Dataskyddsförordningen

Transkript

1 Dataskyddsförordningen Almega Express 26 april 2018 på Heléne Hellström Persson

2 Dataskyddsförordningen Ny lagstiftning 2018 Dataskyddsförordningen - beslut i EU våren 2016 Förordning ikraft 25 maj 2018 i Sverige och övriga av EU:s medlemsländer på Ersätter PUL Stärka skyddet för den personliga integriteten, modernisera, gemensam lagstiftning inom EU

3 Allmänt Många likheter med PUL, men Tydligare rättigheter för den registrerade Tydligare ansvar för personuppgiftsansvariga Undantaget för ostrukturerat material bort på Höga sanktionsavgifter

4 Grundläggande definitioner Vad avses med personuppgiftsansvarig? personuppgiftsbiträde? dataskyddsombud? Klicka personuppgift? här för att ändra format på underrubrik behandling? i bakgrunden registrerade?

5 Materiellt tillämpningsområde Automatiserad behandling Manuell behandling om ingår i register Rent privat användning undantagen på

6 Principer för behandling Öppenhetsprincipen lagligt, korrekt, öppet Ändamålsbegränsning Uppgiftsminimering Lagringsminimering på underrubrik Ansvarsskyldighet i bakgrunden

7 Laglig behandling Samtycke Fullgöra avtal Fullgöra rättslig förpliktelse Skydda grundläggande intresse Allmänt intresse/myndighetsutövning Klicka Intresseavvägning här för att ändra format på

8 Samtycke Ska vara ett frivilligt, specifikt, informerat och otvetydigt medgivande Visa att den registrerade har samtyckt Klart och tydligt särskiljas från andra frågor Kan alltid återkallas på

9 Laglig behandling av särskilda kategorier av personuppgifter Får behandlas bl a Vid samtycke Inom arbetsrätten Skydda grundläggande intresse på För underrubrik att fastställa, i bakgrunden göra gällande eller försvara rättsliga anspråk Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska och biometriska uppgifter, uppgifter om hälsa och uppgifter om sexualliv och sexuell läggning

10 Information till den registrerade, bl a Vem som är personuppgiftsansvarig Dataskyddsombud, i tillämpliga fall Ändamål och rättslig grund Vid intresseavvägning PUAs eller tredje mans berättigade intresse Mottagare/kategorier av mottagare Klicka Lagringstid här för att ändra format på Rätt att begära rättelse, radering samt inge klagomål till tillsynsmyndigheten

11 Den registrerades rättigheter Begära information om personuppgiftsbehandlingen Avgift eller vägran vid uppenbart ogrundad eller orimlig begäran Rättelse utan dröjsmål Radering, rätten att bli bortglömd Rätt att göra invändningar på Dataportabilitet

12 Inbyggt dataskydd och dataskydd som standard Inbyggt dataskydd (Privacy by design) Ska säkerställa att enbart nödvändiga uppgifter behandlas t ex att inte mer information än Klicka nödvändigt här för att samlas ändra in, format delas på ut eller underrubrik visas i bakgrunden

13 Behandlingsregister PUA skyldig föra register över personuppgiftsbehandlingar bl a avseende Namn och kontaktuppgifter för personuppgiftsansvarige samt dataskyddsombudet Ändamålen med behandlingen En beskrivning av kategorierna av registrerade och kategorierna av personuppgifter De kategorier av mottagare till vilka personuppgifterna Klicka har lämnats här för eller att ska lämnas ändra utformat på Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder Även personuppgiftsbiträde skyldig föra register

14 Undantag behandlingsregister Personuppgiftsanvariga med färre än 250 anställda om inte Klicka kommer att här medföra för en att risk för ändra de registrerades format rättigheter och friheter, är tillfällig och inte omfattar känsliga personuppgifter enligt artikel 9 eller personuppgifter om lagöverträdelser enligt artikel 10 på

15 Personuppgiftsincidenter Anmälan till Datainspektionen utan onödigt dröjsmål 72-timmarregeln Vid hög risk för fysiska personers rättigheter och friheter Information till registrerad på underrubrik Om oproportionell i bakgrunden ansträngning ska istället allmänheten informeras

16 Dataskyddsombud Om behandling i stor omfattning av integritetskänsliga (särskilda kategorier) personuppgifter, eller som kräver systematisk övervakning av registrerade Professionella Klicka här för att kvaliteter ändra format på Rapportera underrubrik till i bakgrunden högsta ledningen Mer självständig än tidigare personuppgiftsombud och med större ansvar

17 Personuppgiftsbiträde En fysisk eller juridisk person Behandlar personuppgifter för den personuppgiftsansvariges räkning Skriftligt avtal I vissa fall samma skyldigheter som på personuppgiftsansvariga

18 Datainspektionen Ansvar gällande information och tillsyn Vara tillsynsmyndighet, även klagomål i annat EU-land Huvudregeln en dataskyddsmyndighet Förhandskontroller av Klicka konsekvensbedömningar här för att ändra format på underrubrik Yttra sig och i bakgrunden godkänna uppförandekoder Utdöma sanktionsavgifter

19 Påföljder Skadeståndsansvar Straffansvar? Administrativa sanktionsavgifter, upp till 20 milj euro alt. 4 % av total global Klicka årsomsättning här för att ändra format på

20 Tredjelandsöverföring Internationella avtal Beslut från kommissionen Bindande företagsbestämmelser etc. Koncernöverföringar på

21 Dataskyddslag kompletterande bestämmelser Dataskyddslag subsidiär men bara då dataskyddsförordningen tillåter Tystnadsplikt för dataskyddsombud Dataskyddsförordningen förutsätter nationell precisering i vissa delar bl a avseende: Rättslig Klicka här förpliktelse att ändra format på Lagöverträdelser Personnummer Sanktionsavgifter

22 Hur kan arbetsgivare förbereda organisationen? Inventera vilka personuppgifter ni hanterar Gör nödvändiga förändringar m.a.a. att undantaget för ostrukturerat material tas bort Undersök rättslig grund för de behandlingar ni gör Skapa rutiner för dokumentation av behandlingen Utred hur länge personuppgifter får sparas och utarbeta gallringsrutiner Skapa rutiner för att lämna information till registrerade på underrubrik incidenter i bakgrunden Fastställ rutiner för att upptäcka, rapportera och utreda Inför inbyggt dataskydd (privacy by design) Bestäm om ni behöver utse ett dataskyddsombud Se över behov av personbiträdesavtal

23 Och glöm inte att dokumentera! Se även: på