GDPR- Vad har hänt och hur ser tillämpningen ut?

Relevanta dokument
GDPR- Vad har hänt och hur ser tillämpningen ut?

Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen

GDPR- Seminarium 2017

Dataskyddsförordningen

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

Förteckning enligt artikel 35.4 i Dataskyddsförordningen

Dataskyddsförordningen

Riktlinjer för att tillvarata enskildas rättigheter

Instruktion för att tillvarata enskildas rättigheter

För att tillvarata medlemmarnas enskildas rättigheter

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Dataskyddsförordningen

PUL OCH DATASKYDDSFÖRORDNINGEN

Personuppgiftsbehandling Dataskydd

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

EU:s dataskyddsförordning

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Dataskyddsförordningen för prefekter och administrativa chefer

När är det inte möjligt att utöva sin rätt till radering/att bli bortglömd?

Så här behandlar V-Dala överförmyndarsamverkan dina personuppgifter

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

GDPR. Ulrika Harnesk 17 oktober 2018

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

EU:s dataskyddsförordning

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Välkomna till kurs i den nya dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

GDPR definition och hur utbildningen berör(t)s av förordningen

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen och kvalitetsregister

Vården och reglerna om dataskydd

Så här behandlar Hedemora Näringsliv AB dina personuppgifter

Koncernkontoret Enheten för juridik

Personuppgiftspolicy Signera Rekrytering AB

RYDS GLAS INTEGRITETSPOLICY VI VÄRNAR OM DIN PERSONLIGA INTEGRITET

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

GDPR. Dataskyddsförordningen

Dataskyddsförordningen

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Svensk författningssamling

Dataskyddsförordningen GDPR

Dataskyddsförordningen GDPR - General Data Protection Regulation

Kerstin Wardman, 25 april 2018

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

1(13) Riktlinjer för hantering av personuppgifter enligt dataskyddslagstiftningen (GDPR) Styrdokument

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Svensk författningssamling

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen - GDPR

Datskyddsförordningen Gymnasieantagning

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Information om Sveriges Psykologförbunds behandling av dina personuppgifter

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

PERSONUPPGIFTER SOM BEHANDLAS

Riktlinjer för dataskydd

GDPR - Riktlinjer för hantering av personuppgifter

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Upprätthållandet av korrekta och uppdaterade uppgifter. Skicka relevant information och erbjudanden

Policy för behandling av personuppgifter

Personuppgiftsinformation för Svedala kommun

PERSONUPPGIFTSPOLICY

Lathund Dataskydd för krögare

Den nya Dataskyddsförordningen

Idrottens Uppförandekod

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Behandling av personuppgifter vid Göteborgs universitet

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

Så behandlar vi dina personuppgifter

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Välkomna Dataskyddsförordningen med fokus på den offentliga sektorn

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Hantering av personuppgifter i Borås Stad

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

IK Ymer och dess sektioner kan komma att hantera personuppgifter om medlemmar, tävlingsdeltagare och medarbetare inom följande områden

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

SVENSKA GYMNASTIKFÖRBUNDETS INTEGRITETSPOLICY

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Riktlinjer för behandling av personuppgifter

Information om behandling av personuppgifter

EU:s allmänna dataskyddsförordning:

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Disposition. Stockholm den 31 maj 2017 Lisa Johansson, Salli Fanaei, Tove Fors och Mattias Sandström

Integritets- och Personuppgiftspolicy

Transkript:

GDPR- Vad har hänt och hur ser tillämpningen ut?

Upplägg Tillsyn. Dataskyddsombud, konsekvensbedömning och granskning Rollfördelning. Vem har ansvaret? Tillåten behandling. När och hur ska samtycke användas? Rätten till information, rättning och radering 2

Dataskyddsregelverket from 25 maj 2018 EU:s dataskyddsförordningen, GDPR Kompletterande dataskyddslag, DSL, SFS 2018:218 Kompletterande dataskyddsförordning, SFS 2018:219 DIFS 2018:2, SFS Speciallagstiftning (lex specialis) 3

Spelarna Adekvansbeslut Handelsavtal Lagstiftare Media Konsumentorganisationer Kollektivavtal Myndigheter Företag Registrerade Aktivister Domstolar Avtalsvillkor B2B B2b 4 P2B

Tillsyn

Krav på dataskyddsombud, DSO Expert Anmäl till datainspektionen Inte ha arbetsuppgifter som kan leda till intressekonflikt Krav om kärnverksamhet Behandlar personuppgifter regelbundet och systematisk övervakning i stor omfattning Stor omfattning av känsliga personuppgifter Kartläggning av enskildas beteenden, sk profilering 6

Aktuellt Datainspektionen Granskning 80 verksamheter utan inrapporterad DSO 66 föranledde granskning 2 privata vårdgivare 13 fackförbund 3 kollektivtrafik 5 teleoperatör 5 försäkringsbolag 3 banker 35 myndigheter 1000 incidentrapporter Ett utlämnande efter dom 7

Forts. Aktuellt Datainspektionen Dialogseminarium It-säkerhetsbranschen Detaljhandeln Direktmarknadsföringsbolag Arbetslivet Vårdsektorn Bank Tele/telekombranschen 8

Krav på konsekvensbedömning Om behandlingen hög risk för de registrerades rättigheter Kartlägg vilka åtgärder som behövs för riskminimering Personuppgiftsansvarige ska rådfråga dataskyddsombudet Tillsynsmyndigheten har upprättat en förteckning av det slags behandlingsverksamheter som omfattas av kravet

Forts. konsekvensbedömning Överväg att göra en konsekvensbedömning om ni utvärderar eller poängsätter människor, till exempel ett företag som erbjuder genetiska tester till konsumenter för att bedöma risker för sjukdomar, ett kreditupplysningsföretag eller ett företag som profilerar internetanvändare behandlar personuppgifter i syfte att fatta automatiska beslut som har rättsliga följder eller liknande betydande följder för den registrerade systematiskt övervakar människor, till exempel genom kameraövervakning av en allmän plats eller genom att samla in personuppgifter från internetanvändning i offentliga miljöer behandlar känsliga personuppgifter eller uppgifter som är mycket personliga, till exempel ett sjukhus som lagrar patientjournaler, ett företag som samlar in lokaliseringsuppgifter eller en bank som hanterar finansiella uppgifter. behandlar personuppgifter i stor omfattning kombinerar personuppgifter från två eller flera behandlingar på ett sätt som den registrerade inte förväntar sig, till exempel när man samkör register behandlar personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, exempelvis barn, anställda, asylsökande, äldre och patienter använder ny teknik eller nya organisatoriska lösningar, till exempel en sakernas internet-applikation (Internet of things, IoT) behandlar personuppgifter på ett sätt som hindrar de registrerade från att få tillgång till en tjänst eller ingå ett avtal, till exempel när en bank granskar sina kunder mot en databas för kreditupplysning för att besluta om de ska erbjudas lån 10

När görs tillsyn? Klagomål Media Bransch granskas Särskild typ av personuppgiftsbehandling Känsliga personuppgifter Nya företeelser Områden med hög risk för missbruk 11

Var kan granskning vara intressant? Dataskyddsombudpliktig verksamhet Personuppgiftsincidenter Krav på konsekvensbedömning och förhandssamråd Kamerabevakning Profilering 12

Klagomål som leder till granskning Återkommande och systematiskt fel Allvarliga brister Generellt fel Fortsatt felbehandling Ett klagomål är en allmän handling Sekretessprövning innan utlämnande 13

Hur sker tillsyn? Inspektion: normalt inbokad tid Brevväxling Telefon 14

Vad händer? Vilken blir påföljden? Varning Reprimand (tillrättavisning) Föreläggande (beslut) att upphöra med behandlingen Sanktionsavgifter max det högsta av 200.000.000 kronor/ 4 % global koncernomsättning proportionerligt 15

Rollfördelning: vem har ansvaret?

Vilken roll har företaget? Personuppgiftsansvarig Självständiga personuppgiftsansvariga Gemensamt personuppgiftsansvarig Personuppgiftsbiträde 17

Personuppgiftsansvarig, PUA Den juridiska personen Personuppgiftsansvarig har kontrollansvar för personuppgiftsbiträdet 18

Personuppgiftbiträde, PUB Behandlar personuppgifter åt personuppgiftsansvarig Upprätta personuppgiftsbiträdesavtal Personuppgiftsbiträde står delvis för ansvaret: Registerföring Tillräckliga säkerhetsåtgärder Anlita dataskyddsombud 19

Tillåten behandling av personuppgifter

Principer Laglighet Korrekthet (uppdaterade, rättade, annars raderade) Öppenhet Endast för ändamålet Uppgiftsminimering Lagringsminimering Säkerställd integritet och konfidentialitet 21

Vad gör en behandling tillåten? Rättslig grund: Samtycke (gäller ej särskilt känsliga personuppgifter) Fullgörande av avtal med registrerad Rättslig förpliktelse (lag, kollektivavtal, beslut, se dataskyddslag 2 kap 1) Skyddande av persons intressen Allmänt intresse eller myndighetsutövning Intresseavvägning (gäller ej känsliga personuppgifter) Berättigat intresse PUA eller tredje part 22

Samtyckets utformning Giltigt från 13-års ålder Klart, tydligt Samtycke för varje syfte Samtycket får inte göras tvingande Lika lätt att samtycka som att återkalla samtycke 23

Känsliga personuppgifter Etniskt ursprung Politisk åskådning Religion Fackligt medlemskap Uppgifter om hälsa, sexualliv och sexuell läggning Genetiska uppgifter för att identifiera en person Biometriska uppgifter för att identifiera en person 24

Tillåten behandling av känsliga personuppgifter Samtycke Offentliggjorda uppgifter (av den registrerade) Hälso- och sjukvård (DSL kap 3, 5) Förebyggande hälsovård Bedömning av arbetstagares arbetskapacitet OM villkor för tystnadsplikt uppfyllda, GDPR artikel 9.3 Arkiv och statistik Arbetsrätt, social trygghet, socialt skydd (DSL kap 3, 2) 25

Arbetsrätt, DSL kap 3, 2 2 Känsliga personuppgifter får behandlas med stöd av artikel 9.2 b i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och inom områdena social trygghet och socialt skydd. Personuppgifter som behandlas med stöd av första stycket får lämnas ut till tredje part endast om det inom arbetsrätten eller inom områdena social trygghet och socialt skydd finns en skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade uttryckligen har samtyckt till utlämnandet. 26

Särskilt känsliga personuppgifter Fällande domar i brottmål och lagöverträdelser som innefattar brott får endast utföras under kontroll av myndighet Exempel: Belastningsregisterutdrag Misstanke om brott 27

Undantag särskilt känsliga personuppgifter Behandling tillåten om Rättsliga anspråk (se kompletterande dataskyddsförordning) Tillstånd eller föreskrift från Datainspektionen (DIFS 2018:2) Tillåtet i annan lag eller förordning (lex specialis) exempel: penningtvättslagen, visselblåsarlagen 28

Information och radering

Tydligare krav på att informera Kontaktuppgifter för frågor Vad informationen ska användas till Varför företaget har rätt att behandla uppgiften Hur länge informationen sparas Kontaktuppgifter till Datainspektionen 30

Information: registerutdrag Registerutdrag ska tillhandahållas kostnadsfritt, MEN Om begäran från en registrerad uppenbart ogrundad eller orimlig ta ut en rimlig avgift vägra att tillmötesgå begäran 31

Radering av uppgifter Gallring/rensning centralt Rätt till rättelse Rätt till begränsning av behandling Rätt till radering och rätt att bli bortglömd Privatpersoner kan begära radering utan onödigt dröjsmål om; Uppgifterna behövs inte längre Den registrerade återkallar sitt samtycke och annan rättslig grund saknas Profilering/ direktmarknadsföring (art 21.1 och 2) Olaglig hantering Barns uppgifter (art 8.1) 32

Forts radering av uppgifter Om uppgifterna är offentliggjorda informera andra PUA som behandlar begränsat till rimliga åtgärder för att underrätta andra PUA om raderingsförfrågan (länkar, kopior, reproduktion) beroende på tillgänglig teknik och kostnad Underrätta andra mottagare (inte om omöjligt eller oproportionell ansträngning) På begäran underrätta den registrerade om vilka som mottagit personuppgifterna 33

Forts. radering Rätt till radering gäller inte Om behandlingen är grundlagsskyddad: yttrande- och informationsfrihet Behandlingen måste ske för att uppfylla krav i annan lagstiftning/ en uppgift av allmänt intresse eller myndighetsutövning Viktigt allmänt intresse på folkhälsoområdet Arkivändamål (allmänt intresse, forskningsändamål, statistiska ändamål) Nödvändigt att behålla personuppgifter för fastställa, göra gällande eller försvara rttsliga anspråk 34

Tack! carolina.branby@svensktnaringsliv.se

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss