EU:s nya dataskyddsförordning Lotta Wikman Öman

Transkript

1 EU:s nya dataskyddsförordning Lotta Wikman Öman

2 EU:s Dataskyddsförordning 2016/679 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG ( allmän dataskyddsförordning )

3 Allmänt om dataskyddsreformen EU-förordning som ersätter dataskyddsdirektivet Kommissionens förslag kom 2012 Mycket stora lobbyinsatser Politisk kompromiss i december 2015 Antagen den 27 april 2016 Börjar tillämpas den 25 maj 2018 Omfattande: 99 artiklar och 173 ingresspunkter

4 Dataskyddsförordningen Syften: att enskilda ska få större kontroll över sina personuppgifter att företag bara ska ha ett regelverk att förhålla sig till när de verkar inom flera EU-länder

5 Nyheter Direkt tillämplig De grundläggande dataskyddsprinciperna är väsentligen desamma som i PUL - Kodifiering av gällande rätt - Mer utförligt beskrivet - Kan ibland vara svårt att bedöma om en ändring är avsedd eller inte Vissa nya förutsättningar för behandling av personuppgifter (intresseavvägning, samtycke m.m.)

6 Nyheter (forts.) Förstärkta rättigheter för registrerade (mer information, rätten att bli glömd, dataportabilitet m.m.) Viss ökad administration (integritetsanalys, dokumentera behandling, dataskyddsombud m.m.) Direkta skyldigheter (och ansvar) för personuppgiftsbiträden Kraftiga administrativa avgifter (upp till 20 miljoner EUR eller, om högre, 4% av global årsomsättning) Samordnad tillsyn ( One stop shop, Europeiska dataskyddsstyrelsen m.m.)

7 Praktiska konsekvenser Alla organisationer påverkas på något sätt vissa mer och vissa mindre Behov av att inleda översyn, framför allt att se över förändringar av IT-system, rutiner och arbetssätt De höga sanktionerna gör det nödvändigt att lyfta frågan i organisationen

8 Definitioner (art 4) I stort sett samma definitioner Nya definitioner läggs till, t.ex.: - Profilering (p 4) - Pseudonymisering (p 5) - Personuppgiftsincident (p 12) - Genetiska och biometriska uppgifter (p 13-14)

9 Definitioner Personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet

10 Definitioner Behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring

11 Definitioner Personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter;

12 Definitioner Personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning

13 Definitioner Samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne

14 Definitioner (Samtycke forts) Definitionen i grunden densamma - Dock tillägg genom ett uttalande eller genom en entydig bekräftande handling Uttryckligt krav på att kunna visa samtycke Krav på att samtycket särskiljs Det ska vara lika lätt att återkalla ett samtycke som att lämna det DOKUMENTATION

15 Definitioner Pseudonymisering Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

16 Definitioner Personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

17 Grundläggande regler om behandling I stort sett detsamma som tidigare Uttryckligt krav på att kunna visa att behandlingsregler följs Behandlingen måste ha en rättslig grund (t.ex. avtal, samtycke, rättslig förpliktelse eller intresseavvägning) Intresseavvägning: behandlingen nödvändig för ändamål som rör den PA:s eller tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre (gäller ej myndigheter!)

18 Dokumentation av rättslig grund Viktigt att utreda och DOKUMENTERA vilket rättsligt stöd PA har för behandling av personuppgifter. PA kommer att behöva informera registrerade om den rättsliga grunden för behandlingen Mot bakgrund av de nya administrativa sanktionsavgifterna som införs, blir det extra viktigt för PA att kunna visa att dennes behandling av personuppgifter sker i enlighet med DSF/GDPR.

19 Den registrerades rättigheter Väsentligt utökade krav vilken information som ska lämnas till den registrerade, men samma grundläggande principer för när och hur Rätt till rättelse genom komplettering Right to be forgotten (under vissa förutsättningar) Rätt till begränsning av behandling Skyldighet att anmäla till tredje man vid rättelse eller radering Dataportabilitet Rätt att göra invändning mot behandling Rätt att göra invändning mot profilering och annat automatiserat beslutsfattande

20 Information till registrerade Utökade krav på vilken information som ska lämnas till registrerade. Utöver den information som måste lämnas enligt PUL ska PA också informera om 1) den rättsliga grunden för behandlingen, 2) hur länge personuppgifterna lagras och 3) möjligheten att lämna klagomål till Datainspektionen om att personuppgifter har hanterats felaktigt. Krav på att informationen ska vara kortfattad, lättbegriplig och utformad med ett enkelt och tydligt språk. Tänk på att PA ska kunna VISA vilken information som har lämnats (och att information har lämnats). DOKUMENTATION! Glöm inte att säkerställa att det är rätt person som begär ut uppgifterna. Detta kommer således PA att kräva av de system som PA kommer att använda

21 Säkerhet vid behandlingen Privacy by design = att bygga in dataskydd i sina system. Skyldighet att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna för fysiska personers fri- och rättigheter, exempel på nästa sida Certifieringsmekanism kan användas för att visa att kraven uppfylls.

22 Säkerhet (forts) Exempel på vad som bör göras: Pseudonymisering och kryptering av personuppgifter Tillse att det går att: säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid en incident Förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet Börja nu! Bygg in dataskydd i systemen och vidta organisatoriska åtgärder för att säkerställa skydd för personuppgifter.

23 Personuppgiftsansvar samt biträdets roll Delat personuppgiftsansvar skyldighet att tydliggöra roller Personuppgiftsbiträden - Underbiträden kräver skriftligt förhandstillstånd från PA. - Krav på avtalens innehåll (se längre fram) - Egna direkta skyldigheter för biträden. OBS!!! - Biträde blir ansvarig under vissa förutsättningar

24 Dokumentation av behandlingsaktiviteter Personuppgiftsansvariga och biträden ska själva föra register över behandlingarna om organisationen har fler än 250 st anställda Om färre än 250 anställda ska register föras om behandlingarna: - Sannolikt kommer att medföra risk för registrerades fri- och rättigheter, - Inte är tillfälliga, eller - omfattar känsliga personuppgifter eller uppgifter om lagöverträdelser Ersätter anmälningsskyldighet

25 Dokumentation av behandlingsaktiviteter Personuppgiftsbiträdens register ska innehålla: Namn och kontaktuppgifter för PB och PA Vilka kategorier av behandling som utförs för varje PA:s räkning Information om tredjelandsöverföring Allmän beskrivning av säkerhetsåtgärder

26 Definitioner Personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

27 Personuppgiftsincidenter Nya bestämmelser om vad PA måste göra om det sker dataintrång eller att kontrollen på annat sätt förloras över de personuppgifter som PA behandlar. Personuppgiftsbiträdet ska utan onödigt dröjsmål meddela PA att intrång har skett eller kontroll över personuppgifter förlorats.

28 Skärpta sanktioner üdatainspektionen kan ge förelägganden ungefär som idag ü Nyhet: Även personuppgiftsbiträden kan drabbas üskadestånd till registrerade ü Nyhet: Personuppgiftsbiträden får eget ansvar ünyhet: Datainspektionen får möjlighet till administrativa böter ü Max 20 miljoner eller 4 % av globala årsomsättningen

29 Personuppgiftsbiträdesavtal Ange i avtalen ü Föremålet för behandlingen, ü behandlingens varaktighet, art och ändamål, ü typen av personuppgifter och kategorier av registrerade, samt ü den registeransvariges skyldigheter och rättigheter. ü + allt övrigt som framgår av Artikel 28

30 Vad behöver göras? Sammanfattning Säkerhetsåtgärder ü üförbered för att bygga in säkerhet i systemen Vidta organisatoriska åtgärder för att säkerställa lämplig säkerhetsnivå Se över (tillsammans med PA) personuppgiftsbiträdesavtal Se över underbiträdesavtal Utse ansvariga för att rapportera personuppgiftsincidenter till PA Register över den behandling som utförs för PA:s räkning (troligen inget krav för PB men rekommenderas ändå)

31 Vad behöver göras? Sammanfattning Se över informationen till de registrerade ü Rättslig grund ü Se över inhämtande av samtycke (hur visa i efterhand?) üdataportabilitet üdokumentationsunderlag üpseudonymisering och dataminimering

32 Tack! Kontakta gärna mig med frågor mm! Lotta Wikman Öman, tel

33 Känsliga personuppgifter ras och etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening genetiska uppgifter biometriska uppgifter hälsa sexualliv eller sexuell läggning Huvudregel förbud. Undantag vid samtycke, el nödvändigt vid skyldigheter/rättigheter inom arbetsrätt, social trygghet och skydd

34 Personuppgiftsbiträdesavtal forts ü Skriftligt tillstånd från PA krävs för att anlita underbiträden. Om generellt tillstånd erhållits måste PA informeras vid plan på byte så att PA kan invända. ü Underbiträdesavtal ska tecknas som medför att underbiträdet omfattas av samma skyldigheter som PB har gentemot PA. PB fullt ansvarig gentemot PA för underbiträden.

35 Personuppgiftsbiträdesavtal forts I avtalen ska särskilt föreskrivas att PB a) endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av, och i så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt,

36 Personuppgiftsbiträdesavtal forts b) säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt, c) ska vidta alla åtgärder som krävs enligt artikel 32, (handlar om säkerhetsåtgärder) d) ska respektera de villkor som avses i punkterna 2 och 4 för anlitandet av ett annat personuppgiftsbiträde (underbiträde), e) med tanke på behandlingens art, ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med förordningen,

37 Personuppgiftsbiträdesavtal forts f) ska bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna fullgörs (krav på säkerhetsåtgärder, anmälan av och info till registrerade om incidenter, konsekvensbedömningar etc), med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå, g) beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt, och

38 Personuppgiftsbiträdesavtal forts h) ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i denna artikel har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige. Med avseende på led h i första stycket ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om han anser att en instruktion strider mot denna förordning eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser.