EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

Transkript

1 EUs nya personuppgiftslagstiftning Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

2 Ny personuppgiftsförordning - en fråga för alla 2

3 Agenda Personuppgiftslagen idag Nya lagen - bakgrund De största förändringarna Sammanfattning 3

4 Personuppgiftslagen i Sverige 4

5 Personuppgiftslagen (PuL) Nationell lag baserad på EU-direktiv Minimiregler Annan lagstiftning gäller före Personuppgifter Personuppgifter är all slags information som direkt eller indirekt kan kopplas till en fysisk person 5

6 Personuppgiftsansvarig Den som bestämmer ändamål och medel med personuppgifter är personuppgiftsansvarig Ansvarar för att lagen uppfylls 6

7 PuL idag i korthet Behandlingen behöver vara tillåten Samtycke, Nödvändig för vissa angivna ändamål, eller Intresseavvägning Krav som ska uppfyllas Grundläggande krav på behandlingen, t.ex. korrekthet, gallra, rensa Information till den registrerade Krav på skriftligt avtal mellan företag som delar uppgifter Överföring till andra länder Anmälningskrav och/eller utse ett personuppgiftsombud Säkerhetskrav 7

8 Säkerhetsåtgärder i nuvarande PuL 31 Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är. 8

9 Säkerhetskrav Tekniska åtgärder Antivirus och auktorisationskrav Brandväggar och krypteringsfunktioner Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott Osv. Organisatoriska åtgärder Organisation och rutiner Instruktioner och Polices Säkerhetsnivå 9

10 Reformen förslag till ny personuppgiftslag 10

11 Nya lagstiftningen Ersätter Personuppgiftslagen (PuL) i Sverige och motsvarande lagar i alla EU-länder Förordningen gäller direkt som lag i alla EU-länder Enklare att följa lagen, en tillsynsmyndighet att förhålla sig till De nya reglerna kan bli verklighet redan år 2016 Antas tidigast i vår/höst. Träder i kraft två år efter antagande Syfte: Stärka integritetsskydd En enda gemensam lag förutsebarhet och underlätta handel inom EU 11

12 Viktigaste ändringarna 12

13 Hårdare sanktioner Allvarliga brott kan ge vite upp till det större beloppet av 5 % av en koncerns årliga världsomspännande omsättning; eller 100 MEUR Vitet bestäms utefter hur allvarligt brottet är Ett stort antal brott har listats som allvarliga brott, t.ex. att Inte inhämta samtycke när så krävs Inte informera om dataintrång i tid Inte anta interna policys eller inte implementera lämpliga åtgärder för att tillse och visa uppfyllelse av villkoren 13

14 Utökat ansvar och krav på säkerhet Huvudregeln om att vidta tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå blir kvar. Uttryckliga krav på att skydda personuppgifter från att förstöras EU-kommissionen ges makt att precisera kraven Förordningar om säkerhet även för specifika sektorer 14

15 Privacy by design Säkerhets- och integritetsaspekter ska tas hänsyn till redan vid planering och utveckling av IT-system Den som är personuppgiftsansvarig ska ställa kraven = Ökade krav vid IT-upphandlingar Kommissionen får fastställa förordningar om tolkningen samt tekniska standarder System ska ha vissa grundinställningar 15

16 Privacy by design livscykeln för information Grundinställning 2: Uppgifter ska inte lagras längre än minimiperiod som är tillåten för det ändamålet Respekt för användare: transparens möjliggöra utlämnande Grundinställning 1: Enbart de personuppgifter som är nödvändiga för varje specifikt ändamål för behandling får behandlas Infrastruktur som möjliggör tillgång till, korrigering och radering av personuppgifter 16

17 Informationskrav vid personuppgiftsbrott Informera om allvarliga incidenter (dataintrång) utan oskäligt dröjsmål Informera tillsynsmyndigheten: Som huvudregel: Inom 24 timmar efter intrånget Informera varje registrerad individ Undantag: om har system för att göra de förlorade uppgifterna oläsbara Organisationer måste stärka sina säkerhetsåtgärder Använda tekniker för att främja skydd för personuppgifter Rutiner och system för information och radering vid intrång 17

18 Data portability underlätta att flytta uppgifter mellan olika leverantörer Individer ska lättare kunna överföra uppgifter från ett system (företag) till ett annat system (företag) Krav på företag hur de ska tillhandahålla uppgifter (t.ex. strukturerat format) så kunden ska kunna ha nytta av uppgifterna 18

19 Rätten att bli bortglömd Minimera volymen av sparade personuppgifter Krav på att radera - om ingen legitim grund för fortsatt behandling finns Radera mina uppgifter Legitima grunder för att behålla uppgifterna? NEJ JA RADERA BEHÅLL 19

20 Uppgiftsskyddsombud Speciell anställd med ansvar för personuppgiftshantering Särskilt skydd mot uppsägning under 4 år Behandlar > personer/år (250 anställda) Eller att systematisk övervakning, hantering av känslig data eller liknande ingår i huvudverksamheten Central roll i att ansvara för efterlevnad av reglerna 20

21 Sammanfattning praktiska förändringar och möjligheter 21

22 Praktiska förändringar Ökat fokus på integriteten (höga viten) Initiala kostnader? Nya system kan krävas Databaser kan bli oanvändbara Personal behöver utbildas och rutiner ses över Ökade krav på förebyggande åtgärder Dokumentation över hur reglerna följs Företag med över 250 anställda får mer utryckliga krav på sig 22

23 Nya möjligheter? Möjligheter för leverantörer: Krav på nya system utvecklade bl.a. efter privacy by design och rätten att bli glömd Enklare för företag: Enklare att etablera sig utomlands En tillsynsmyndighet att förhålla sig till Färre anmälningskrav 23

24 Utestående frågor Stort utrymme till kommissionen att tolka förordningen Datainspektionens makt De svenska registerförfattningarna utrymmet för specialreglering Relationen med USA och omvärlden 24

25 Kontakt Agnes Andersson Hammarstrand Advokat, Senior Associate T: M: E: IT_advokaten på twitter