EU:s dataskyddsförordning

Transkript

1 EU:s dataskyddsförordning Länsstyrelsen den 8 november 2016 Elisabeth Jilderyd och Eva Maria Broberg Datainspektionen

2 Datainspektionen Datainspektionen arbetar för att säkra den enskilda individens rätt till integritet i samhället. Datainspektionen är en myndighet som genom sin tillsynsverksamhet ska bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet.

3 Personuppgift All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet T.ex.

4 Behandling av personuppgifter - exempel kund-, leverantörsregister (namn, kontaktuppgifter, fakturahantering) lönesystem (namn, adress, lön, sjukfrånvaro, närmast anhörig) kompetensdatabas (utbildning, arbetslivserfarenhet, utvecklingssamtal, omdömen, prestationsmätning, karriärmöjlighet) kameraövervakning (bild) patientjournal (namn, sjukdomshistorik, diagnos) sociala medier (i princip vilken information som helst kan förekomma)

5 Rätten till privatliv Europakonventionen om de mänskliga rättigheterna EU:s stadga om de grundläggande rättigheterna Regeringsformen Dataskyddsdirektivet/ Dataskyddsförordningen Personuppgiftslagen och registerförfattningar Annan lagstiftning

6 Behandling av personuppgifter vilka regler gäller? Idag: Personuppgiftslagen (PuL) och särskilda registerlagar (bygger på EU:s dataskyddsdirektiv 95/46) 25 maj 2018: EU:s allmänna dataskyddsförordning PuL och dataskyddsdirektivet upphävs

7 Varför nya regler? Modernisering nu gällande regler bygger på ett direktiv från 1995 Förstärkning av enskildas rättigheter och tydliggörande av skyldigheter för den som behandlar personuppgifter Harmonisering samma rättigheter och skyldigheter i hela EU/EES

8 När tillämpas förordningen? Helt eller delvis automatiserad behandling av personuppgifter som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i EU som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade utanför EU och där dessa antingen erbjuder varor och tjänster i EU eller övervakar registrerades beteende i EU Missbruksregeln försvinner!

9 Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Ansvarsskyldighet

10 Laglig grund Samtycke Behandlingen är nödvändig för avtal rättslig förpliktelse grundläggande intressen arbetsuppgift av allmänt intresse och myndighetsutövning intresseavvägning

11 Några viktiga nyheter för myndigheter Behandling med stöd av samtycke och intresseavvägning starkt begränsade möjligheter Behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse, fullgöra en rättslig förpliktelse eller som ett led i myndighetsutövning nationell lagstiftning krävs Utredningsarbete pågår

12 Registrerades rättigheter Information och registerutdrag Rättelse och radering Begränsning av behandling Dataportabilitet Invändning mot behandling Motsätta sig automatiserad behandling

13 Skyldigheter vid personuppgiftsbehandling vad är nytt? Personuppgiftslagen: - Allmänna bestämmelser i vidta lämpliga tekniska och organisatoriska åtgärder - Riktar sig till den personuppgiftsansvarige Dataskyddsförordningen: - Detaljerade bestämmelser i kap IV, artikel Riktar sig till personuppgiftsansvariga och biträden

14 Ansvarsskyldighet Den personuppgiftsansvarige ska säkerställa och kunna visa att behandlingen sker i enlighet med förordningen (t.ex. strategi för dataskydd) Effektiva åtgärder Löpande översyn Nödvändiga skyddsåtgärder ska integreras i behandlingen privacy by design and default Godkända uppförandekoder och certifieringar kan vara ett sätt att visa att förordningen följs

15 Särskilda skyldigheter Register över personuppgiftsbehandling Tekniska och organisatoriska säkerhetsåtgärder Konsekvensbedömningar avseende dataskydd Förhandssamråd Anmäla dataskyddsincidenter Utse dataskyddsombud

16 Checklista Har ni kunskap om de nya reglerna? Hur kan ni se till att beslutsfattare och nyckelpersoner i organisationen känner till de nya reglerna? Hur påverkar de nya reglerna er organisation? Vilka områden behöver ni arbeta särskilt med? Ansvarsskyldighet vad innebär det och vad krävs av er? Vilket rättsligt stöd har ni för att behandla personuppgifter? Samtycke hur inhämtas det? Frivilligt, särskilt, otvetydigt Från barn under 16 år? Annat rättsligt stöd missbruksregeln upphör, intresseavvägning begränsas för myndigheter

17 Checklista Hur pass riskfylld är er personuppgiftsbehandling? Vilka personuppgifter behandlar ni, hur samlas de in, till vem lämnas de ut? Vilken säkerhetsnivå bör ni ha? (T.ex. risk för diskriminering, id-stöld, ekonomisk förlust, sekretessbrott, känsliga uppgifter, uppgifter om barn, många registrerade och många slags uppgifter m.m.) Behöver ni göra en konsekvensbedömning? Systematiska och omfattande bedömningar av personliga aspekter Känsliga uppgifter Systematisk övervakning av allmän plats Samråd med DI?

18 Checklista Vilka skyddsåtgärder måste ni vidta? Pseudonymisering, dataminimering och kryptering Konfidentialitet, integritet, tillgänglighet och motståndskraft fortlöpande Kunna återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid en incident Förfarande för att testa, undersöka och utvärdera effektiviteten av säkerhetsåtgärderna Hur kan ni göra detta? Inbyggt dataskydd, dataskydd som standard Uppförandekoder, certifieringsmekanismer Tekniska och organisatoriska säkerhetsåtgärder utifrån risker för oavsiktlig eller olaglig förstöring, förlust eller ändring av uppgifter el obehörigt röjande, obehörig åtkomst

19 Checklista Vad ska ni göra om det inträffar en personuppgiftsincident? Anmäla incidenten till DI inom 72 timmar från upptäckten (vad har hänt, hur många och vilka registrerade berörs, vilka konsekvenser kan incidenten få ) Dokumentera vad som har hänt och gör tillgängligt för DI Behöver de registrerade informeras?

20 Checklista Hur ska ni göra för att tillgodose registrerades rätt till: Information vid insamlingen Information på begäran Att få uppgifter rättade och raderade Att flytta sina uppgifter (dataportabilitet) Att motsätta sig personuppgiftsbehandling

21 Checklista Behöver ni utse ett dataskyddsombud? Har ni verksamhet i flera EU-länder? Var finns huvudkontoret? För ett register över den personuppgiftsbehandling som ni utför?

22 Personuppgiftsbiträden Fler särskilda skyldigheter för personuppgiftsbiträden Föra ett register över den behandling som sker Skriftligt samtycke från den personuppgiftsansvarige för att anlita ett underbiträde (+ biträdesavtal) Utse dataskyddsombud Ansvar för att vidta säkerhetsåtgärder Underrätta den ansvarige om ev. personuppgiftsincident Bistå den personuppgiftsansvarige Sanktionsavgifter som för personuppgiftsansvariga

23 Vad händer om ni bryter mot reglerna? Datainspektionen Tillsyn och föreläggande Administrativa sanktionsavgifter Den registrerade Klagomål Skadestånd

24 Sanktionsavgifter DI kan utdöma sanktionsavgifter på < 10 milj. eller 2 % av global omsättning (brott mot skyldigheter ifråga om säkerhetsåtgärder, incidentanmälan, konsekvensbedömning m.m.) < 20 milj. eller 4 % av global omsättning (brott mot grundläggande principer, laglig grund, registrerades rättigheter, DI:s beslut m.m.)

25