Dataskyddsförordningen, privat sektor Välkomna Dataskyddsförordningen med fokus på den privata sektorn. Datainspektionen 1.

Transkript

1 Välkomna Dataskyddsförordningen med fokus på den privata sektorn Stockholm den 14 mars 2017 Josefine Paulie, Malin Ricknäs, Martin Brinnen och Robin Lantz Stomilovic Disposition Rätten till privatliv och dataskyddsregleringen Personuppgiftslagen och grundläggande begrepp Dataskyddsförordningen Tillämpningsområde Grundläggande principer Laglig grund för behandling De registrerades rättigheter Skyldigheter för personuppgiftsansvariga/biträden Checklista Frågor Datainspektionen 1

2 Praktikaliteter Tider: Lunch Eftermiddagskaffe Bensträckare när det är lämpligt Faciliteter Rätten till privatliv Rätten till privatliv Europakonventionen om de mänskliga rättigheterna EU:s stadga om de grundläggande rättigheterna Dataskyddsförordningen Svenska grundlagar Svensk generell kompletteringslag Annan lagstiftning registerförfattningar Förenklad och schematisk bild Datainspektionen 2

3 EU:s rättighetsstadga Artikel 8 - Skydd av personuppgifter 1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. 2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. 3. En oberoende myndighet ska kontrollera att dessa regler efterlevs. EU:s dataskyddsreform EU:s dataskyddsreform - flera delar Allmän dataskyddsförordning ( GDPR ) Dataskyddsdirektiv för brottsbekämpande myndigheter Förordning om integritet och telekommunikation (e-privacy) Förordning om dataskyddsregler för EU:s institutioner Datainspektionen 3

4 Varför nya regler? Modernisering nu gällande regler bygger på ett direktiv från 1995 Förstärkning av enskildas rättigheter och tydliggörande av ansvar och skyldigheter för den som behandlar personuppgifter Harmonisering samma rättigheter och skyldigheter i hela EU EU:s dataskyddsförordning Förordning istället för direktiv Ett förhandlingsdokument Kompletterande lagstiftning Kompletteringslag Registerförfattningar Förslag till kompletterande lagstiftning under 2017 Artikel 29-gruppen förbereder EU-domstolens praxis får ökad betydelse Vad är (i princip) oförändrat? Strukturen och många begrepp Tillämpningsområdet Grundläggande krav Rättslig grund Känsliga personuppgifter Överföring till tredje land Datainspektionen 4

5 Missbruksregeln försvinner Behandling i ostrukturerat material till exempel vid publicering internet e-post ordbehandlingstext Kartlägg befintlig behandling som sker med stöd av missbruksregeln Identifiera bl.a. rättslig grund hur informationsskyldigheten kan uppfyllas Grundläggande begrepp Personuppgiftslagen på fem minuter Subsidiär Missbruksregeln för löpande text (5 a ) Undantag Grundläggande krav Tillåten behandling Känsliga personuppgifter m.m. Information till de registrerade Rättelse Säkerhet Tillsyn och skadestånd Datainspektionen 5

6 Personuppgifter Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade) En identifierbar person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorereller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet Artikel 4.1, skäl Känsliga personuppgifter Personuppgifter om ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening hälsa sexualliv eller sexuella läggning genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person Artikel 9.1 Personuppgiftsansvarig En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter Personuppgiftsansvaret kan i vissa fall bestämmas genom lagstiftning. Artikel 4.7 Datainspektionen 6

7 Personuppgiftsbiträde En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Artikel 4.8 Dataskyddsombud En person eller organisation Sakkunskap om dataskyddslagstiftning och förfaranden Bistår den personuppgiftsansvarige eller personuppgiftsbiträdet för att Övervaka den interna efterlevnaden av dataskyddsförordningen och andra dataskyddsbestämmelser Artikel 37-39, skäl 97 Personuppgiftsansvarig Dataskyddsombud Personuppgiftsbiträde Dataskyddsombud Den registrerade Datainspektionen 7

8 Dataskyddsförordningens tillämpningsområde När tillämpas förordningen? Helt eller delvis automatiserad behandling av personuppgifter Manuell (om register) Artikel 2, skäl 15 När tillämpas förordningen? Personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i EU Inom ramen för verksamheten Ingen betydelse om behandlingen utförs i unionen eller inte Personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade utanför EU om Erbjuder varor och tjänster i EU eller Övervakar registrerades beteende i EU Artikel 3, skäl Datainspektionen 8

9 När gäller inte förordningen? Undantag för privat behandling Uppgifter om avlidna Tryck- och yttrandefrihet Tillgången till allmänna handlingar offentlighetsprincipen Nationell säkerhet och gemensam utrikes- och säkerhetspolitik Brottsbekämpande myndigheter (nytt direktiv) Artikel 2, skäl , Artikel 85, skäl 153, Artikel 86, skäl 154 Grundläggande principer för behandlingen Principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Ansvarsskyldighet Artikel 5, skäl 39, artikel 6.4, skäl 50 Datainspektionen 9

10 Laglighet, korrekthet och öppenhet Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt så att den registrerade förstår hur dess uppgifter behandlas och varför. All information och kommunikation i samband med en personuppgiftsbehandling ska vara lättillgänglig och begriplig och ett klart och tydligt språk ska användas. Artikel 5 Ändamålsbegränsning Personuppgifter får endast behandlas för tydligt angivna ändamål och de får inte i ett senare skede behandlas för något annat oförenligt ändamål. Ramarna för behandlingen Ändamålet ska dokumenteras Oförenlighetsbedömning Artikel 5, artikel 6.4 Uppgiftsminimering Fler personuppgifter än vad som behövs för att uppfylla ändamålet får inte behandlas. Inte för att personuppgifterna kan vara bra att ha Artikel 5 Datainspektionen 10

11 Korrekthet Personuppgifterna ska vara korrekta och om möjligt uppdaterade. Skyldighet att vidta rimliga åtgärder för att uppgifter som inte behövs för ändamålet ska raderas eller rättas så fort som möjligt. Skyndsamhetskrav - viktigt med tydliga rutiner Artikel 5 Lagringsminimering Personuppgifter får inte sparas i identifierbart skick under en längre tid än vad som är nödvändigt för ändamålet med behandlingen. Inför tidsfrister för radering eller regelbunden kontroll Artikel 5 Integritet och konfidentialitet Personuppgifterna ska med lämpliga tekniska eller organisatoriska åtgärder skyddas så att de inte blir åtkomliga för obehöriga, förstörs eller skadas. Nyhet Säkerhet för personuppgifter Artikel 5 Datainspektionen 11

12 Ansvarsskyldighet Den personuppgiftsansvarige ska ansvara för och kunna visa att principerna efterlevs Tydligt ansvar Inte endast följa förordningen utan även visa att förordningen följs Hur visar man det? Artikel 5 Hur kan vi visa att vi följer förordningen? Öppenhetsprincipen Anta lämpliga strategier för dataskydd Dokumentation Uppförandekoder Certifiering Dataskyddsombud Artikel 5, 24, 30, Hur kan vi visa att vi följer förordningen (forts.) Certifiering avseende dataskydd Produkter Tjänster Uppförandekoder Kan tas fram av företrädare för olika kategorier av personuppgiftsansvariga och biträden Tidigare branschöverenskommelser Artikel Datainspektionen 12

13 Vad innebär principerna i praktiken? Identifiera rättslig grund för behandlingen Informera de som uppgifterna avser Bestäm ändamålet med behandlingen Samla endast in uppgifter som behövs för ändamålet Samla inte in fler uppgifter än nödvändigt för ändamålet Se till att uppgifterna alltid är korrekta och uppdaterade Skydda insamlade personuppgifter Radera uppgifterna när de inte längre behövs för ändamålet Se till att du kan visa att du gör rätt När får ni behandla personuppgifter? När får ni behandla personuppgifter? Samtycke Behandling är nödvändig för Avtal Rättslig förpliktelse Grundläggande intressen Arbetsuppgift av allmänt intresse och myndighetsutövning Intresseavvägning (ej för myndigheter) Datainspektionen 13

14 Samtycke Frivilligt, specifikt, informerat och otvetydigt Samtycke ska vara klart och tydligt Personuppgiftsansvarige ska Kunna visa att samtycke finns Informera om rätt att återkalla samtycke Artikel 4, skäl 32 och artikel 7, skäl Samtycke Villkorat samtycke kan i vissa fall vara ogiltigt Barns samtycke kräver i vissa fall vårdnadshavares godkännande Artikel 7-8, skäl 43 Samtycke enligt förordningen Innebär: Högre krav för samtycke Vad personuppgiftsansvariga bör göra: Kontrollera och (vid behov) förnya samtycken Var klar och tydlig samt specifik Gör samtycket separat från övriga avtalsvillkor Ge tydlig information Gör det lätt att dra tillbaka samtycket Inte ha samtycken som krav för en tjänst Bevisa samtycken Datainspektionen 14

15 När får ni behandla personuppgifter? Samtycke Behandlingen är nödvändig för Avtal Rättslig förpliktelse* Grundläggande intressen Uppgift av allmänt intresse* Myndighetsutövning* Intresseavvägning (begränsat för myndigheter) * Nationell reglering krävs och nationell anpassning tillåts Artikel 6, skäl När får ni behandla Känsliga personuppgifter? Principiellt förbud att behandla vissa kategorier av uppgifter nya kategorier Undantag möjliga såsom idag Uppgifter om lagöverträdelser? Personnummer? Artikel 9, skäl 10 och 51, Artikel 10, Artikel 87 När får ni föra över personuppgifter till tredje land? Datainspektionen 15

16 När får ni föra över personuppgifter till tredje land? En överföring kräver stöd i dataskyddsförordningen Gäller även överföring till internationella organisationer Gäller både för personuppgiftsansvariga och personuppgiftsbiträden... Artikel 45, skäl , Artikel 46, skäl , Artikel 47, skäl 110, Artikel 49, skäl 111 När får ni föra över personuppgifter till tredje land? (forts.) Överföring tillåten om stöd i kommissionsbeslut om adekvat skyddsnivå omfattas av lämpliga skyddsåtgärder undantag i särskilda situationer Artikel 45-47, 49 Överföring som omfattas av lämpliga skyddsåtgärder Utan tillstånd med godkända Binding Corporate Rules standardavtalsklausuler uppförandekoder certifieringsmekanismer Endast efter tillstånd avtalsklausuler administrativa överenskommelser mellan myndigheter Datainspektionen 16

17 Undantag i särskilda situationer Samtycke Fullgöra avtal Allmänintresse Rättsliga anspråk Skydda grundläggande intressen Register för allmänhetens information Tvingande intressen Registrerades rättigheter Registrerades rättigheter Information och registerutdrag Rättelse och radering Begränsning av behandling Dataportabilitet Invändning mot behandling Motsätta sig automatiserad behandling Personuppgiftsansvariga har en skyldighet att underlätta utövandet av rättigheterna. Artiklarna Datainspektionen 17

18 Information och registerutdrag Information en viktig del av integritetsskyddet Skyldighet att ge klar och tydlig information Får kombineras med standardiserade symboler Kortare tidsfrister Kostnadsfritt Skyldigheten att informera - mer omfattande Artikel 12, skäl Skyldighet att lämna information När personuppgifter När personuppgifter Den registrerades rätt till samlas in från den registrerade (art. 13) (art. 14) (art. samlas in från annan tillgång (registerutdrag) 15) PUA:s register över behandling (art. 30.1) Personuppgiftsansvarige Ja Ja Nej Ja Dataskyddsombudet Ja Ja Nej Ja Ändamålen Ja Ja Ja Ja Rättslig grund Ja Ja Nej Nej Kategorier av personuppgifter Nej Ja Ja Ja Intresse vid intresseavvägning Ja Ja Nej Nej Mottagarna Ja Ja Ja Ja Tredjelandsöverföring m.m. Ja Ja Ja Ja Lagringstid Ja Ja Ja Ja De registrerades rättigheter Ja Ja Ja Nej Rätten att dra tillbaka ett samtycke Ja Ja Nej Nej Rätten att lämna klagomål till DPA Ja Ja Ja Nej Uppgiftsskyldighet enligt avtal eller lag Ja Nej Nej Nej Automatiserat beslutsfattande Ja Ja Ja Nej Källa varifrån uppgifterna har hämtats Nej Ja Ja Nej Säkerhetsåtgärder Nej Nej Nej Ja OBS. Tabellen är förenklad och ej fullständig. Ytterligare skyldigheter att informera finns i andra bestämmelser. Rättelse Rätta felaktiga uppgifter Komplettera ofullständiga uppgifter Informera mottagare av uppgifterna om rättelsen Artikel 16 och 19, skäl 65 Datainspektionen 18

19 Radering rätten att bli glömd Radera personuppgifter om den registrerade Informera, i vissa fall, andra personuppgiftsansvariga och mottagare av uppgifterna Förutsättningar, bl.a. Uppgifterna behövs inte längre Återkallat samtycke Undantag, bl.a. Nödvändig för yttrande- och informationsfriheten Nödvändig för rättslig förpliktelse, allmänt intresse och myndighetsutövning eller rättsliga anspråk Artikel 17 och 19, skäl Begränsning av behandling På begäran av den registrerade Vid begäran om rättelse eller invändning Som alternativ till radering Behövs för rättsliga anspråk I vissa fall tillåtet med behandling trots begränsningen, t.ex. efter samtycke Skyldighet att underrätta Artikel 18, skäl 67 Dataportabilitet Rätt att få ut och överföra egna personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format om uppgifterna har tillhandahållits av den registrerade, behandlingen sker med stöd av samtycke eller avtal, behandlingen sker automatiserat inte påverkar andra rättigheter och friheter Artikel 20, skäl 68 Datainspektionen 19

20 Invända mot behandling Rätt att invända mot behandling som grundas på allmänt intresse, myndighetsutövning eller intresseavvägning Ny prövning utifrån den registrerades situation Behandlingen måste upphöra om inte den personuppgiftsansvarige kan visa på tvingande berättigade skäl, eller behandlingen sker för rättsliga anspråk Vid direkt marknadsföring ska behandlingen alltid upphöra Artikel 21, skäl Automatiserade beslut - profilering Rätt att inte bli föremål för beslut som grundas enbart på automatiserad behandling (inkl. profilering), vilka får rättslig eller liknande effekt Automatiserade beslut är endast tillåtna om nödvändigt för avtal stöd i lagstiftning uttryckligt samtycke Artikel 22, skäl Skyldigheter för den som behandlar personuppgifter Datainspektionen 20

21 Skyldigheter för personuppgiftsansvariga Personuppgiftsansvariga är skyldiga att se till att de registrerades rättigheter upprätthålls Den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att förordningen följs, och för att kunna visa att förordningen följs Artikel 24, 25, 28, 30 och Skyldigheter för personuppgiftsansvariga Inbyggt dataskydd och dataskydd som standard Konsekvensbedömningar och förhandssamråd Anmälan av personuppgiftsincidenter Säkerhet Register över behandlingar Inbyggt dataskydd Inbyggt dataskydd ska skydda registrerads rättigheter Påverkar systemets hela livscykel Den personuppgiftsansvarige ska före och under behandling vidta åtgärder som främjar uppfyllande av dataskyddsprinciper och integrering av nödvändiga säkerhetsåtgärder Artikel 25 skäl 78 Datainspektionen 21

22 Dataskydd som standard PUA ska minimera mängden, omfattningen, tiden och tillgängligheten för personuppgifter. Styra användaren mot ett integritetssäkert arbetssätt. Artikel 25 skäl 78 Konsekvensbedömningar och förhandssamråd Den personuppgiftsansvarige ska utreda om behandling leder till hög risk Om hög risk ska konsekvensbedömning göras I vissa fall ska en konsekvensbedömning alltid göras Om konsekvensbedömning visar hög risk åtgärda och/eller samråda med Datainspektionen Artikel 35 skäl 83 Personuppgiftsincident En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Ska anmälas till Datainspektionen om det inte är osannolikt att incidenten medför risk. Anmälan ska innehålla bl.a. incidentens art, kategorier av och antal berörda registrerade, sannolika konsekvenser, vidtagna åtgärder Artikel 4, 33, skäl Datainspektionen 22

23 Personuppgiftsincident (forts.) Om personuppgiftsincidenten sannolikt leder till hög risk ska den registrerade informeras om incidenten Informationen ska vara tydlig och klar Det krävs inte information om lämpliga åtgärder genomförts [för att minska risken], om ytterligare åtgärder [som sänker risken tillräckligt] vidtagits eller när det skulle utgöra en oproportionell ansträngning [i så fall kan allmänheten informeras istället]. Artikel 34, skäl Säkerhet Med beaktande av den senaste utvecklingen, genomförandekostnader, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter Ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa En säkerhetsnivå som är lämplig i förhållande till risken Artikel 32-34, skäl 83, 85 Register över behandlingar Namn och kontaktuppgifter Ändamålen med behandlingen Kategorier av registrerade, mottagare och personuppgifter Överföring till tredje land Om möjligt: tidsfrister och säkerhetsåtgärder Artikel 30 Datainspektionen 23

24 Skyldigheter för personuppgiftsbiträden Lämna garantier för att förordningen följs Krav på biträdesavtalet Bistå den personuppgiftsansvarige Register över behandlingar Artikel 28 och 30 Skyldigheter för personuppgiftsbiträden Eventuella underbiträden måste godkännas av den personuppgiftsansvariga Eget ansvar för säkerhet Anmälan av personuppgiftsincidenter till den personuppgiftsansvarige Utse dataskyddsombud Artikel Dataskyddsombud Datainspektionen 24

25 När ska ett dataskyddsombud utses? Skyldighet att utse ombud Myndigheter Kärnverksamhet som innebär systematisk övervakning av personer i stor skala Kärnverksamhet som innebär behandling i stor skala av integritetskänsliga personuppgifter Även personuppgiftsbiträden ska utse dataskyddsombud Inget hinder att utse dataskyddsombud även i andra fall Artikel 37, skäl 97 Dataskyddsombudets uppgifter Informera och ge råd Övervaka efterlevnaden Samarbeta med tillsynsmyndigheten Ge råd vid konsekvensbedömningar Artikel 39 Dataskyddsombudets ställning Yrkesmässiga kvalifikationer och sakkunskap om dataskydd Delta i god tid i alla frågor som rör skyddet av personuppgifter Fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt Ska inte kunna bestraffas för sitt uppdrag Ska rapportera till högsta förvaltningsnivå Tystnadsplikt Artikel 37, 38 Datainspektionen 25

26 Behandling inom EU - One stop shop Tillsyn vid behandling i flera EU-länder One-stop-shop Samarbete mellan dataskyddsmyndigheter Enhetlig tillämpning Europeiska dataskyddsstyrelsen One-stop-shop vid gränsöverskridande behandling inom EU Ansvarig tillsynsmyndighet Verksamhetsställe Tillsynsmyndighet DPA Berörda DPA Tillsynsmyndighet Berörda Berörda (klagomål) DPA DPA Ansvarig / Biträde Verksamhetsställe Klagande Klagande Klagande Datainspektionen 26

27 Gränsöverskridande behandling Behandling som sker vid flera verksamhetsställen inom EU som finns i olika medlemsstater vid ett verksamhetsställe inom EU men som i väsentlig grad påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat Artikel 4.23 Situation 1: gränsöverskridande behandling Koncern Dotterbolag Filial Kontor Klagomål Artikel 4.23 Situation 2: gränsöverskridande behandling Nättjänst Tillsynsmyndighet Tillsynsmyndighet Tillsynsmyndighet Tillsynsmyndighet Huvudkontor Tillsynsmyndighet Tillsynsmyndighet Tillsynsmyndighet Tillsynsmyndighet Tillsynsmyndighet Huvudkontor Tillsynsmyndighet Klagomål Artikel 4.23 Datainspektionen 27

28 Ansvarig tillsynsmyndighet Ansvarig tillsynsmyndighet är där det huvudsakliga verksamhetsstället finns Ansvarig tillsynsmyndighet leder det gemensamma arbetet vid eventuell tillsyn Att fastställa ansvarig tillsynsmyndighet har betydelse för Registrering av dataskyddsombud Begäran om förhandssamråd Anmälan av personuppgiftincident Artikel 56 Ansvarig tillsynsmyndighet Dotterbolag Filial Kontor Beslut om ändamål och medel för behandling Tillsynsmyndighet Tillsynsmyndighet Central förvaltning Tillsynsmyndighet Ansvarig Tillsynsmyndighet Huvudkontor Tillsynsmyndighet Klagomål Artikel 4.16 och 56 Vilken tillsynsmyndighet är ansvarig? Ansvarig tillsynsmyndighet fastställs per behandling, inte per bolag etc. Personuppgiftsansvariga Tillsynsmyndigheten i landet där personuppgiftsansvarig har sin centrala förvaltning eller sitt verksamhetsställe där beslut om ändamål och medel fattas och som har sådan befogenhet Artikel 4.16 och 56.1 Datainspektionen 28

29 Vilken tillsynsmyndighet är ansvarig? (forts.) Personuppgiftsbiträden Tillsynsmyndigheten i landet där personuppgiftsbiträde har sin centrala förvaltning eller ett verksamhetsställe där den huvudsakliga behandlingen sker Artikel 4.16 och 56.1 Undantag från one-stop-shop Behandling som sker för fullgörande av en rättslig skyldighet arbetsuppgift av allmänt intresse myndighetsutövning Lokala ärenden Ärenden som rör ett verksamhetsställe i en medlemsstat eller i väsentlig grad påverkar registrerade i endast en medlemsstat Ansvarig myndighet kan dock ta över ärendet Artikel 55.2 och 56.2 Samarbete mellan tillsynsmyndigheter Ömsesidigt bistånd Gemensamma insatser Artikel Datainspektionen 29

30 Enhetlig tillämpning Europeiska dataskyddsstyrelsen inrättas Dataskyddsstyrelsen kan fatta bindande beslut Vid oenighet mellan tillsynsmyndigheterna Om en tillsynsmyndighet inte lyfter en fråga som ska lyftas till styrelsen Om en tillsynsmyndighet inte följer styrelsens yttranden Tillsynsmyndigheter är skyldiga att fatta beslut på grundval av styrelsens beslut Artikel 65, Enhetlig tillämpning (forts) Tillsynsmyndigheternas beslut kan överklagas i nationella domstolar Nationella domstolar är bundna till beslut av dataskyddsstyrelsen kan begära förhandsavgörande av EU-domstolen Dataskyddsstyrelsens beslut kan förklaras ogiltiga av EU-domstolen Artikel 78, skäl 143 TFEU art. 263 Vad händer om ni bryter mot reglerna? Datainspektionen 30

31 Vad händer om ni bryter mot reglerna? Datainspektionens verktyg Tillsyn och föreläggande, varning, reprimand Administrativa sanktionsavgifter Den registrerades egna möjligheter Klagomål Skadestånd Artikel 58, 77, 78, 82, 83, 84 Administrativa sanktionsavgifter Kompletterar andra förelägganden Avgiften ska i det enskilda fallet vara effektiv, proportionell och avskräckande Hänsyn ska tas till ett stort antal faktorer, bl.a. Antal personuppgifter Ändamål Vidtagna åtgärder för att minska intrång Tidigare överträdelser Samarbetsvilja Artikel 83, skäl Sanktionsavgifter (forts) Högre avgiftsnivån (upp till 20 milj euro eller 4 % av globala omsättningen) Gäller för överträdelser av bl.a. De grundläggande principerna De registrerades rättigheter Överföring till tredje land Underlåtenhet att rätta sig efter förelägganden Artikel 83, skäl Datainspektionen 31

32 Sanktionsavgifter (forts) Lägre avgiftsnivån (upp till 10 milj euro eller 2 % av globala omsättningen) Gäller för överträdelser av bl.a. Inbyggt dataskydd Föra register över behandlingar Utse dataskyddsombud Vidta säkerhetsåtgärder Anmäla dataskyddsincident Artikel 83, skäl Skadestånd Materiella och immateriella skador som uppstår vid behandling i strid med förordningen och nationella bestämmelser som fyller ut förordningen Solidariskt skadeståndsansvar med regressrätt Även biträden har ett skadeståndsansvar Artikel 82, skäl Checklista Datainspektionen 32

33 Checklista Skapa medvetenhet inom organisationen Är ledningen insatt? Finns det resurser för arbetet? Utse dataskyddsombud? Inventera personuppgiftsbehandlingar Vilka kategorier av personuppgifter behandlas? Känsliga personuppgifter? Uppgifter om barn? Hur samlas uppgifterna in och till vem lämnas de ut? Upprätta ett register över personuppgiftsbehandlingar Särskilda integritetsrisker ( hög risk ) Checklista (forts) Se över vilken rättslig grund för behandlingen Missbruksregeln försvinner, alternativ? Hur inhämtas samtycke? Se över vilken information som lämnas till de registrerade Uppfyller ni informationskraven? Lättillgänglig form samt klart och tydligt språk Checklista (forts) Ta fram rutiner för de registrerades rättigheter Registerutdrag, rättelse, radering, begränsning, dataportabilitet, invändning, automatiserade beslut Verksamhet i flera länder? Vilken dataskyddsmyndighet inom EU blir ansvarig myndighet för era personuppgiftsbehandlingar? Överförs personuppgifter till tredje land? Se över säkerheten för behandlade personuppgifter Ta fram rutiner för incidentrapportering Inbyggt dataskydd och dataskydd som standard Datainspektionen 33

34 Checklista (forts) Det räcker inte bara att göra rätt utan ni ska kunna visa att ni gör rätt! Utarbeta lämpliga strategier för dataskydd Följ utvecklingen (nationell lagstiftning) Tänk på att skyddet för personuppgifter inte bara är en grundläggande rättighet utan även en fråga om de registrerades förtroende Datainspektionen 34

35 Frågor? Datainspektionen 35