EU:s dataskyddsförordning

Relevanta dokument
GDPR- Seminarium 2017

Välkomna till kurs i den nya dataskyddsförordningen

EU:s dataskyddsförordning

Vården och reglerna om dataskydd

Dataskyddsförordningen (GDPR)

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Disposition. Stockholm den 31 maj 2017 Lisa Johansson, Salli Fanaei, Tove Fors och Mattias Sandström

Välkomna Dataskyddsförordningen med fokus på den offentliga sektorn

Dataskyddsförordningen, privat sektor Välkomna Dataskyddsförordningen med fokus på den privata sektorn. Datainspektionen 1.

GDPR. Ulrika Harnesk 17 oktober 2018

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Dataskyddsförordningen

Dataskyddsförordningen

GDPR. Dataskyddsförordningen

EU:s allmänna dataskyddsförordning:

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Dataskyddsförordningen

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

PUL OCH DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Dataskyddsförordningen

Dataskyddsförordningen och kvalitetsregister

GDPR- Vad har hänt och hur ser tillämpningen ut?

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

GDPR NYA DATASKYDDSFÖRORDNINGEN

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen GDPR

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen

EU:s dataskyddsförordning, dataskyddslagen och myndigheters arkiv

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

GDPR. Dataskyddsförordningen 27 april Emil Lechner

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Personuppgiftsbehandling Dataskydd

Dataskyddsförordningen

Information om behandling av personuppgifter

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

GDPR Presentation Agenda

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

Dataskyddsförordningen

PuL och GDPR en översiktlig genomgång

Riktlinjer för dataskydd

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Riktlinjer för att tillvarata enskildas rättigheter

INFORMATIONSSÄKERHET OCH DATASKYDD

EU:s nya dataskyddsförordning Lotta Wikman Öman

1(13) Riktlinjer för hantering av personuppgifter enligt dataskyddslagstiftningen (GDPR) Styrdokument

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

För att tillvarata medlemmarnas enskildas rättigheter

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Instruktion för att tillvarata enskildas rättigheter

Policy för behandling av personuppgifter

Dataskyddsförordningen för prefekter och administrativa chefer

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Koncernkontoret Enheten för juridik

Välkomna till kurs i dataskyddsförordningen med fokus på informationssäkerhet

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Regler för behandling av personuppgifter vid Högskolan Dalarna

Policy GDPR för Innovatum AB, Innovatum Science Center AB, Innovatum Portfolio AB samt Innovatum Progress AB

Idrottens Uppförandekod

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

GDPR- Vad har hänt och hur ser tillämpningen ut?

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

GDPR definition och hur utbildningen berör(t)s av förordningen

Dataskyddsförordningen

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Skolan och Dataskyddsförordningen

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

GDPR - Riktlinjer för hantering av personuppgifter

Personuppgiftsinformation för Svedala kommun

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Så här behandlar V-Dala överförmyndarsamverkan dina personuppgifter

GDPR- Vad är det? Frukostmöte hösten Advokatfirman VICI

INTEGRITETSPOLICY för Webcap i Sverige AB

GDPR General data protection regulation Dataskyddsförordningen

GDPR UTBILDNINGSDAG SKKF

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Integritetspolicy Upplev Norrköping

Information till personuppgiftsansvarig om dataskyddsombud

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Svensk författningssamling

Dataskyddsförordningen, GDPR

Transkript:

EU:s dataskyddsförordning Riksarkivets konferens Näringslivets hus, Stockholm 10 oktober 2017 Elisabeth Jilderyd Datainspektionen

Dataskydd vad handlar det om? Behandling av personuppgifter personuppgiftsansvariga Rätten till privatliv Europarådets MR-konvention EU:s rättighetsstadga Regeringsformen 2 kap 6 m.m. Svenska PuL ersätts av EU:s GDPR Kompletterande bestämmelser i generell svensk lag samt registerförfattningar

EU:s rättighetsstadga artikel 8 1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. 2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. 3. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

EU:s dataskyddsförordning Börjar gälla den 25 maj 2018 Direkt tillämplig i samtliga EU:s medlemsstater Utrymme finns för kompletterande regler i nationell lag men begränsat Samarbete mellan EU:s dataskyddsmyndigheter får större betydelse Fler rättsfall med tolkning från EU-domstolen är att vänta

Varför nya regler? Modernisering nu gällande regler bygger på ett direktiv från 1995 Förstärkning av enskildas rättigheter och tydliggörande av ansvar och skyldigheter för den som behandlar personuppgifter Harmonisering samma rättigheter och skyldigheter i hela EU

Genomgång av: Rättslig grund Registrerades rättigheter Personuppgiftsansvarigas/biträdens skyldigheter Arkivfrågor

Vad är (i princip) oförändrat? Strukturen Tillämpningsområdet Grundläggande krav Rättslig grund Känsliga personuppgifter Överföring till tredje land

När tillämpas förordningen? Personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i EU Inom ramen för verksamheten Ingen betydelse om behandlingen utförs i unionen eller inte Personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade utanför EU om De erbjuder varor och tjänster i EU eller Övervakar registrerades beteende i EU. Artikel 3, skäl 22-25

När gäller inte förordningen? Undantag för privat behandling Uppgifter om avlidna Tryck- och yttrandefrihet Tillgången till allmänna handlingar offentlighetsprincipen Nationell säkerhet och gemensam utrikes- och säkerhetspolitik* Brottsbekämpande myndigheter (nytt direktiv) * Men detta omfattas av svensk kompletterande lag enligt dataskyddsutredningens förslag Artikel 2, skäl 16-21+27, Artikel 85, skäl 153, Artikel 86, skäl 154

Grundlägggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Ansvarsskyldighet Artikel 5, skäl 39, Artikel 6.4, skäl 50

När får ni behandla uppgifter? Samtycke Frivilligt, specifikt, informerat och otvetydigt Samtycke ska vara klart och tydligt Personuppgiftsansvarige ska Kunna visa att samtycke finns Informera om rätt att återkalla samtycke Artikel 4, skäl 32 och artikel 7, skäl 42-43

Artikel 7-8, skäl 43 Samtycke Villkorat samtycke kan i vissa fall vara ogiltigt Barns samtycke kräver i vissa fall vårdnadshavares godkännande Mycket begränsat utrymme för myndigheter

När får ni behandla personuppgifter? Samtycke Behandlingen är nödvändig för avtal rättslig förpliktelse* grundläggande intressen arbetsuppgift av allmänt intresse * myndighetsutövning* intresseavvägning (begränsat för myndigheter) * Kräver nationell lagstiftning Artikel 6, skäl 44-50

När får känsliga personuppgifter behandlas? Principiellt förbud Flera undantag, t.ex.: Samtycke Arbetsrättsliga skyldigheter/rättigheter Medlemsförhållande Rättsliga anspråk Hälso- och sjukvård Arkiv, statistik och forskning I många fall krävs närmare EU- eller nationell lagstiftning

Artikel 45, skäl 103-107, Artikel 46, skäl 108-109, Artikel 47, skäl 110, Artikel 49, skäl 111 När får ni föra över personuppgifter till tredje land? Överföringen har stöd i kommissionsbeslut om adekvat skyddsnivå Överföringen omfattas av lämpliga skyddsåtgärder (i vissa fall krävs tillstånd från DI) I vissa särskilda situationer

Registrerades rättigheter Information och registerutdrag Rättelse och radering Begränsning av behandling Dataportabilitet Invändning mot behandling Motsätta sig automatiserad behandling Personuppgiftsansvariga har en skyldighet att underlätta utövandet av rättigheterna Artiklarna 12-23

Artikel 24 Skyldigheter för personuppgiftsansvariga Personuppgiftsansvariga är skyldiga att se till att de registrerades rättigheter upprätthålls Den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att förordningen följs och för att kunna visa att förordningen följs Strategier för dataskydd, uppförandekoder, certifieringsmekanismer t.ex.

Artikel 25, 28, 30, 32-35 och 37 Skyldigheter för personuppgiftsansvariga, forts. Inbyggt dataskydd och dataskydd som standard Säkerhet vid behandling Anmälan av personuppgiftsincidenter Konsekvensbedömningar och förhandssamråd Register över behandlingar Utse dataskyddsombud

Artikel 4, 33-34, skäl 85-88 Personuppgiftsincidenter En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som har överförts, lagrats eller på annat sätt behandlats Ska anmälas till Datainspektionen inom 72 timmar om det inte är osannolikt att incidenten medför en risk för fysiska personers fri- och rättigheter Krav på innehåll i anmälan och dokumentation av alla incidenter Krav på information till de registrerade om hög risk

Konsekvensbedömningar Ska utföras om en behandling sannolikt bedöms leda till en hög risk för fysiska personers rättigheter Risken bedöms utifrån behandlingens art omfattning sammanhang ändamål användningen av ny teknik I tre särskilt angivna fall ska en konsekvensbedömning alltid utföras (profilering, känsliga uppgifter, kameraövervakning) Artikel 35, skäl 83, 89-95

Artikel 35, skäl 83, 89-95, Artikel 36 Konsekvensbedömning (forts.) Innehåll: Beskrivning Behovs- och proportionalitetsbedömning Beskrivning av risker för registrerades rättigheter Datainspektionen ska komma med en lista på behandlingar som kräver konsekvensbedömning Om konsekvensbedömningen visar en hög risk ska den personuppgiftsansvarige samråda med Datainspektionen före behandlingen

När ska ett dataskyddsombud utses? Skyldighet att utse om: Myndighet Kärnverksamhet som innebär Systematisk övervakning av personer i stor skala Behandling i stor skala av integritetskänsliga personuppgifter Även personuppgiftsbiträden ska utse ett dataskyddsombud Inget hinder att utse ett dataskyddsombud även i andra fall Artikel 37, skäl 97

Dataskyddsombudets uppgifter Ska minst: Informera och ge råd Övervaka efterlevnaden Samarbeta med tillsynsmyndigheten Ge råd vid konsekvensbedömningar Artikel 39

Dataskyddsombudets ställning Yrkesmässiga kvalifikationer och sakkunskap om dataskydd Delta i god tid i alla frågor som rör skyddet av personuppgifter Fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt Ska inte kunna bestraffas för sitt uppdrag Ska rapportera till högsta ledningen (förvaltningsnivå) Tystnadsplikt

Artikel 28, 30, 32 och 33 Skyldigheter för personuppgiftsbiträden Lämna garantier för att förordningen följs Krav på biträdesavtalet Bistå den personuppgiftsansvarige Register över behandling Eget ansvar för säkerhet Anmälan av personuppgiftsincidenter till den personuppgiftsansvarige Utse dataskyddsombud

Vad händer om ni bryter mot reglerna? Datainspektionens verktyg Tillsyn, föreläggande, varning och reprimand Administrativa sanktionsavgifter Den registrerades egna möjligheter Lämna in klagomål till Datainspektionen Begära skadestånd Artikel 58, 77, 78, 82, 83, 84

Sanktionsavgifter Upp till 20 milj. Euro eller 4 % av globala omsättningen) De grundläggande principerna De registrerades rättigheter Överföring till tredje land Underlåtenhet att rätta sig efter förelägganden Upp till 10 milj. Euro eller 2 % av globala omsättningen) Inbyggt dataskydd Föra register över behandlingar Utse dataskyddsombud Vidta säkerhetsåtgärder Anmäla dataskyddsincident

Klagomål till Datainspektionen Den registrerade har rätt att lämna in klagomål till Datainspektionen Datainspektionen ska behandla klagomålet och informera klaganden om processen och resultatet Den registrerade kan föra talan mot passivitet dvs. om Datainspektionen inte behandlar klagomålet eller inte informerar om vad klagomålet leder till

Dataskyddsutredningen SOU 2017:39 Ny lag med kompletterande bestämmelser DI föreslås bli tillsynsmyndighet Samtycke från barn från 13 år Genomför bestämmelserna i artikel 6 och 9 om rättslig grund Sanktionsavgifter även för myndigheter (max 20 milj kronor)

Särskilda regler kring personuppgiftsbehandling och arkivverksamhet

Personuppgifter i arkivverksamhet Arkivändamål av allmänt intresse utrymme för tolkning av EU-domstolen Artikel 5 - ändamålsprincipen: Vidarebehandling för arkivändamål ska inte anses oförenlig med ursprungliga ändamål Artikel 5 lagringsminimering: Uppgifter får lagras under längre tid för arkivändamål om åtgärder finns för att skydda registrerades rättigheter Myndigheters arkivering av egna allmänna handlingar kräver ingen ytterligare rättslig grund

Artikel 6 rättslig grund: om behandlingen är nödvändig för uppgift av allmänt intresse ska fastställas i nationell lag Arkivmyndigheternas behandling av uppgifter från annan myndighet uppgiften är fastställd i svensk arkivlagstiftning Enskilda arkiv kan också ske för allmänt intresse men måste fastställas i nationell lag Dataskyddsutredningen: regeringen och Riksarkivet får meddela bestämmelser om personuppgiftsbehandling i enskilda arkiv

Artikel 9 känsliga uppgifter: behandling som är nödvändig för arkivändamål av allmänt intresse enligt nationell rätt som bl.a. ska innehålla lämpliga skyddsåtgärder Dataskyddsutredningen: Undantagsbestämmelse som tillåter behandling som är nödvändig för att kunna följa arkivlagstiftning Regeringen eller Riksarkivet får meddela föreskrifter som tillåter enskilda arkiv att behandla känsliga uppgifter i andra fall Riksarkivet ska också kunna besluta i enskilda fall

Artikel 89 arkivändamål: Behandling av uppgifter ska omfattas av lämpliga skyddsåtgärder Undantag fr registrerades rättigheter i nationell lag om lämpliga skyddsåtgärder

Lämpliga skyddsåtgärder: Dataskyddsutredningen: bestämmelse som begränsar användningen av personuppgifter för att vidta åtgärder beträffande den registrerade Endast tillåtet om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen Ska inte hindra myndigheters användning av uppgifter i allmänna handlingar där sekretessregler anses utgöra lämpliga skyddsåtgärder I övrigt ska pua själv efterleva kraven på lämpliga skyddsåtgärder i artikel 89.1

Undantag från registrerades rättigheter - dataskyddsförordningen Artikel 14 informationsplikt: direkt undantag om omöjligt eller oproportionerligt, särskilt vid behandling för arkivändamål av allmänt intresse Artikel 17 rätten till radering: direkt undantag om behandlingen är nödvändig för arkivändamål och radering skulle försvåra eller omöjliggöra detta Artikel 86 offentlighetsprincipen: uppgifter får lämnas ut i enlighet med nationell lag

Undantag från registrerades rättigheter Dataskyddsutredningen Ändringar i arkivförordningen: Rätten till registerutdrag i vissa fall (7 a ) Rätt till rättelse i arkivmaterial som RA har (7 b ) Rätt att begära begränsad behandling (7 c ) Rätt att invända mot behandling (7 d ) Rätt till dataportabilitet ej aktuellt

Vad händer nu? Intensivt arbete hos DI och andra dataskyddsmyndigheter i EU med förberedelser Omfattande lagstiftningsarbete i Sverige flera utredningar tittar på förordningens effekter på olika områden Hantering av dataskyddsutredningens förslag Mycket stor efterfrågan från myndigheter och näringsliv ifråga om tolkning av olika bestämmelser

http://www.datainspektionen.se/dataskyddsreformen/

Frågor?

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss