Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?
BAKGRUND Personuppgiftslagen (PuL) ersätts av Dataskyddsförordningen (General Data Protection Regulation, GDPR). Dataskyddsförordningen, som träder i kraft den 25 maj 2018, styr på vilket sätt personuppgifter får användas
DISPOSITION Tillämpningsområde när börjar PUL/GDPR gälla? Skyddet för personuppgifter. Principer för behandling av personuppgifter Berättigat ändamål för behandling av personuppgifter Registrerades rättigheter Bolagets skyldigheter Nyheter i GDPR Checklista åtgärder att vidta
TILLÄMPNINGSOMRÅDE Alla bolag etablerade i EU Vissa verksamheter undantagna/begränsade regler Gäller behandling av automatiserade/delvis automatiserade personuppgifter
VAD ÄR EN PERSONUPPGIFT? En personuppgift är: a) uppgift om b) en person Uppgift innebär all slags upplysning Som avser en identifierad eller identifierbar fysisk person Varje upplysning som avser en identifierad eller identifierbar fysisk person Namn, personnummer, födelsedatum, telefonnummer, löneuppgifter, hälsotillstånd, foton, medlemskap, värderande omdömen
KÄNSLIGA PERSONUPPGIFTER Känsliga personuppgifter har ett särskilt skydd. Personuppgifter som avslöjar : 1. ras eller etniskt ursprung 2. politiska åsikter Alternativt behandlar: 8. genetiska uppgifter 9. biometriska uppgifter 3. religiösa eller filosofiska uppfattningar 4. fackligt medlemskap eller som rör: 5. hälsa, 6. sexualliv, samt 7. sexuell läggning
PERSONUPPGIFTER SOM SKYDDAS AV PUL/GDPR Alla sorters personuppgifter skyddas men endast i vissa situationer. GDPR tillämpas på personuppgifter som helt behandlas på automatisk väg. All behandling i datorer av personuppgifter. Framför allt digital teknik. Även på personuppgifter som delvis (inte helt) behandlas på automatisk väg. PUL/GDPR tillämpas även för manuell behandling om personuppgifterna ingår i eller är avsedda att ingå i ett register. Register är En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier.
PERSONUPPGIFTER INOM FÖRETAGET I förhållande till anställda: Vid anställning Vid utbetalning av lön På webben Hantering av misskötsamhet Vid kontakter med myndigheter; t ex Skatteverket eller Migrationsverket.
BEHANDLING AV PERSONUPPGIFTER PUL/GDPR tillämpas alltså för personuppgifter som helt eller delvis behandlas på automatisk väg alternativt manuellt om personuppgifterna är avsedda att ingå i ett register. PUL/GDPR reglerar hur sådana personuppgifter får behandlas. Vad innebär behandling? Ingen jordisk aktivitet som inte skulle utgöra behandling i lagens mening Ingen missbruksregel!
SKYDDET FÖR PERSONUPPGIFTER PUL/GDPR syftar till att skydda människor mot att deras integritet kränks genom behandling av personuppgifter. Skyddet för personuppgifter uppnås genom att: 1) Behandlingen av personuppgifter måste följa vissa principer. 2) Det måste finnas laglig grund för behandlingen 3) Registrerades rättigheter. 4) Skyldigheter för den personuppgiftsansvarige.
PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER Laglighet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Den personuppgiftsansvarige ska ansvara för och kunna visa att dessa principer efterlevs (ansvarsskyldighet)
LAGLIGA GRUNDER FÖR BEHANDLING Krävs att skälen till att personuppgifter behandlas är godtagbara (lagliga) Behandlingen är nödvändig för att: Fullgöra ett avtal Fullgöra en rättslig (lagar, förordningar, myndighetsbeslut) skyldighet. Intresseavvägning Om det berättigade intresse av en behandling väger tyngre än den registrerades intresse av integritetsskydd. Samtycke
LAGLIGA GRUNDER FÖR BEHANDLING Skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. Utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
KÄNSLIGA PERSONUPPGIFTER Tillåtet att behandla känsliga personuppgifter om: 1. Uttryckligt samtycke/offentliggörande 2. Nödvändigt för att fullgöra skyldigheter och utöva rättigheter inom arbetsrätten 3. Behandlingen är nödvändig för att fastställa, utöva och försvara rättsliga anspråk
SITUATIONER Publicering på hemsidan Prestationsmätning Rekryteringssystem/ kompetensdatabaser Användning av IT-systemet Personnummer
PERSONUPPGIFTER OM PERSONER UTANFÖR FÖRETAGET Gäster/kunder Potentiella gäster/kunder Leverantörer Samarbetsparter Hemsida Evenemang
REGISTRERADES RÄTTIGHETER 1. Rätt till information (artikel 13 och 14) 2. Rätt till registerutdrag (artikel 15) 3. Rätt till rättelse (artikel 16) 4. Rätt till radering ( rätt att bli bortglömd ) (artikel 17) 5. Rätt att begära begränsning av behandling (artikel 18) 6. Rätt till dataportabilitet (artikel 20) 7. Rätt att invända mot behandling (artikel 21)
ALLMÄNNA SKYLDIGHETER FÖR DEN PERSONUPPGIFTSANSVARIGE - Skyldighet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och visa att behandling av personuppgifter behandlas i enlighet med förordningen, t.ex. genom viss policy. - Skyldighet att säkerställa inbyggt dataskydd som standard (artikel 25). - Bestämmelse om gemensamt personuppgiftsansvar (artikel 26). - Skyldighet att föra ett register över personuppgiftsbehandlingar (artikel 30).
ANMÄLAN AV PERSONUPPGIFTSINCIDENT Skyldighet att anmäla s.k. personuppgiftsincidenter till: 1. tillsynsmyndigheten utan onödigt dröjsmål och senast inom 72 timmar från det att incidenten upptäcktes, om det inte är osannolikt att incidenten innebär en integritetsrisk, och 2. den registrerade utan onödigt dröjsmål och endast när incidenten sannolikt innebär en hög risk för de registrerades integritet (om inte nödvändiga åtgärder vidtagits eller det skulle innebära en oproportionerlig insats). Personuppgiftsbiträden ska anmäla incidenter utan onödigt dröjsmål till den personuppgiftsansvarige.
ADMINISTRATIVA SANKTIONSAVGIFTER Administrativa sanktionsavgifter vid överträdelser kan uppgå till: 10 20 miljoner EUR; eller om det rör sig om ett företag 2 4% av den globala årsomsättningen under förgående budgetår (beroende på vilket som är högst). Vid flera överträdelser ska det totala beloppet inte överstiga det belopp som fastställs för den allvarligaste överträdelsen.
DE VIKTIGASTE NYHETERNA Högre krav på samtyckets utformning Missbruksregeln borttagen Tydligare krav på att informera Inbyggt dataskydd och dataskydd som standard Krav på att rapportera om dataintrång Införande av dataskyddsombud Krav på möjlighet till dataportabilitet Möjlighet att använda sig av uppförandekoder Utökade möjligheter att agera för Datainspektionen Införande av avskräckande sanktionsavgifter
CHECKLISTA 1. Utse någon som ansvarar för dataskyddsfrågorna för verksamheten. 2. Kartlägg vilka personuppgifter och varför ni behandlar personuppgifter. 3. Gör en bedömning avseende de lagliga grunder för behandling som ni förlitar er på. 4. Hur ska registrerades rättigheter hanteras?
FORTS. CHECKLISTA 5. Vilken information lämnar ni om er personuppgiftsbehandling? Se över och uppdatera informationstexter. 6. Inför rutin för att hantera personuppgiftsincidenter. 7. Utbilda personalen. 8. Se över och uppdatera personuppgiftsbiträdesavtal.
FÖR MER INFORMATION Datainspektionens hemsida, www.datainspektionen.se Visitas hemsida http://www.visita.se/dataskydd Svenskt Näringslivs handbok Företagen och dataskyddsförordningen
FRÅGOR? KONTAKTA OSS Carola Ekblad c.ekblad@visita.se 08-762 74 00 Niklas Berthelson n.berthelson@visita.se 08-762 74 00