Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Transkript

1 Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

2 Ny EU-lag för personuppgifter Nya dataskyddsförordningen ( GDPR ) Ersätter nuvarande PuL och gäller i hela EU De nya reglerna gäller från och med den 25 maj 2018 Principer för en enhetlig tolkning i hela EU Nya dataskyddsförordningen 2

3 Sanktioner Företag riskerar böter upp till det högre beloppet av EUR eller 4 % av koncernens globala omsättning Registrerade kan kräva skadestånd Även andra sanktioner, t.ex. förelägganden, varning, m.m Nya dataskyddsförordningen 3

4 Nya dataskyddsförordningen 4

5 När gäller lagen? Personuppgifter varje uppgift varigenom en fysisk person direkt eller indirekt kan identifieras Såväl B2K som B2B all data om individer Gäller allt ni gör med uppgifterna all behandling Gäller även krypterade uppgifter! Nya dataskyddsförordningen 5

6 Förordningen i korthet Principerna bygger på nuvarande lag, men också ett stort antal nyheter Krav på när personuppgifter får behandlas Ett stort antal andra regler om hur uppgifter får behandlas och krav på rutiner och processer Ska kunna visa att lagen följs Nya dataskyddsförordningen 6

7 Personuppgiftsansvarig Den som själv eller tillsammans med andra bestämmer ändamål och medel med behandlingen är personuppgiftsansvarig Ansvarar alltid självständigt för att lagen följs Ni inte ert biträde (t.ex. IT-leverantör) ansvarar för att lagen följs Nya dataskyddsförordningen 7

8 Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning Typiska biträden: IT-leverantörer, IT-support, molntjänstleverantörer Krav på skriftliga personuppgiftsbiträdesavtal samt dokumenterade instruktioner över bl.a. säkerhet Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ Nya dataskyddsförordningen 8

9 Integritetstrappan vilka regler gäller enligt lagen (exempel)? Speciella krav för känsliga uppgifter Information till registrerade (personuppgiftspolicy) Säkerhet, rutiner för dataportabilitet, etc. Avtal, dokumentation, rutiner, m.m. Förbud att flytta uppgifter utanför EU Är behandlingen laglig? Grundläggande principer att följa, t.ex. gallring, tid Nya dataskyddsförordningen 9

10 Grundläggande principer (exempel) Uppgiftsminimering Inte hantera fler uppgifter än som krävs för ändamålet Lagringsminimering Uppgifter får inte sparas länge tid än nödvändigt Integritet och konfidentialitet Nya dataskyddsförordningen 10

11 När är behandling tillåten? Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras Nödvändigt fullgöra rättslig förpliktelse Skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person En arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning Intresseavvägning Samtycke Nya dataskyddsförordningen 11

12 Åtgärder Laglighetsbedömning Inventera alla era behandlingar Identifiera laglig grund - ändamål Säkerställ att de grundläggande rutinerna följs, t.ex.: Inte fler uppgifter än nödvändigt Gallringsrutiner Rutiner för integritet och sekretess, t.ex. behörighetsstyrning Nya dataskyddsförordningen 12

13 Registrerades rättigheter Krav på att självmant ge information policy Information ska ges efter begäran registerutdrag Rätt för registrerade att kräva rättelse, begränsning eller radering Rätten att bli bortglömd Hur säkerställer ni att detta kan ske i praktiken? IT-mässigt Rutiner Åtgärd: Uppdatera integritetspolicy samt se över IT-system och rutiner Nya dataskyddsförordningen 13

14 Särskilt om säkerhetskraven i GDPR 14

15 Utökade säkerhetskrav Ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken Åtgärderna ska vidtas med beaktande av Den senaste utvecklingen Genomförandekostnaderna Behandlingens art, omfattning och ändamål Riskerna Nya dataskyddsförordningen 15

16 Utökade säkerhetskrav Kan inbegripa t.ex.: Pseudonymisering och kryptering av personuppgifter Förmågan att fortlöpande säkerställa konfidentialitet och motståndskraft av de system som behandlar uppgifterna och System för att testa effektiviteten hos åtgärder som ska säkerställa behandlingens säkerhet Nya dataskyddsförordningen 16

17 Riskbaserad approach Centralt att ha riskbaserad approach Vid bedömning av lämplig säkerhetsnivå ska risk för följande särskilt beaktas: Oavsiktlig eller olaglig förstöring, förlust eller ändring Obehörigt röjande av eller obehörig åtkomst till personuppgifter = Ni måste göra bedömningen utifrån kraven på de personuppgifter ni behandlar Att följa en uppförandekod eller en standard kan användas för att visa att följer kraven Nya dataskyddsförordningen 17

18 Säkerhetskrav Tekniska åtgärder Förfarande för att kontinuerligt testa Antivirus, auktorisationskrav, behörighetsstyrning Brandväggar och krypteringsfunktioner, osv. Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott osv. Organisatoriska åtgärder Organisation och rutiner Instruktioner och Policies Åtgärder: Säkerställ att IT- och säkerhetsansvariga har kompetens och resurser för att arbeta med dataskydd. Se över era säkerhetsrutiner (såväl teknisk som organisatorisk, t.ex. NDA) Säkerhetsnivå i förhållande till risk Nya dataskyddsförordningen 18

19 Privacy by design Inbyggd integritet Säkerhets- och integritetsaspekter ska tas hänsyn till redan vid planering och utveckling av IT-system De grundläggande principerna, t.ex. undvika fritextfält, behörighet, standardinställningar för lagring, m.m. Anpassa systemen efter vilka dataskyddskrav som gäller för just ert företag och varje situation Kommissionen får fastställa förordningar om tolkningen samt tekniska standarder Åtgärder: Inför rutiner för att ställa krav vid ITupphandlingar samt utbilda eventuella arkitekter Nya dataskyddsförordningen 19

20 Privacy by design exempel Behörighet Uppgiftsminimering Anonymisera om möjligt, undvik peka ut individer Begränsa åtkomsten till uppgifterna Hög säkerhet Möjligheter till kryptering, säkerhetskopiering och loggar, säker utplåning Funktioner för autentisering Enkel möjlighet till gallring, automatisk och enkel radering av uppgifter som inte behövs Möjliggöra utelämnande av information till registrerade Minimera fritextfält Nya dataskyddsförordningen 20

21 Privacy by default Integritet som standard Ska vidta lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Skyldigheten avser: Mängden insamlade uppgifter Behandlingens omfattning Lagringstid Tillgänglighet Nya dataskyddsförordningen 21

22 Informationskrav vid personuppgiftsincident Informera om personuppgiftsincident utan oskäligt dröjsmål Informera tillsynsmyndigheten Som huvudregel: Inom 72 timmar efter vetskap om intrånget I vissa fall även informera varje registrerad individ Biträden ska underrätta ansvarig utan onödigt dröjsmål efter vetskap om incident Nya dataskyddsförordningen 22

23 Era IT-system Vilka system har ni? Hur uppfyller ni kraven i era egna system? Vilka leverantörer behöver ni kravställa mot? Hur kan vi uppfylla de grundläggande kraven i våra system? Nya dataskyddsförordningen 23

24 Hur hanterar ni säkerhetskrav? Vem ansvarar? Vilken kompetens har ni internt? Rutiner för personuppgiftsincident? Vad kan göras för att undvika incidenter? Nya dataskyddsförordningen 24

25 Hur kan ni uppfylla de grundläggande kriterierna? Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet åtkomstkontroll De registrerades rättigheter Rätt bli raderad Rätt få registerutdrag Rätt till rättelse Nya dataskyddsförordningen 25

26 Exempel på andra regler

27 Dataportabilitet underlätta att flytta uppgifter mellan olika leverantörer Individer ska lättare kunna få ut och överföra uppgifter från en personuppgiftsansvarig till en annan (från ett företag till ett annat) Gäller när grunden för behandlingen är samtycke eller avtal och behandlingen sker automatiserat Den ansvarige ska tillhandahålla uppgifterna i i ett strukturerat, allmänt använt och maskinläsbart format Åtgärd: Kommer ni rent praktiskt sannolikt träffas av denna skyldighet? Hur säkerställer vi i sådant fall rutiner? Nya dataskyddsförordningen 27

28 Uppförandekoder specifik tolkning av lagen? Lagen uppmuntrar utarbetandet av uppförandekoder Sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden får utarbeta uppförandekoder som ges in till tillsynsmyndigheten Åtgärd: Överväg om ni bör arbeta för en uppförandekod i er bransch Nya dataskyddsförordningen 28

29 Certifiering Förordningen ger möjlighet till certifiering - att personuppgiftsbehandling är i enlighet med förordningen För detta krävs ackrediterat certifieringsorgan (finns ej idag) Dataskyddsstyrelsen ska samla alla certifieringsmekanismer i ett offentligt register Idag finns alltså ingen möjlighet till certifiering Nya dataskyddsförordningen 29

30 Konsekvenser och hur ska vi arbeta med lagen?

31 Konsekvenser av lagen Dataskydd blir en (lednings)fråga Viktigare att följa lagen Integritetsfrågorna får mer uppmärksamhet och kräver resurser, organisation och budget Ökat fokus på förebyggande åtgärder och dokumentation System och databaser kan bli olagliga Nya dataskyddsförordningen 31

32 Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policyer Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policyer för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder - rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv Nya dataskyddsförordningen 32

33 Hur kan vi förbereda oss? Budgetera och planera, skapa medvetenhet internt om de nya reglerna och undersök nuvarande status Efterlevnadsprojekt Säkerställ laglig behandling Fördela ansvar och sätt organisation Juridiska dokument, avtal och policys IT-åtgärder, inklusive IT-säkerhet Organisatoriska åtgärder Utbilda din organisation om privacy by design Tillämpa krav på dataskydd och integritet i ITupphandlingar Uppdatera personuppgiftsbiträdesavtal och ITpolicies New General Data Protection Regulation 33

34 Tips för ett lyckat efterlevnadsprojekt Ha en intern projektledare och ev. även en inhyrd Lägg mycket tid i början på att identifiera rätt personer som ska delta Lägg stor vikt vid planeringsstadiet Diskutera ambitionsnivå av compliance riskapproach Börja nu! Nya dataskyddsförordningen 34

35 Nulägesanalys ( Gap analysis ) Identifiera behandlingar och system Laglig grund för behandlingen Identifiera tredjeparter Mappa vilka legala enheter i koncernen som är personuppgiftsansvariga och biträden Vilka juridiska dokument, rutiner och samtycken finns idag? Identifiera brister och områden att hantera inför att förordningen träder i kraft Nya dataskyddsförordningen 35

36 Efterlevnadsprojekt Hur säkerställa ett effektivt efterlevnadssystem ( Data Protection Management System )? Säkerställ att behandlingen är laglig Sätt ansvar och organisation Uppdatera juridiska dokument, avtal, samtycken och policyer IT- och säkerhetsåtgärder Organisatoriska åtgärder och rutiner accountability Nya dataskyddsförordningen 36

37 Sätt ansvar och organisation Behöver vi ett dataskyddsombud? Vem är annars högst ansvarig? Olika kompetens informationssäkerhet, projektledning och juridik Vad är en lämplig organisering för er? Lands eller bolagsvis: Lokala kontaktpersoner Områdesvis: HR/Kunddata/Leverantörsdata/Marknad/Kundklubb Ansvar över olika system/behandlingar Rapportordningar och arbetsbeskrivningar Övervakning av efterlevnad (internt/externt) Nya dataskyddsförordningen 37

38 Juridisk dokumentation/policyer (exempel) Personuppgiftsbiträdesavtal och ev. underbiträdesavtal Information till registrerade (personuppgiftspolicy) Samtyckestexter Mall och rutiner för konsekvensbedömning Ev. dokumentation/avtal för överföring till tredje land Rutiner och dokumentation för incidenthantering Rutiner inför upphandling Interna policyer för behandlingen, lagrings- och gallringsrutiner Nya dataskyddsförordningen 38

39 IT- och säkerhetsåtgärder (exempel) Säkerhetskrav är de tillräckliga utifrån de krav som ställs i lag och med hänsyn till vilka uppgifter det rör sig om? Börja tillämpa inbyggd integritet (privacy by design) vid egen utveckling Tekniska rutiner för gallring, behörighetsstyrning, autentisering Tekniska rutiner för att undvika personuppgiftsincidenter Nya dataskyddsförordningen 39

40 Organisatoriska åtgärder och rutiner Utbildningsrutiner (och rutiner för att övervaka att utbildning genomförts) Utelämnande av information Dokumentationsrutiner Samtycken checklistor Register över behandling Rutiner för anmälan av personuppgiftsincident Konsekvensbedömning vid ny behandling Rutiner vid upphandlingar Contract management Sekretessavtal Med mera Nya dataskyddsförordningen 40

41 Lycka till och kör hårt! Nya dataskyddsförordningen 41

42 Marielle Eide / Associate lawyer Telefon: marielle.eide@delphi.se Advokatfirman Delphi / Östra Hamngatan 29 / Göteborg / Sweden Tel: + 46 (0) / Fax: +46 (0) / delphi.se Nya dataskyddsförordningen 42

43