EU:s dataskyddsförordning. JD, VH Ida Sulin

Transkript

1 EU:s dataskyddsförordning JD, VH Ida Sulin

2 Innehåll Vad handlar det om? Utgångspunkter Dataskyddsförordningen Detaljbestämmelser Nationell lagstiftning i riket 2

3 Vad handlar det om?

4 Digitalisering? Reformering av handlingssätt Digitalisering av interna processer Elektronifiering av tjänster Projekt» Handlingsprogrammet för nationella servicearkitekturen, KAPA» Programmet för påskyndande av elektronisk ärendehantering och demokrati, SADe» Programmet för öppen information 4

5 Varför nya regler Dataskyddsombudsmannen : Vi behöver gedigna regler, som säkerställer att människornas rätt till skydd för sina personuppgifter som skyddas i EU:s grundrättsstadga upprätthålls också i en digital miljö. På samma gång är detta till gagn för utvecklandet av den digitala ekonomin. 5

6 Bakgrund Komissionens förslag 1/12» Allmän dataskyddsförordning (EU 679/2016)» Direktiv för behandling av personuppgifter vid utredning av brott (EU 680/2016) Förordning i kraft maj 2016, tillämpas från » Ny lagstiftning: Förordning, dataskyddslag, ändrad speciallagstiftning» Direktivet implementeras före maj 2018 Officiellt dokument:» N 6

7 Nationell aktivitet Lagberedning i arbetsgrupp under Justitieministeriet 1/16 9/18.» Ministeriet, Dataskyddsombudsmannen, Kommunförbundet, arbetsmarknadsparter, Finlands Näringsliv» Uppgifter: Allmän lag (betänkande 6/2017) Beslut om myndighetsorganisation Nationell flexibilitet, ramar för användning Koordinerar arbetet med speciallagstiftningen VAHTI (Ledningsgruppen för datasäkerheten inom statsförvaltningen): Projektgrupp 2/16 6/17» Rapport publicerad » 2ef d1&groupId=10128 Kommunförbundet, Hansel (staten enhet för samordnad upphandling) och KL Kuntahankinnat (kommunernas enhet för samordnad upphandling)» upphandlingsanvisning för upphandling av datasystem (översätts under sommaren 2017)» Kommunförbundets cirkulär och nyheter» Cirkulär på två språk 7

8 Utgångspunkter

9 Definitioner En personuppgift» upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet» Till exempel Platsuppgift Bild IP-adress Användar-ID 9, lakimies

10 Definitioner Behandling av personuppgifter» en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring 10, lakimies

11 När får personuppgifter behandlas? (art 6) a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.» Till exempel kundernas eller kundens anställdas uppgifter» Behandling inom koncernen eller för marknadsföring i vissa fall 11, lakimies

12 Särskilda kategorier av personuppgifter, art 9 ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. 12, lakimies

13 Personuppgiftsregister en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden, 13, lakimies

14 Nya regler om dataskydd

15 Vad ändras? Vi får nya regler om hur personuppgifter skall behandlas I riket grundas en ny myndighet som övervakar hur företag, myndigheter, kommuner etc. behandlar personuppgifter De nya reglerna innehåller sanktioner, skadeståndsrätt osv. 15

16 Idé E-handeln en del av den interna marknaden Konsumentskydd i förhållande till egna uppgifter Utvecklingen av elektroniska verktyg och program Olika regler i olika länder 16

17 Tillvägagångssätt Förordning, utan implementering och med direkt effekt» Kommer att ersätta persupuppgiftsdirektivet från 1995 och lagstiftningen som getts på grund av den Personuppgiftslag (523/1999) Ålands personuppgiftslag Bred tillämpning, offentliga och privata sektorn» Inte privatliv» Tillämpning utanför EU:s kompetensområde 17

18 Paradigmskifte Compliance -> Ansvar att säkerställa» Från att följa regler till att på förhand planera och aktivt ta i beaktande, också datatekniskt Upphandlingar Dokumentering Kunskap Inbyggt dataskydd och dataskydd som standard» Dataskyddet sker inte manuellt och inte i efterhand» Dataskyddet integreras i programvaror, utformas individuellt efter behov och utgående från en riskbedömning» Bör alltså formas i planeringsskedet Uppgifternas livslängd, automatiserad pseudonymisering, tillträdesrätt etc.» Kräver kunskap och framåtblick Registeransvarig och registerbiträde skilda i lagstiftning med autonoma ansvar» Bestämning av avtalsinnhåll i förordningen» Ansvarsfördelning» JIT och JYSE motsvarar inte dessa krav idag 18

19 Klargör nuvarande Tillägg till nuvarande Helt nytt Översikt över innehåll Grundprinciper Definitioner Tillåten behandling Medgivande Rätt till insyn Rätt att bli glömd Riskbedömning DPO Rätten att behandla berättigade intressen Informationssky ldighet Roller ansvarig och biträde Överflytt till tredje land Profilering Inbyggt dataskydd och dataskydd som standard Ansvar att säkerställa Register över behandling Rätten till dataportabilitet Notifieringsskyldighet Förhandsavgöranden Påföljder: sanktioner och skadestånd Myndighetsorganisati on 19

20 Dataskyddsförordningens bestämmelser

21 Grundprinciper för behandling (art 5) a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet). b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning). 21

22 principer c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet). 22

23 principer e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet). Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet). 23

24 Registrerades rättigheter

25 Information och kommunikation samt klara och tydliga villkor, 12 art Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla information och kommunikation i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt. Information: registerbeskrivning, egna uppgifter, information om behandlingen av uppgifter, flytt, motsättelse av behandling, etc. 25

26 Den registrerades rätt till tillgång, 15 art Rätten till att granska egna uppgifter» Inklusive: ändamålen med behandlingen, de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer, om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.» Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling; Rätten att inge klagomål till en tillsynsmyndighet; Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer Art 15 (3): Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.» Gratisprogram som är tillgängligt 26

27 Rätten att radera sina uppgifter, 17 art Egentligen inget nytt Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om de inte behövs för ändamålet med behandlingen. Art 17 (2)» Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter. 27

28 Rätt till begränsning av behandling, art 18 Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas» Exempelvis om oklart om behandlingen lagenlig, om personuppgifterna korrekta Art 18 (2):» Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat Teknisk karantän. 28

29 Digital portibilitet, art 20 Inte tillämpbart på myndighetsregister Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om» Enskilda uppgifter måste kunna plockas från registret i denna form» Överföring till andra register 29

30 Anmälan av en personuppgiftsincident 33; 34 art Anmälan av en personuppgiftsincident till tillsynsmyndigheten» Inom 72 timmar Förutom om incidenten inte medför risk för fysiska personers rättigheter och friheter Anmälningsskyldighet hos registeransvarig också för problem hos biträde Anmälans innehåll finns i förordningen Anmälan till registrerad Om incidenten innebär hög risk Anmälans innehåll i förordningen 30

31 Registeransvariges skyldigheter

32 Inbyggt dataskydd och dataskydd som standard Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder såsom pseudonymisering vilka är utformade för ett effektivt genomförande av dataskyddsprinciper såsom uppgiftsminimering och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades rättigheter skyddas. 32

33 Inbyggt dataskydd och dataskydd som standard Inbyggt dataskydd och dataskydd som standard i systemutveckling» Automatiserat tas enbart nödvändiga personuppgifter emot i systemet / registret» Uppgifter får inte insamlas, behandlas eller lagras utanför vad som är nödvändigt» Personuppgifter görs inte tillgängliga för ett obegränsat antal fysiska personer» Automatiserat garanteras de registrerades rättigheter» Automatiserad dataskydd» Dokumentation om alla steg 33

34 Inbyggt dataskydd och dataskydd som standard, exempel Organisatoriska åtgärder» Utbildning» Rekrytering, intern kunskap» Anvisningar» Rapportering och dokumentation Tekniska åtgärder» Automatiserade lösningar för minimering» Hur flyttas information?» Logguppgiftger» Användarinformation och begränsnings av användare» Testning och auditering 34

35 Säkerhet i samband med behandlingen, art 32 Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna Ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt» Ex. pseudonymisering, kryptering, konfidentialitet, integritet, motståndskraft hos system och tjänster, återställning av tillgänglighet och tilggång i rimlig tid, förfaranden för testning och utvärdering. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Dokumentation! 35

36 Avtalsfrågor och upphandling

37 Krav som påverkar avtal Vilka avtal påverkas? Alla avtal vars föremål antingen direkt eller indirekt avser personuppgifter. 37

38 Henkilötietojen käsittelyn ulkoistus Förordningen inverkar» Direkt på ansvarsfördelningen mellan registeransvarig och biträde» Självständiga krav på biträde» Art 28: Registernasvarig har ett ansvar för att använda ordentliga biträden» Registeransvarig helhetsansvarig Tillåtelse till underleverantörer (behandling) 38, lakimies

39 Avtalskrav Mellan registeransvarig och biträde måste det finnas ett avtal» Antingen särskilt avtal eller bilagor» Avtal; Bilaga 1 (Allmänna krav); Bilaga 2 (processkrav) Art 28.3: Avtalets innehåll reglerats» föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter Dessutom: rapportering, dokumentation osv. 39, lakimies

40 Ansvar (art 82) 1. Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. 2. Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar. 40, lakimies

41 Administrativa sanktioner, art 82 Bestämning om användning på myndigheter i regeringspropositionen Grad 1: administrativa sanktionsavgifter på upp till EUR eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst: Grad 2: administrativa sanktionsavgifter på upp till EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:» De grundläggande principerna för behandling, inklusive villkoren för samtycke,» Registrerades rättigheter enligt artiklarna» Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationel orgaisation 41

42 Dataskyddsombud

43 Utnämning av dataskyddsombud, art 35 Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna ett dataskyddsombud om behandlingen genomförs av en myndighet eller ett offentligt organ» Får vara gemensam för koncern» Får vara gemensam för flera myndigheter med hänsyn till organisationsstruktur 43

44 Dataskyddsombudets ställning, art 36 Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå. 44

45 Hur komma igång?

46 Vikten av datasekretess ökar Riskaspekten ökar och registeransvariges ansvar Datasekretessen och skyddet för privatliv måste beaktas systematiskt i utvecklingen av verksamhet, tjänster och produkter, samt programvaror och system» Upphandlingar och avtal» Organisering av verksamhet, ledning» Dokumentation, rapportering och skydd Nyttokalkyler riskkalkyler 46

47 Den registeransvariges to do lista Vem är ansvarig för datasekretessen (DPO) 2. Analysera personuppgiftsmassan 3. Gör riskanalays, inkl. avtal och sanktioner 4. Gör anvisningar 5. Dataskyddet i skick 6. Utbildningsbehov 7. Övervaka nuvarande användning av personuppgifter 8. Var förutseende 9. Bygg förtroende 10.Följ med utvecklingen! 47