vi göra? Öka medvetandet och kunskaperna i organisationen Kartlägg personuppgifterna Se över rutiner, processer och procedurer Hur ser ansvar och organisation ut? Dataskyddsombud? Gör rätt gentemot anställda, kunder, leverantörer Informera om behandlingen Trovärdighet ökar Certifiering, uppförandekoder Rutiner för hantering av barns personuppgifter? Rutiner vid incidenter?

19 Kliniska studier - Känsliga personuppgifter Europaparlamentets och rådets förordning(eu) nr 536/2014 Försökspersonernas intressen bör alltid ha företräde framför andra intressen. Tillstånd för kliniska prövningar bör ges på förhand.

20 Forskningsdatautredningen Utredningen föreslår införandet av en forskningsdatalag med syfte att möjliggöra personuppgiftsbehandling för forskningsändamål samtidigt som den enskildes fri- och rättigheter skyddas. De rättsliga grunder som framför allt kan komma ifråga för forskningsändamål är, enligt utredningens bedömning, samtycke enligt artikel 6.1 a, nödvändig behandling för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e (för privata aktörer) intresseavvägning enligt artikel 6.1 f. Utredningen föreslår att det införs en bestämmelse i forskningsdatalagen som möjliggör för såväl offentliga som privata forskningsaktörer att tillämpa den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e

21 Forskningsdatautredningen Forskningsaktörer som samlar in personuppgifter för forskningsändamål som tidigare insamlats för annat ändamål, till exempel av en annan myndighet, måste åberopa en rättslig grund enligt artikel 6.1 för den nya behandlingen. Utredningen bedömer det möjligt att behandla känsliga personuppgifter för forskningsändamål med samtycke som rättslig grund när samtycke föreligger tillsammans med godkännande efter etikprövning enligt etikprövningslagen. Utredningen gör bedömningen att rättsläget för användningen av personnummer för forskningsändamål inte ändras. Rätten till rättelse (artikel 16) ska inte gälla för sådana personuppgifter som behandlats för forskningsändamål om de enbart bevaras i arkiveringssyfte. Personuppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt när de behandlas för forskningsändamål, förutsatt att ändamålet kan uppnås på sådant vis. Den enskilde ska ges möjlighet att motsätta sig att dennes personuppgifter behandlas för forskningsändamål ( om forskningsändamålen annars inte kan uppfyllas, får dock personuppgiftsbehandling ändå utföras)

22 Exempel från verkligheten

23 Leverans 1 Intern kommunikation Intranet Extern Kommunikation Extern hemsida Marknad Excel på filserver

24 Leverans 2 Interaktiv GDPR-plan enkel att uppdatera.

25 Leverans 3 Stöd för att upprätta rutiner och avtal Behörighet Borttagande (samt borttagande på begäran) Samtycke, med syfte Uppdatering av persondata Tredje part IT leverantör Personuppgiftsbiträde..

26 Tack för uppmärksamheten! Kontaktuppgifter: Christer Atterling, tel: Frida Lenberg, tel: