GDPR efter 25e maj Vad händer nu? 21 november 2018

Relevanta dokument
GDPR efter 25e maj Vad händer nu? 28 november 2018

Dataskyddsförordningen. GDPR (General Data Protection Regulation)

36. GDPR-sex månader kvar november 2017

PwC Digital Trust Introduktion till GDPR. GRC-dagarna oktober 2017

8. Vad innebär den nya dataskyddsförordningen för er? Kunskapsdagen Malmö 21 november 2017

GDPR. Dataskyddsförordningen

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

GDPR UTBILDNINGSDAG SKKF

21. Svenska kyrkan - mycket på gång!

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Dataskyddsförordningen

Riktlinjer för dataskydd

Dataskyddsförordningen GDPR - General Data Protection Regulation

Ett eller flera dataskyddsombud?

GDPR NYA DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen

Dataskyddsförordningen

GDPR. General Data Protection Regulation. dataskyddsförordningen

PwC + Ekelöw = Sant 26 maj 2016

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Information om dataskyddsförordningen

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

EU:s allmänna dataskyddsförordning:

Dataskyddsförordningen

GDPR- Seminarium 2017

GDPR Presentation Agenda

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

26. Det tuffaste styrelseuppdraget att vara ledamot i föreningar och stiftelser november 2017

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

WHITE PAPER. Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Trygga Betalningar Få kontroll över leverantörer och betalningar

GDPR General data protection regulation Dataskyddsförordningen

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Vägen mot en likvärdig skola leda och hantera till likvärdig skola november

IT-konsekvensanalys dataskyddsförordning

Från PuL till nya dataskyddsförordningen Riktlinjer för en lyckad implementering

GDPR antiklimax eller tickande bomb? Advokat Katarina Ladenfors

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Ny dataskyddsförordning En vägledning genom processen

Handlingsplan för persondataskydd

DATASKYDD (GDPR) Del 2: Förvaltningsledning

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

STOCKHOLMS FOTBOLLFÖRBUND

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

EU:s dataskyddsförordning

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Skolan och Dataskyddsförordningen

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Anna Borg och Fredrik Ljungdahl

GDPR de första månaderna. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

Sex månader med GDPR. 8 november 2018

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Dataskyddsförordningen

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

EU:s dataskyddsförordning

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Framtidens Internrevision 27 november 2018

27. Finansiell riskhantering och redovisning vad bör man tänka på? 21 november 2017

GDPR. Ulrika Harnesk 17 oktober 2018

Dataskyddsförordningen

Olingo Consulting & Advokatfirman Vinge

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

Lagkrav om hållbarhetsrapportering november 2017

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Erfarenheter efter första året av lagstadgad hållbarhetsrapportering november 2018

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Dataskyddsförordningen GDPR

10. Ekonomiska oegentligheter - att upptäcka, utreda och förebygga incidenter? Kunskapsdagen Malmö 21 november 2017

Dataskyddsförordningen och kvalitetsregister

Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen (GDPR)

Lindesbergs kommuns arbete med dataskyddsförordningen

Axholmen:s Integritetspolicy

Översikt av GDPR och förberedelser inför 25/5-2018

Sammanställning av resultatet från granskningen av dataskyddsombud i offentlig och privat sektor

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Öfn 127 Redovisning av statistik från kansliet

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Nya dataskyddsförordningen

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Vården och reglerna om dataskydd

Information till personuppgiftsansvarig om dataskyddsombud

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Transkript:

GDPR efter 25e maj Vad händer nu?

Välkommen! Agenda Inledning kort tillbakablick Avgöranden som kommit Datainspektionen Vad gör DI nu? Förvaltning av GDPR Lägg in ett foto i denna storlek Christine Axentjärn Senior Manager Stefan Schreiter Senior Manager 2

Inledning 3

Sammanfattning viktiga område för GDPR - Legalt stöd (vem äger din data) - Stöd till DPO (teknisk expertis) - Gapanalys - Ägarskap av data/informationsklassning - Teknisk analys av IT-miljö (loggning, backup, behörigheter etc) Risk- och sårbarhetsanalyser Dataskyddsombud (DPO) Överföring av data till 3e land - Awareness träning ledningsgrupper (table top) - Riskanalyser /sårbarhetsanalys/beorendeanalys - Nulägesanalys av IT-funktionalitet/IT-säkerhet. - Måste göras innan datainsamling sker (ur den registrerades perspetiv). Krav på rapportering (72 h) GDPR - Systemkunskap - Juridisk analys av konsekvens - Tekniska konsekvenser -Teknisk analys av befintlig IT-miljö - Processer för rapporteringskrav (övning och implementering) - Åtgärdsförslag / Implementering - Verktyg för Data Flow Rätt att bli glömd Rätt att begära ut all info om sig själv - Datarensning och anonymisering - Gapanalys - Teknisk analys (tekniska aspekter för rensning) - Process och test av borttagning av data - Hjälp till privacy design - Utreda IT-miljön (spårbarhet, sökbarhet i system) - Nulägesanalyser, verktygsval och implementation. - Process - Leder till dataportabilitet. 4

Sanktioner Dessutom kan drabbade resa skadeståndskrav. och för myndigheter gäller: Dataskyddsutredningens (SOU 2017:39) förslag är att sanktionsavgifter ska få tas ut även av statliga, regionala och kommunala myndigheter. För mindre allvarliga överträdelser ska avgiften uppgå till högst 5 000 000 kronor och för allvarligare överträdelser till högst 10 000 000 kronor. 5

Aktiviteter före den 25:e maj 2018 Under 2017 och 2018 har genomfört en mängd uppdrag/projekt hos kund. Ett axplock från vad kunderna främst har fokuserat på är följande delar; Skapat och implementerat ett register över behandlingar av personuppgifter (data inventory) Utsett en Data Protection Officer (DPO) Genomfört gap analyser mellan Personuppgiftslag (PuL) och Dataskyddsförordningen (GDPR) Skapat och implementerat roller och ansvarsområde/gränser (governance structure) Upprättat biträdesavtal och/eller uppdaterat tidigare avtal efter den nya lagstiftningen. Avtal mellan personuppgiftsansvarig och personuppgiftsombud behöver komma på plats Skapat och implementerat en process för samtycke från privatpersoner Framtagning och implementering av gallrings- och raderingsregler (retention rules) Skapat och implementerat en incidenthanteringsprocess (<72 tim) 6

Utanför Sverige - avgöranden som kommit Det har skett tillsynsärenden runtom i Europa, bl.a. Österrike - DSB har beslutat om sanktionsavgift på 4 800 EUR i ett ärende gällande installation av en kamera Portugal - Comissão Nacional de Protecção de Dados har förelagt ett sjukhus att betala tot. 500 000 EUR för att bl.a. ha tillgängliggjort patientuppgifter för andra än läkare. 7

Avgöranden som kommit forts. Tyskland - Tillsynsmyndigheten i Bayern och Niedersachsen har meddelat att det kommer att utföra slumpmässiga kontroller - The Facebook fanbook Avgörande från ECJ Ägaren av facebooksidan och Facebook måste informera om behandlingen Danmark - Datatilsynet har publicerat frågeformulär som används vid granskningar 8

Avgöranden som kommit forts. Storbritannien - En matvarukedja har förlorat ett mål om en incident där information om ca 100 000 anställda publicerats på nätet. - ICO har påbörjat ytterligare två granskningar om personuppgiftsincidenter British Airways och Dixions Carphone Nederländerna - Tillsynsmyndigheten har inlett granskning av registerförteckningar - Genomfört granskning om offentliga organ har dataskyddsombud Irland - DPC har påbörjat en granskning av Facebooks efterlevnad av GDPR 9

Avgöranden som kommit forts. Frankrike - CNIL har genomfört ca 12 granskningar Varningar, förbud eller böter Vid säkerhetsbrister: böter om 30-75 000 EUR Reprimand om att samtycke måste finnas vid användning av appar som använder sig av geolokalisering samt direktmarknadsföring Reprimand till försäkringsbolag som samlat in personuppgifter i samband med pensionsutbetalningar för marknadsföringsändamål 10

Hur ser det ut i Sverige? Vad har Datainspektionen (DI) gjort? #kunskapsdagar 35 000 unika besökare på hemsidan den 24/5 1 600 anmälda personuppgiftsincidenter (från 25/5 1/11) Den första svenska GDPR-granskningen - Blev klar i oktober 2018 - Granskning av ca 400 företag och myndigheter - DI undersökte om dataskyddsombud utsetts - Granskningen visade brister hos nästan ¼ av fackförbunden 11

Datainspektionen Vad har DI gjort? - Det är en väldigt viktig roll för att öka medvetenheten och regelefterlevnaden av GDPR, vilket är skälet till att vi prioriterat detta som vår första GDPR-granskning, säger Datainspektionens generaldirektör Lena Lindgren Schelin. Granskningen visar att majoriteten av de granskade organisationerna har anmält och utsett ett dataskyddsombud i tid. Vissa branscher utmärker sig dock negativt. Av de 51 fackförbund som fanns med i urvalet hade närmare 25 procent brister. - Eftersom det gått så pass kort tid efter att GDPR infördes den 25 maj, har vi stannat vid att utfärda reprimander. Men, skulle vi framöver konstatera fortsatta brister när det gäller dataskyddsombud så kan även administrativa sanktionsavgifter bli aktuella, säger Lena Lindgren Schelin. 12

Snabba repliker i media 13

Datainspektionen Vad gör DI nu? forts. Ny granskning om samtycken har inletts Projekt för att klargöra gränsdragningen mellan personuppgiftsbiträde och personuppgiftsansvarige Granskning enligt brottsdatalagen 14

Förvaltning av GDPR att tänka på vid överlämnande från GDPR projekt till förvaltning Fördela ansvaret inom organisationen Koppla till roller för att undvika personberoenden Dataskyddsombud Personer Rätt till information Rätt att bli bortglömd Rätt till dataportabilitet Rätt till rättelse Rätt till begränsning Rätt till invändningar Personuppgiftsansvarig Information och samtycke Behandlingsförteckning Risk- och konsekvensbedömningar Kravställning av säkerhetsnivå Gallrings- och raderingsrutiner Avtalshantering Anmäla personuppgiftsincidenter Personuppgiftsbiträde Register över kategorier av behandling Underrätta ansvarig vid incident Avtalshantering 15

Förvaltning av GDPR Att tänka på vid överlämning från GDPR-projekt till förvaltning Internrevision - Viktigt att kunna visa att GDPR efterlevs Kontinuerlig uppdatering av policys och rutiner Bygg en GDPR-kultur - e-learning (obligatoriska, vartannat år ex vis) - informera och kommunicera - låt exempelvis linjechefen ta ett ansvar för upprätthållande av compliance frågan - ta stöd av DPO:n 16

Vill du veta mer? Kontakta oss gärna Christine Axentjärn Christine.axentjärn@pwc.com 070 362 5246 LinkedIn: Stefan Schreiter stefan.schreiter@pwc.com 072 880 9658 Läs mer på: www.pwc.se Följ oss på 2018 PricewaterhouseCoopers i Sverige AB. All rights reserved. In this document, refers to PricewaterhouseCoopers i Sverige AB which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss