Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Transkript

1 Dataskyddsförordningen vad innebär den för myndigheten Registrator 2017 Ability Partner 11 oktober

2 Bakgrund och processen mot EU:s dataskyddsförordning Förordningen publicerades den 4 maj 2016 och ska börja tillämpas senast 20 dagar + två år från den annonserats i Europeiska unionens officiella tidning (EUT), nämligen 25 maj Nationell kompletteringslagstiftning, SOU 2017:39. 2

3 Viktiga nyheter för myndigheter i dataskyddsförordningen Kommande regelverket = förordning. Nuvarande dataskyddsdirektivet = ett direktiv. En förordning är till alla delar bindande och direkt tillämplig i alla EU:s medlemsstater. Regeln i 5 a PuL om ostrukturerad behandling finns ej i förordningen. 3

4 Viktiga nyheter, artikel 12 Artikel 12. Elektronisk tillgång till personuppgifter. PuA ska vidta lämpliga åtgärder för att tillhandahålla information i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Informationen ska tillhandahållas skriftligt, eller i någon annan form, i förekommande fall elektroniskt. Om den registrerade gör begäran i elektronisk form = i regel tillhandahållas i elektronisk form, om den registrerade inte begär något annat. Informationen får ges muntligt om den registrerade begär det och dennes identitet bevisats. 4

5 Viktiga nyheter, artikel 13 och 14 Artikel 13 och 14. Långtgående informationskrav. Informationen ska innehålla följande men behöver inte ges om den registrerade redan känner till informationen: (Finns vissa ytterligare undantag när informationen inte samlas in direkt från den registrerade). a) Identitet och kontaktuppgifter för PuA och för dennes företrädare; PuA ska, i förekommande fall, också ange kontaktuppgifter för dataskyddsombudet. b) Syftena med den behandling för vilken personuppgifterna är avsedda och den rättsliga grunden för behandlingen. c) Hur länge uppgifterna kommer att lagras. d) Om behandlingen är baserad på en intresseavvägning, PuA:s eller en tredje parts berättigade intressen. 5

6 Viktiga nyheter, artikel 13 och 14, forts. e) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna. I tillämpliga fall, att PuA avser att överföra personuppgifterna till en mottagare i ett tredjeland eller en internationell organisation. f) Förekomsten av rättigheten att av PuA begära tillgång till och rättelse eller radering av de personuppgifter eller begränsning av behandling av personuppgifter som rör den registrerade och att invända mot behandlingen av sådana personuppgifter samt rätten till uppgiftsportabilitet. g) Om behandlingen grundar sig på samtycke, rätten att dra tillbaka sitt samtycke när som helst, utan att detta påverkar lagligheten i behandling på grundval av samtycket innan detta drogs tillbaka. h) Rätten att inge klagomål till Datainspektionen. 6

7 Viktiga nyheter, artikel 13 och 14, forts. i) Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav, eller ett krav som är nödvändigt för att ingå ett avtal, samt huruvida den registrerade är skyldig att tillhandahålla uppgifterna och de möjliga följderna om sådana uppgifter inte lämnas. j) Sådan förekomst av automatiskt beslutsfattande, inbegripet profilering och information rörande skälen, samt betydelsen och de förutsedda följderna av sådan profilering av den registrerade. k) Om PuA avser att ytterligare behandla uppgifterna för ett annat syfte än det för vilket de insamlades ska PuA före denna ytterligare behandling ge den registrerade information om detta andra syfte. 7

8 Viktiga nyheter, artikel 15 Artikel 15. Registerutdrag. Den registrerade ska ha rätt att av PuA få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och om sådana personuppgifter håller på att behandlas, tillgång till uppgifterna och följande information. a) Ändamålen med behandlingen. b) De kategorier av personuppgifter som behandlingen gäller. c) De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer. d) Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. 8

9 Viktiga nyheter, artikel 15, forts. e) Förekomsten av rätten att av PuA begära rättelse eller radering av personuppgifterna eller begränsningar av behandlingen av de personuppgifter som rör den registrerade eller att invända mot behandlingen av sådana personuppgifter. f) Rätten att inge klagomål till en tillsynsmyndighet. g) Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer. h) Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade. 9

10 Viktiga nyheter, artikel 15, forts. Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 46 har vidtagits vid överföringen. PuA ska förse den registrerade med en kopia av de personuppgifter som håller på att behandlas. För eventuella ytterligare kopior som den registrerade begär får PuA ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat. Den rätt till en kopia som avses här ska inte inverka menligt på andras rättigheter och friheter. 10

11 Viktiga nyheter, artikel 17, 18, 19, 20 och 21 Artikel 17, 18 och 19. Rätt till radering m m. Registrerade personer ska i vissa situationer ges rätt att begära att information om sig själv raderas. Artikel 20. Rätt till uppgiftsportabilitet. Rätt att motta de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit PuA i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan PuA utan hinder av den PuA som tillhandahållits uppgifterna. Artikel 21. Rätt att göra invändningar. Den registrerade ska, av skäl som hänför sig till vederbörandes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter. 11

12 Viktiga aspekter, artikel 22 Artikel 22. Automatiserat individuellt beslutsfattande. Rätt att inte omfattas av ett beslut enbart grundat på automatisk behandling - ink profilering som har a) rättsliga följder för individen eller b) kännbart påverkar individen. Gäller ej om a) nödvändigt för ingåendet eller fullgörandet av ett avtal mellan den registrerade och PuA, b) tillåts enligt unionslagstiftningen alt. medlemsstats lagstiftning eller c) grundar sig på den registrerades uttryckliga samtycke. 12

13 Viktiga nyheter, artikel 25 och 32 Artikel 25. Privacy by design. Begreppet privacy by design = låta integritetsfrågor påverka systemets livscykel från förstudie och kravställning via design och utveckling till användning och avveckling. Artikel 32. Säkerhet vid personuppgiftsbehandling. För att säkerställa en lämplig säkerhetsnivå jämfört med risken med behandlingen bör bland annat följande beaktas. a) Pseudonymisering och kryptering av personuppgifter. b) Möjligheten att löpande upprätthålla konfidentialitet, integritet, tillgänglighet och motståndskraften i systemen. c) Möjligheten att snabbt återskapa tillgängligheten till personuppgifter efter incidenter. d) En process för regelbundna tester för att utvärdera effektiviteten i tekniska och organisatoriska åtgärder, allt för att säkerställa säkerheten i personuppgiftsbehandlingen. 13

14 Viktiga nyheter, artikel 33, 34, 35 och 36 Artikel Notifieringsskyldighet vid personuppgiftsincident. Vid personuppgiftsindicent= skyldighet för PuA att inom 72 timmar från man fick reda på intrånget meddela Datainspektionen. I vissa fall även informera de registrerade. Personuppgiftsincident = avsiktliga intrång + oavsiktliga incidenter där personuppgifter kan läsas av obehöriga. Artikel 35. Konsekvensanalys. Konsekvensanalys ska vidtas av PuA vid särskilda risker med behandlingen för de registrerades fri- och rättigheter. Artikel 36. Förhandssamråd. Utökad skyldighet för PuA/personuppgiftsbiträde, PuB, att samråda med Datainspektionen vid viss typ av riskfylld behandling. 14

15 Viktiga aspekter, artikel 28 Artikel 28 Personuppgiftsbiträden. PuB får inte anlita ett annat PuB utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av PuA. Om ett allmänt skriftligt tillstånd har erhållits ska PuB informera PuA om eventuella planer på att anlita nya PuB eller ersätta PuB, så att PuA har möjlighet att göra invändningar mot sådana förändringar. 15

16 Viktiga aspekter, artikel 28, forts. forts. Artikel 28 Personuppgiftsbiträden, personuppgiftsbiträdesavtal. Personuppgiftsbiträdesavtalet skall reglera följande rörande PuB:s hantering av personuppgifter: a) Att PuB endast får behandla personuppgifter på dokumenterade instruktioner från PuA. b) Att PuB säkerställer att behörighetsstyrningen är korrekt och att konfidentialitet iakttas. c) Att PuB ska vidta alla åtgärder som krävs enligt artikel 32. d) Att PuB, med tanke på behandlingens art, ska hjälpa PuA genom lämpliga tekniska och organisatoriska åtgärder så att PuA kan fullgöra sin skyldighet avseende de registrerades rättigheter i enlighet med kapitel III. e) Att PuB ska bistå PuA med skyldigheterna enligt artiklarna

17 Viktiga aspekter, artikel 28, forts. f) Att PuB, beroende på vad PuA väljer, ska radera eller återlämna alla personuppgifter till PuA efter det att uppdraget har avslutats, och radera befintliga kopior. g) Att PuB ska ge PuA tillgång till all information som krävs för att visa att de skyldigheter som fastställs i denna artikel 28 har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av PuA eller av annan som har bemyndigats av PuA. I de fall PuB anlitar ett annat PuB, underpub, för utförande av specifik behandling på PuA:s vägnar ska det underpub genom ett avtal åläggas samma skyldigheter i fråga om dataskydd som de som fastställs i avtalet mellan PuB och PuA samt ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder. Om det underpub inte fullgör sina skyldigheter i fråga om dataskydd ska PuB vara fullt ansvarig gentemot PuA för utförandet av underpub:s skyldigheter. 17

18 Konflikterna - TF/OSL och dataskyddsförordningen Artikel 85. Behandling av personuppgifter och yttrande- och informationsfriheten. Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. 70

19 Konflikterna - TF/OSL och dataskyddsförordningen, forts. Artikel 86. Behandling av personuppgifter och allmänhetens rätt att få tillgång till officiella handlingar Personuppgifter i allmänna handlingar som förvaras av en offentlig myndighet eller ett offentligt organ eller ett privat organ för utförande av en arbetsuppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionslagstiftning eller den nationella lagstiftning som den offentliga myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till officiella handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning. 72

20 Konflikterna - TF/OSL och dataskyddsförordningen, forts. Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (1998:204). (OSL 21:7) 74

21 Konflikterna - TF/OSL och dataskyddsförordningen, forts. Mecenatfallet RÅ 2002 ref Utlämning av CSN:s register över studielåntagare för direkt marknadsföring Se även Högsta förvaltningsrättens dom i mål nr Begäran att hos Skolverket få del av e-postadresser till personer som ansökt om eller har meddelats lärarlegitimation HFD 2014 ref kap 7 OSL är inte tillämplig när den personuppgiftsansvarige inte är etablerad i Sverige. Accurate Care AS begärde hos Socialstyrelsen att från myndighetens register få ut uppgifter om namn samt datum för utfärdande och upphörande av legitimation avseende samtliga legitimerade sjuksköterskor. Syftet var att använda uppgifterna för legitimationskontroll och uppdatering av en databas. 75

22 Viktiga nyheter, artikel 83 Artikel 83. Sanktioner. Sanktioner vid överträdelse av förordningen. Upp till 20 miljoner, alternativt upp till 4 procent av företagets årliga globala omsättning. Svenska regeringen skall besluta om sanktioner även skall gälla för myndigheter. För myndigheter gäller kr alternativt upp till kronor. 22

23 Kontaktuppgifter: Karl-Fredrik Björklund Mobiltelefon