GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Relevanta dokument
GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Nya Dataskyddsförordningen. Agnes Hammarstrand

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

GDPR NYA DATASKYDDSFÖRORDNINGEN

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

Ny personuppgiftsförordning Försäkringsjuridiska Föreningen. Agnes A Hammarstrand / Advokat 3 mars 2016

Nya Dataskyddsförordningen. Agnes Hammarstrand

GDPR. Dataskyddsförordningen

GDPR- Seminarium 2017

Välkomna till kurs i den nya dataskyddsförordningen

GDPR de första månaderna. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Dataskyddsförordningen

EU:s dataskyddsförordning

Dataskyddsförordningen

Dataskyddsförordningen (GDPR)

GDPR General data protection regulation Dataskyddsförordningen

Dataskyddsförordningen

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Status panik? GDPR-update! Disposition

Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

Dataskyddsförordningen

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

GDPR. General Data Protection Regulation. dataskyddsförordningen

PuL och GDPR en översiktlig genomgång

Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

Dataskyddsförordningen ( GDPR ) Agnes Hammarstrand Advokatfirman Delphi 23 mars 2018

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Riktlinjer för dataskydd

Information om dataskyddsförordningen

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

GDPR Presentation Agenda

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Kerstin Wardman, 25 april 2018

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen

Handlingsplan för persondataskydd

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Dataskyddsförordningen GDPR

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Dataskyddsförordningen ( GDPR ) Agnes Hammarstrand Advokatfirman Delphi

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Regler för behandling av personuppgifter vid Högskolan Dalarna

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Dataskyddsförordningen och kvalitetsregister

Policy för behandling av personuppgifter

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskyddsförordningen

Behandling av personuppgifter vid Göteborgs universitet

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Översikt av GDPR och förberedelser inför 25/5-2018

Koncernkontoret Enheten för juridik

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

GDPR ur verksamhetsperspektiv

GDPR och annat om personlig integritet som man bör tänka på

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

GDPR viktiga nyheter jämfört med PuL

EU:s dataskyddsförordning

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Victoria Behandlingscenter AB Integritetspolicy

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Så behandlar vi dina personuppgifter

Integritetspolicy SYFTE & BAKGRUND PERSONUPPGIFTER VI BEHANDLAR. Örebro BEHANDLING AV PERSONUPPGIFTER

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

Dataskyddsförordningen GDPR

36. GDPR-sex månader kvar november 2017

Dataskyddsförordningen

Denna policy har upprättats för Alfred Nobel Science Park AB (fortsättningsvis kallat ANSP).

PERSONUPGIFTSPOLICY. Beslutade Behandling av personuppgifter

INFORMATION OM BEHANDLING AV PERSONUPPGIFTER

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Integritet och behandling av personuppgifter. Näringslivets Regelnämnd samt Näringslivets Regelnämnd NNR AB

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Dataskyddsförordningen GDPR - General Data Protection Regulation

BESKRIVNING AV PERSONUPPGIFTSHANTERING

Transkript:

GDPR - nya dataskyddsförordningen Agnes Hammarstrand, IT-advokat och partner Advokatfirman Delphi @IT_advokaten

Juseks karriärtjänster J U S E K. S E / K A R R I Ä R A K A D E M I K E R - F Ö R B U N D E T F Ö R J U R I S T E R, E K O N O M E R, S Y S T E M V E T A R E, P E R S O N A L V E T A R E, K O M M U N I K A T Ö R E R O C H S A M H Ä L L S - V E T A R E

Mentorsprogram Välj mentor själv, eller bli mentor Granskning av CV och personligt brev LinkedIn-hjälp Granskning av din profil eller Kom-igångprogram via mail Karriärrådgivning Bollplank om din karriär eller jobbsök Karriärlunch Nätverka och få koll på andra tjänster och branscher J U S E K. S E / K A R R I Ä R

För alla medlemmar - överallt Alla karriärtjänster är kostnadsfria Alla medlemmar kan ta del av alla tjänster Alla tjänster finns över hela landet Läs mer och boka på jusek.se/karriar

GDPR - nya dataskyddsförordningen Agnes Hammarstrand, IT-advokat och partner Advokatfirman Delphi @IT_advokaten

Intro

Ny EU-förordning för personuppgifter Nya dataskyddsförordningen ( GDPR ) Direkt gällande förordning som ersätter personuppgiftslagen ( PuL ) och motsvarande lagar i hela EES Syftar bl.a. till att stärka integritetsskyddet De nya reglerna gäller från och med den 25 maj 2018 2018-02-01 GDPR 7

Förordningen i korthet Principerna bygger på nuvarande lag, men också ett stort antal nyheter Finns vissa möjligheter till avvikelser i nationell lag, men bara från vissa regler 2018-02-01 GDPR 8

EU:s jätteprojekt Digital Single Market 2018-02-01 GDPR 9

När gäller lagen? Brett tillämpningsområde: alla europeiska företag, myndigheter. Och alla företag som säljer till EU Lagen gäller alla myndigheter, företag, kommuner, föreningar och enskilda Undantag för behandling av privatpersoner av rent privat karaktär (ej publicering på internet) Gäller all behandling av personuppgifter 2018-02-01 GDPR 10

Vad är en personuppgift? Personuppgifter varje uppgift varigenom en fysisk person direkt eller indirekt kan identifieras Oavsett om B2B eller B2K Allt som går att kopplas till en individ, t.ex. Kontaktpersoner (e-post, namn, osv) Personuppgifter En adressuppgift Ett bilregistreringsnummer Data som kopplas samman med individ, t.ex. köphistorisk eller omdömen En bild: 2018-02-01 GDPR 11

Sanktioner Företag kan få böter upp till det högre beloppet av 20 000 000 euro eller 4 % av koncernens globala omsättning Ersättning till den som lidit skada Även andra sanktioner, varning, krav på att åtgärda (t.ex. radera data), m.m. 2018-02-01 GDPR 12

Tillsyn Nationell tillsynsmyndighet Datainspektionen som byter namn till Integritetsmyndigheten Europeisk dataskyddsstyrelse Består av chefen för en tillsynsmyndighet per medlemsstat och Europeiska datatillsynsmannen 2018-02-01 GDPR 13

Vem ansvarar och vad innebär ansvaret?

Personuppgiftsansvarig Den som själv eller tillsammans med andra bestämmer ändamål och medel med behandlingen Ansvarar alltid självständigt för att lagen uppfylls Ska kunna visa att lagen följs 2018-02-01 GDPR 15

Vad innebär GDPR i korthet? Ha koll - Identifiera alla behandlingar och lista dessa i en registerförteckning Inga onödiga uppgifter - Uppgifter får inte behandlas (t.ex. lagras) om ni inte har ett lagligt stöd för det. Rensa! Krav på rutiner, dokumentation och policys på plats för att följa reglerna Krav på dataskydd - informationssäkerhet 2018-02-01 GDPR 16

Personuppgiftsansvarig i praktiken Ni är ansvariga för all personuppgiftsbehandling inom ert företag Register Era kund- och prospektsregister Register med leverantörer och samarbetspartners Anställningsregister Kandidater (för anställningar) Eventuella andra registrerade, t.ex. nyhetsbrev Annan behandling t.ex. GPS-övervakning, digitala tjänster, molntjänster, appar, dokument, whistleblowingsystem, passersystem, sociala medier och hemsidan Även ostrukturerad data, t.ex. mejl och dokument 2018-02-01 GDPR 17

Ha koll på era personuppgifter! Identifiera varje behandling och lista dessa i en registerförteckning Varje behandling ska ha lagligt stöd Uppgifter får inte behandlas (t.ex. lagras) om ni inte har ett lagligt stöd för det inga onödiga uppgifter Undvik att ha personuppgifter var som helst ordning och reda 2018-02-01 GDPR 18

Integritetstrappan vilka regler gäller enligt lagen (exempel)? Speciella krav för känsliga uppgifter Information till registrerade (personuppgiftspolicy) Andra krav, t.ex. säkerhet, rutiner för dataportabilitet, etc. Avtal, dokumentation, rutiner, m.m. Förbud att flytta uppgifter utanför EU Är behandlingen laglig? Grundläggande principer att följa, t.ex. gallring, tid 2018-02-01 GDPR 19

När är behandling tillåten? Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras Nödvändigt fullgöra rättslig förpliktelse (Skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person) (En arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning) Intresseavvägning Samtycke 2018-02-01 GDPR 20

Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse Marknadsföring är berättigat intresse men vad får man egentligen göra? 2018-02-01 GDPR 21

Förslag till nya eprivacy-regler Kompletterar dataskyddsförordningen Risk för böter upp till 4 % av omsättningen Nya regler för direktmarknadsföring, cookies, metadata, m.m. Förslag: Antas senast den 25 maj 2018 (?) 2018-02-01 GDPR 22

Direktmarknadsföring via e-post B2K enligt nuvarande praxis (generellt) Ej kund Inte gjort någonting EJ OK SKICKA Samtycke OK SKICKA Kund Inte gjort någonting EJ OK SKICKA Följt Swedmas regler, bl.a. avreg. vid köp Intresseavvägningen OK SKICKA CA 1 ÅR efter köp Samtycke OK SKICKA Kundklubb/lojalitetsprogram Inte gjort någonting EJ OK SKICKA Gett information (kundklubbsvillkor), följt Swedmas regler o.s.v. OK SKICKA TILLS TVÅ ÅRS PASSIVITET* 2018-02-01 Kund ska alltid getts en möjlighet att tacka nej till marknadsföring GDPR 23

Laglighetsbedömning Vilka är ändamålen med en viss behandling? Finns laglig grund enligt förordningen? Nödvändigt p.g.a. avtal med den registrerade Laglig skyldighet att utföra behandling Intresseavvägning (praxis eller bedömning) Annars behövs samtycke! Är samtycke en rimlig och proportionell åtgärd eller ska vi låta bli att utföra behandlingen? Hur samlar vi in samtycket? 2018-02-01 GDPR 24

Skriftligt samtycke Muntligt eller skriftligt? Informerat Frivilligt - En möjlighet att inte vara med Klart och tydligt språk Kunna särskiljas från andra frågor i en begriplig och lättillgänglig form Separata samtycken för olika ändamål krävs som huvudregel Jag har läst och godkänner användarvillkoren. Jag har läst och godkänner användarvillkoren. Jag samtycker till behandling av mina personuppgifter i enlighet med Bolagets integritetspolicy. 2018-02-01 GDPR 25

Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgifterna får bara behandlas med hänsyn till vissa särskilda, uttryckligt angivna och berättigade ändamål Inte senare behandlas på sätt som oförenligt med detta ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i relation till ändamålet Lagringsminimering Uppgifter får inte sparas länge tid än nödvändigt Integritet och konfidentialitet Krav på säkerhet, inkl. skydd mot obehörig förlust, åtkomstkontroll 2018-02-01 GDPR 26

Säkerställ att ni inte behandlar de uppgifter ni inte ska ha kvar Radera uppgifter som ni inte ska ha kvar Rätta felaktiga uppgifter Säkerställ åtkomstkontroll Skapa utbildning och rutiner för att undvika att fel uppgifter hanteras Undvik känsliga uppgifter Undvik värderande omdömen eller annan kränkande info 2018-02-01 GDPR 27

Registrerades rätt till information och rättelse m.m.

Information som ska lämnas självmant Information ska lämnas självmant till alla registrerade Mer omfattande informationskrav som ska anpassas till just er går ej att använda en mall Åtgärd: Uppdatera information till t.ex.: Anställda Kandidater Kunder Nyhetsbrev Andra registrerade 2018-02-01 GDPR 29

Information på begäran (registerutdrag) och rätt att bli rättad Registrerade har rätt att begära ut information om t.ex. kategorier av uppgifter som behandlas, mottagare, period, m.m. Som huvudregel inom en månad Den registrerade har rätt att kräva att uppgifterna begränsas eller rättas Åtgärd: Se över rutinerna och säkerställ era system uppfyller kraven! 2018-02-01 GDPR 30

Rätten att bli bortglömd Minimera volymen av sparade personuppgifter Krav på att radera bara under vissa förutsättningar och endast om ingen legitim grund för fortsatt behandling finns Radera mina uppgifter NEJ Legitima grunder för att behålla uppgifterna och ej behandlats olagligt? JA RADERA BEHÅLL Åtgärd: Säkerställ att det är möjligt att bli glömd? 2018-02-01 GDPR 31

Utlämnande av uppgifter och IT-säkerhet

Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning Typiskt biträde är en molntjänstleverantörer Utökade skyldigheter enligt nya förordningen - kan bli utsatta för sanktioner 2018-02-01 GDPR 33

Krav på personuppgiftsbiträdesavtal Vilka biträden har ni? Lista! Inte längre ett standardavtal Viktigt anpassa till situationen förhandla Dokumenterade instruktioner Hur ska just ert biträde behandla uppgifterna? Svårt ha en mall Men försök skapa malldokument för olika typsituationer! Hur säkerställs bra rutiner för hur ni kan arbeta med avtal? När anlita jurist? När klara själv? Personuppgiftsbiträde Personuppgiftsansvarig Individ Personuppgiftsbiträdesavtal 2018-02-01 GDPR 34

Förbud mot överföring utanför EU Lagstiftningen ska inte kunna kringgås Om ni inte har en garanti att data endast behandlas inom EES behöver ni säkerställa att undantag gäller Tillåten överföring, t.ex. Användning av modellklausuler Binding Corporate Rules Privacy shield Åtgärder: Säkerställ att ingen överföring sker utanför EES. Alternativt: Säkerställ att överföringen sker med stöd av laglig grund 2018-02-01 GDPR 35

Säkerhetskrav Tekniska åtgärder Förfarande för att kontinuerligt testa Antivirus, auktorisationskrav, behörighetsstyrning Brandväggar och krypteringsfunktioner, osv. Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott osv. Organisatoriska åtgärder Organisation och rutiner Instruktioner och Polices Säkerhetsnivå i förhållande till risk 2018-02-01 GDPR 36

Privacy by design Inbyggd integritet Uppgiftsminimering Säkerhets- och integritetsaspekter ska tas hänsyn till redan vid planering och utveckling av IT-system Den som är personuppgiftsansvarig ska ställa kraven Åtgärder: Inför rutiner för att ställa krav vid ITupphandlingar samt utbilda eventuella arkitekter 2018-02-01 GDPR 37

Upphandling av IT-tjänster och molntjänster Så snart personuppgifter ska behandlas: Viktigt hur upphandlingen görs Privacy-krav på systemet eller tjänsten - Privacy by design Risk- och sårbarhetsanalys (teknik) Krav på personuppgiftsbiträdesavtal (och avtalet i övrigt) Krav på dokumenterade instruktioner Laglig grund om överföring till tredje land (t.ex. modellklausulerna) alt. löfte i avtal att ej överföra till tredje land Vid molntjänster och outsourcing: Extra krav för att bl.a. säkerställa att lagarna inte kringgås Svårigheter kring kontroll av underbiträden Åtgärd: Säkerställ att rutiner följs vid upphandlingar 2018-02-01 GDPR 38

Och ett antal andra nyheter.. 2018-02-01 GDPR 39

Konsekvenser och åtgärder

Konsekvenser av lagen Viktigare att följa lagen - Dataskydd blir en ledningsfråga Fler personer får kunskap ökar risken Integritetsfrågorna får mer uppmärksamhet och kräver resurser, organisation och budget System och databaser kan bli olagliga 2018-02-01 GDPR 41

Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policyer Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policyer för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder - rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv. 2018-02-01 GDPR 42

Vem ansvarar internt? Dataskyddsombud: Speciell anställd eller konsult med ansvar för personuppgiftshantering Skapa medvetenhet, övervaka efterlevnad, m.m. Måste utses av alla offentliga organ samt för företag som har kärnverksamhet som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning; eller behandling i stor omfattning består av känsliga uppgifter Vissa krav på rollen Behövs ett dataskyddsombud? Om inte: Vem ansvarar internt? 2018-02-01 GDPR 43

Hur kan vi förbereda oss? Skapa medvetande internt om de nya reglerna och den nya rollen informera och utbilda Ett projekt för att följa lagen behövs Var noga med att utse en bra projektgrupp Börja alltid i de juridiska kraven Inte i ITsystemen! En workshop om GDPR är ofta en bra start! 2018-02-01 GDPR 44

GDPR att tänka på Ledningen behöver bestämma ambitionsnivå Ni ska följa lagen inte främst 26 maj, utan på sikt Tänk till om ni köper konsulter. Betala inte för att de ska lära sig, kräv referenser Inse att: GDPR kräver olika typer av kompetens Arbetet är inte slut med projektet Det kommer kräva tid och resurser 2018-02-01 GDPR 45

Vad innebär ett GDPR-projekt? 1. Uppstart. Medvetandehet. Projektgrupp. 2. Inventering över behandlingar registerförteckningen 3. Juridisk bedömning över behandlingarna 4. Rensning av personuppgifter 5. Säkerhetsåtgärder, IT-förändringar 6. Framtagande av dokument juridik och informationssäkerhet 7. Sätt rutiner, ansvar och organisation för efterlevnad på sikt 2018-02-01 GDPR 46

Agnes Hammarstrand / Partner, Advokat Mobil: 0730-83 50 70 agnes.hammarstrand@delphi.se @IT_advokaten Advokatfirman Delphi / Östra Hamngatan 29 / 411 10 Göteborg / Sweden Telefon: + 46 (0)31 10 72 00 / Fax: +46 (0)31 13 94 69 / delphi.se 2018-02-01 GDPR 47

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss