Ny dataskyddsförordning En vägledning genom processen

Transkript

1 Ny dataskyddsförordning En vägledning genom processen

2 TechLaw är en affärsjuridisk byrå specialiserad inom IP, media och teknologi. Vi är experter inom våra områden och ger tydliga och kvalificerade råd i en värld där immateriella rättigheter och personlig information blir allt mer värdefulla affärstillgångar. TechLaw hjälper företag och organisationer att hantera tvister, nya regelverk och interna utredningar i arbete där rättighets- och teknologifrågor står i centrum. Vi erbjuder även branschspecifika utbildningar inom dataskydd, personlig integritetsrätt och digital media. Dataskyddsförordningen 2

3 Sammanfattning I december 2015 träffades en politisk överenskommelse mellan EU:s lagstiftande organ om innehållet i EU:s nya dataskyddsförordning. Ett formellt beslut om antagande av förordningen förväntas komma under våren 2016 som efter en övergångsperiod börjar gälla från våren Förordningen, som kommer att ersätta den tidigare Personuppgiftslagen (PUL), stärker EU:s fokus på integritetsfrågor och kan medföra kraftigt ökade sanktioner för företag som inte tar reglerna på allvar. Den nya förordningen kommer bland annat att ge registrerade individer en utökad rätt att kräva radering av personuppgifter, införa en ovillkorlig informationsplikt vid integritetsbrott, samt medföra krav på införande och tillhandahållande av integritetspolicys. Det finns därför all anledning för företag, myndigheter och andra organisationer att redan nu utvärdera sin personuppgiftsbehandling och vidta nödvändiga åtgärder för en planerad och strukturerad övergång till den nya dataskyddsförordningen.

4

5 I december 2015 meddelades att EU-kommissionen, Europarådet och EU:s ministerråd kommit överens om förslaget till ny dataskyddsförordning. Den nya regleringen kommer att bli gemensam för hela Europa och ersätta Personuppgiftslagen (PUL) i Sverige under år Dataskyddsförordningen kommer att medföra en väsentlig stärkning av skyddet för den personliga integriteten. För företag, myndigheter och andra organisationer kommer betydligt strängare krav uppställas för att skydda integriteten och för enskilda innebär dataskyddsförordningen utökade rättigheter för skydd av personuppgifter. Utöver förändringarna som den nya dataskyddsförordningen för med sig behöver alla företag, myndigheter och organisationer även vidta åtgärder i anledning av de begränsningar som sedan hösten 2015 gäller för överföring av personuppgifter till länder utanför EU/EES såsom USA. Vilka omfattas av den nya dataskyddsförordningen? Den nya dataskyddsförordningen kommer att påverka alla företag, myndigheter och organisationer som behandlar enskilda individers personuppgifter. Med behandling avses varje åtgärd med personuppgifter oberoende om denna är automatiserad eller inte, exempelvis insamling, registrering, strukturering, bearbetning, lagring, radering av data. Vad är en personuppgift? Med personuppgift menas all slags information som direkt eller indirekt kan hänföras till en identifierbar fysisk person som är i livet. Förutom namn och personnummer kan en lokaliseringsuppgift, ett foto, biometriska uppgifter eller en dators IP-nummer räknas som personuppgifter om de kan kopplas till en fysisk person. Vad medför de nya reglerna? Den nya dataskyddsförordningen kommer att stärka individers rättigheter och ge dem kontroll över sina personuppgifter samtidigt som den underlättar för företag som har verksamhet i flera olika EU-länder. Nedan behandlas några centrala delar av förslaget. Med personuppgift menas all slags information som direkt eller indirekt kan hänföras till en identifierbar fysisk person som är i livet. Mindre utrymme för nationella avvikelser Dataskyddsförordningen kommer att vara direkt tillämplig i EU:s medlemsstater. Utrymmet för nationella avvikelser blir därför mindre. För svensk del innebär detta bland annat att den så kallade missbruksregeln som tillåter behandling av personuppgifter i ostrukturerad text så länge behandlingen inte är kränkande för behandlade personer kommer att försvinna. 1 Dataskyddsförordningen

6 Utökat tillämpningsområde Genom förordningen kommer det att skapas en enda uppsättning regler, vilket kommer att göra det enklare, mer förutsägbart och billigare för företag att göra affärer i EU. Företag baserade utanför Europa kommer behöva tillämpa samma regler som EU-företag när de erbjuder tjänster inom unionen. Den personuppgiftsansvarige kommer också att behöva utse en representant inom EU. Skärpta krav på personuppgiftsbehandling I flera hänseenden påminner förordningens krav om de nuvarande reglerna i PUL. På vissa punkter går emellertid de nya reglerna längre eller är mer detaljerade än dagens regler. Enskilda kommer att ges förenklad åtkomst till egna personuppgifter och informeras om hur deras uppgifter behandlas. Information ska lämnas på ett tydligt sätt med användande av ett klart och tydligt språk. Kravet på inhämtande av samtycke kommer att skärpas. En begäran om samtycke ska enligt förordningen vara tydligt urskiljbar från det övriga innehållet i exempelvis allmänna villkor eller liknande. Behandling av personuppgifter hänförliga till barn under en viss ålder kommer att kräva samtycke från föräldrarna. Varje medlemsland kommer kunna ha en valfri åldersgräns mellan 13 och 16 år. Rättigheter för enskilda personer kommer att stärkas genom rätten att bli bortglömd, rätten till dataportabilitet och rätten att få veta när ens uppgifter har hackats eller på annat sätt läckt ut. Rättigheter för registrerade individer För enskilda personer kommer rättigheterna att stärkas, bland annat ställs strängare krav på att företag, myndigheter och andra organisationer ska informera om hur de hanterar enskildas personuppgifter. Enskilda ska i vissa situationer även kunna säga nej till att ett företag eller en myndighet använder dennes personuppgifter. Rätten att bli bortglömd: Om en person inte längre vill att personuppgifter ska behandlas och det saknas legitima skäl för att behålla uppgifterna, ska de raderas. Rätten till dataportabilitet: Den enskilde får rätt att på begäran få sina personuppgifter överförda till en annan tjänsteleverantör. Rätten att få veta när dina uppgifter har hackats eller på annat sätt läckt ut: Företag måste kommunicera allvarliga personuppgiftsbrott till den enskilde om det finns hög risk för dennes fri- och rättigheter. Dataskyddsförordningen 2

7 Ökade krav för personuppgiftsansvariga Det kommer inte finnas något obligatoriskt krav på företag, myndigheter och andra organisationer att ha ett personuppgiftsombud. Däremot kommer det att ställas högre krav på personuppgiftsbiträden. Personuppgiftsbehandlingen ska dokumenteras och den personuppgiftsansvarige ska kunna visa att förordningens hanteringsregler följs. Detta innebär i praktiken att det blir obligatoriskt för företag att upprätta en personuppgiftspolicy. Både personuppgiftsansvariga och personuppgiftsbiträden måste utforma system och processer på ett sådant sätt att dessa redan från start får ett inbyggt integritetsskydd, så kallad Privacy by Design. Om ett företag blir utsatt för dataintrång eller på något annat sätt tappar kontroll över personuppgifter så måste denna, om incidenten är allvarlig, inom 72 timmar från det att intrånget upptäcktes informera både de personer som uppgifterna gäller och den nationella tillsynsmyndigheten. En allvarlig incident kan till exempel vara om uppgifterna som läckt ut kan leda till att personer utsätts för diskriminering, id-stölder, bedrägeri eller finansiella förluster. Dataskyddsombud och konsekvensanalyser För företag, myndigheter och andra organisationer vars kärnverksamhet utgörs av systematisk databehandling i större skala eller som hanterar en större mängd känslig data blir det obligatoriskt att utse ett så kallat dataskyddsombud eller Data Protection Officer. Vid dataintrång ska den personuppgiftsansvarige senast inom 72 timmar från det att intrånget upptäckts informera både de personer som uppgifterna gäller och den nationella tillsynsmyndigheten. Dataskyddsombudet ska bland annat underrätta och råda företagets ledning om deras förpliktelser enligt förordningen, och övervaka tillämpningen av företagets regler för skydd av personuppgifter. Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra vissa i förordningen utpekade uppgifter. Dataskyddsombudet kan ingå i företagets personal, eller utföra uppgifterna på grundval av ett tjänsteavtal. Om ett företag har för avsikt att hantera personuppgifter på ett sätt som kan medföra stora integritetsrisker så måste företaget först göra en noggrann analys av vilka konsekvenserna av det kan bli, en så kallad Data Protection Impact Assessment. Riskfylld behandling kan till exempel vara storskaliga register som innehåller genetiska eller biometriska uppgifter, uppgifter om barn eller storskalig kameraövervakning på allmän plats. 3 Dataskyddsförordningen

8 Överträdelser mot den nya dataskyddsförordningen kan medföra en administrativ sanktionsavgift på upp till EUR , eller 4 % av företagets globala omsättning. Skärpta sanktioner Dataskyddsmyndigheten i den medlemsstat där företaget eller organisationen huvudsakligen är etablerad kommer att vara huvudansvarig för tillsyn under förordningen. Exempel på sanktioner är skriftlig varning, återkommande tillsyn av verksamheten, skadestånd samt administrativa avgifter. Den administrativa avgiften kan uppgå till EUR , eller 4 procent av företagets globala omsättning. Vad behöver du göra? Innan förordningen träder i kraft behöver företag, myndigheter och organisationer se över sin personuppgiftsbehandling. Personuppgifter behöver bli en fråga för ledningen, men det kommer också krävas att andra delar av verksamheten, såsom HR, IT och marknad, involveras och samordnas. Det är därför viktigt att ha koll på och bedöma sanktionsriskerna och utse ansvariga personer för integritetsfrågorna. Organisatoriska: Ni behöver kartlägga era befintliga processer för att identifiera var i verksamheten personuppgifter hanteras och vilka integritetsrisker som finns. Justeringar eller helt nya processer kan vara nödvändiga för att säkerställa att behandling och rapportering sker i enlighet med regulatoriska krav. Ni behöver även se över vilka avtal rörande personuppgifter som finns och om dessa behöver anpassas. Administrativa: Ni behöver dokumentera hur anställdas och privatkunders personuppgifter hanteras. Dokumentationen är också viktig för att kunna visa på vilka åtgärder ni vidtagit och hur pass väl ni uppfyller kraven. Tekniska: Ni behöver göra en kartläggning över era tekniska system och var personuppgifter lagras, hur de överförs till andra system, parter och till länder utanför EU-området. Ni behöver också se över om det finns uppgifter som lagras, samt kunna korrigera eventuella felaktigheter och radera uppgifter. Det finns all anledning att vara noggrann eftersom förslaget har en bredare definition av begreppet personuppgifter än vad som används inom industristandarder som till exempel ISO/IEC Riktlinjer för skydd av personuppgifter i publika molntjänster. Att anpassa verksamheten till den nya dataskyddsförordningen är ett omfattande arbete. Det kan ta tid att få nya rutiner och policys på plats, varför det finns all anledning att redan nu påbörja arbetet med att utvärdera och överväga behovet av anpassning till förslaget. Nedan följer ett förslag på åtgärdsplan; från kartläggning till regelbunden uppföljning när förordningen väl är på plats. Dataskyddsförordningen 4

9 1. Kartläggning Kartlägg den befintliga behandlingen av verksamhetens personuppgifter. Kartläggningen bör bland annat identifiera vilken typ av information som behandlas och för vilket syfte. För fallet att databehandlingen sköts av tredje part är det viktigt att påbörja en dialog med leverantören om eventuella justeringar. 2. Riskanalys För att anpassa verksamheten till den nya förordningen krävs en åtgärdsplanen. De olika stegen är kartläggning, riskanalys, tekniska & organisatoriska åtgärder, implementering och uppföljning. Analysera riskerna med behandlingen av enskilda individers personuppgifter. Titta särskilt på hur verksamheten säkerställer kontrollen över data, om system och procedurer är anpassade för att uppfylla kraven på insyn, och hur verksamheten hanterar exempel dataförlust. 3. Tekniska & organisatoriska åtgärder Ändra befintliga system och procedurer för att minimera de risker som har identifierats, och skapa nya där det finns brister. Ta fram ändamålsenliga rutiner för att säkerställa att behandling och rapportering av till exempel dataintrång sker i enlighet med regulatoriska krav, och gör dessa spårbara för ökad kontroll. Utforma riktlinjer och policys för verksamhetens löpande behandling av personuppgifter och tydliga processer för att hålla dem uppdaterade. 4. Utse en Data Protection Officer Alla företag behöver någon som tar ansvar för frågorna som rör dataskydd. Om verksamhetens kärnverksamhet utgörs av systematisk databehandling i större skala eller som hanterar en större mängd känslig data föreligger det skyldighet att utse ett dataskyddsombud. 5. Implementering Utbilda verksamhetens anställda inom de riktlinjer och policys som tagits fram. Vilken information ska du ge till allmänheten och anställda, och hur ska du hantera incidenter, problem och klagomål? Fokusera på de grupperna i verksamheten som hanterar personuppgifter eller som har kontinuerlig kundkontakt. Öva krissituationer med verksamhetens anställda så att de känner sig bekväma med allmänhetens förfrågningar. 5 Dataskyddsförordningen

10 6. Uppföljning Uppdatera riktlinjer och policys löpande och utbilda verksamhetens anställda om viktiga förändringar i regelverket. Gör en Data Protection Impact Assessment för verksamhetens nya tjänster och produkter, och håll koll på hur verksamheten ska klara de allvarligaste regulatoriska sanktionerna och skadeståndskrav. TechLaw erbjuder allt från konsekvensbedömningar till personuppgiftspolicys, dataskyddsombud som konsulttjänst och skräddarsydda utbildningar i dataskyddsbehandling. Hur kommer du igång? Dataskyddsfrågan är komplex och det är enkelt att tappa fokus i tekniska och regulatoriska detaljer. Vi rekommenderar att varje företag, myndighet och organisation sätter upp en detaljerad projektplan med tids- och kostnadsuppskattningar för en lyckad implementering av det nya regelverket. Genom att utse en särskild arbetsgrupp som driver dataskyddsfrågan i verksamheten blir det lättare att utvärdera och överväga behovet av anpassningar till den nya dataskyddsförordningen. TechLaw hjälper såväl multinationella företag som mindre bolag med en lyckad implementering av den nya dataskyddsförordningen. Vi erbjuder konsekvensbedömningar (Data Protection Impact Assessments), personuppgiftspolicys, dataskyddsombud som konsulttjänst och skräddarsydda utbildningar i praktisk dataskyddsbehandling. Dataskyddsförordningen 6

11 Kontakt Besök oss på eller kontakta oss för mer information. Sebastian Arnoldt Partner TechLaw Dataskyddsförordningen

12

13 Besök oss på techlaw.se för mer information och relaterade ämnen. Följ TechLaw på Facebook, Twitter och LinkedIn. TechLaw Sweden AB All rights reserved. 04/16 1 Dataskyddsförordningen