När en konsekvensbedömning ska genomföras

Relevanta dokument
Dataskyddsförordningen GDPR - General Data Protection Regulation

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Ett eller flera dataskyddsombud?

Dataskyddsombud för arbetsmarknadsnämnden - arbetsmarknadsförvaltningen

Förteckning enligt artikel 35.4 i Dataskyddsförordningen

Dataskyddsförordningen

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Riktlinjer för dataskydd

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Information om dataskyddsförordningen

Allmänna Råd. Datainspektionen informerar Nr 3/2017

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Dataskyddsförordningen

INFORMATIONSSÄKERHET OCH DATASKYDD

GDPR- Seminarium 2017

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

PuL och GDPR en översiktlig genomgång

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Dataskyddsförordningen

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen för prefekter och administrativa chefer

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Dataskyddsförordningen

Riktlinjer för hantering av personuppgifter

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Information till personuppgiftsansvarig om dataskyddsombud

Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

GDPR. General Data Protection Regulation. dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

WHITE PAPER. Dataskyddsförordningen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Dataskyddsförordningen

GDPR- Vad har hänt och hur ser tillämpningen ut?

GDPR. Dataskyddsförordningen

Allmänna råd. Datainspektionen informerar. Nr 2/2016

Vården och reglerna om dataskydd

EU:s dataskyddsförordning

Dataskyddsförordningen

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

BlueStep Banks AB (publ) Integritetspolicy

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Handlingsplan för persondataskydd

Dataskyddsförordningen

Riktlinjer för hantering av personuppgifter

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Policy för behandling av personuppgifter

PERSONUPPGIFTS- BITRÄDESAVTAL

EU:s dataskyddsförordning

Riktlinjer för personuppgiftshantering

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Dataskyddsombud för miljö- och hälsoskyddsnämnden

GDPR definition och hur utbildningen berör(t)s av förordningen

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Denna policy skapades av och för organisationens behandling av personuppgifter.

Den nya Dataskyddsförordningen

IT-konsekvensanalys dataskyddsförordning

GDPR- Vad har hänt och hur ser tillämpningen ut?

Lindesbergs kommuns arbete med dataskyddsförordningen

Skolan och Dataskyddsförordningen

Behandling av personuppgifter vid Göteborgs universitet

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

GDPR NYA DATASKYDDSFÖRORDNINGEN

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Sammandrag av Konsekvensbedömning, avseende kameraövervakning i fastigheten Fältläkaren 1, Stockholm

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Lathund Dataskydd för krögare

Välkomna till kurs i den nya dataskyddsförordningen

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

GDPR General data protection regulation Dataskyddsförordningen

Regler för behandling av personuppgifter vid Högskolan Dalarna

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

När systemen inte får stanna

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

8. Vad innebär den nya dataskyddsförordningen för er? Kunskapsdagen Malmö 21 november 2017

Personuppgiftsansvarig och personuppgiftsbiträde

FÖRBEREDELSER INFÖR GDPR

Transkript:

Dataskyddsförordningen (GDPR) kommer att gälla som lag i alla EU:s medlemsländer från och med den 25 maj 2018. Förordningen kommer att ersätta personuppgiftslagen (1998:204), PuL, och vara direkt tillämplig i Sverige. Dataskyddsförordningen gäller alla som behandlar personuppgifter i sin verksamhet, oavsett om det är en statlig eller privat aktör oaktat organisationens storlek. I dataskyddsförordningen har ett nytt krav införts som innebär att personuppgiftsansvarige ska genomföra en konsekvensbedömning avseende dataskydd i de fall riskfylld personuppgiftsbehandling utförs. Allmänt Enligt artikel 24 i dataskyddsförordningen har den personuppgiftsansvarige ett grundläggande ansvar att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säker behandling av personuppgifter. I artikel 35 anges vidare att konsekvensbedömning (så kallad DPIA-analys, Data Protection Impact Assessment) för skydd av personuppgifter ska genomföras om en personuppgiftsbehandling sannolikt kan leda till en hög risk för fysiska personers rättigheter och friheter. Underlåtenhet att genomföra en konsekvensbedömning när det är obligatoriskt enligt dataskyddsförordningen kan resultera i en sanktionsavgift för den personuppgiftsansvarige.

Artikel 29-gruppen 1 rekommenderar att en konsekvensbedömning genomförs även i situationer som inte omfattas av artikel 35. När en konsekvensbedömning ska genomföras Nedan följer en enkel illustration av de grundläggande principer som gäller för när en konsekvensbedömning bör göras. Konsekvensbedömning ska genomföras när personuppgiftsbehandlingen sannolikt kan leda till hög risk för fysiska personers rättigheter och friheter : 2 I artikel 35 (3) anges ett antal exempel på när en personuppgiftsbehandling kan leda till sådan hög risk. Denna lista är emellertid inte uttömmande, utan det kan finnas ytterligare behandlingar som behöver analyseras. Artikel 29-gruppen har därför tagit fram ett antal kriterier som bör beaktas. Dessa kriterier redovisas nedan. En konsekvensbedömning kan genomföras för en enskild personuppgiftsbehandling eller omfatta en serie liknande personuppgiftsbehandlingar som medför likartade höga risker. Detta kan exempelvis vara när liknande teknik används för att samla in samma typ av data för samma 1 Se Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is likely to result in a high risk for the purposes of Regulation 2016/679, 4 april 2017 2 Artikel 35 (1) tillsammans med Artikel 35 (3) samt 35 (4)

ändamål, till exempel kan en järnvägsaktör som installerar övervakningskameror på alla tågstationer, göra en konsekvensbedömning gällande samtliga personuppgiftsbehandlingar. Enligt artikel 29-gruppen ska hänsyn tas till följande kriterier vid bedömningen av huruvida en konsekvensbedömning bör genomföras eller inte, det vill säga om personuppgiftsbehandlingen avser: Utvärdering eller bedömning av den registrerade inklusive profilering; kan exempelvis vara den registrerades arbetsprestationer, ekonomiska faktorer, hälsa, personliga preferenser eller intressen, beteendemönster och så vidare (till exempel när en bank screenar sina kunder mot en kredit-databas). Automatisk behandling på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer; till exempel när behandlingen kan leda till uteslutning eller diskriminering av en individ. (Artikel 29-gruppen har för avsikt att publicera en vägledning avseende denna punkt). Systematisk övervakning; behandling som syftar till att observera, bevaka eller kontrollera olika personobjekt. Känslig data; avser de särskilda kategorier som definieras i artikel 9 (till exempel politisk åsikt eller religion) eller uppgifter som rör lagöverträdelser. Avser även data som typiskt sett anses höja risken för individers rättigheter och friheter, till exempel ekonomiska uppgifter eller geografisk plats. Om uppgifterna gjorts offentliga av den registrerade eller en tredje part kan detta ha betydelse. Behandling i stor omfattning; stor omfattning definieras inte i dataskyddsförordningen, men viss ledning kan hämtas i skäl 91. Enligt artikel 29- gruppen ska följande beaktas vid avgörande om behandlingen ska anses vara i stor omfattning: - Antalet registrerade som omfattas av behandlingen - Volymen av data och omfattningen av dataposter som behandlas - Behandlingens tid och varaktighet - Den geografiska spridningen av behandlingen Data som matchas eller kombineras i flera datakällor; till exempel datasammansättning som ett resultat av två separata personuppgiftsbehandlingar som gjorts i olika syften och/eller av olika personuppgiftsansvariga på ett sätt som överstiger den registrerades rimliga förväntningar. Data som rör sårbara fysiska personer; detta gäller främst registrerade som på grund av sin ställning inte

anses ha samma förmåga att samtycka eller motsätta sig behandling av personuppgifter, till exempel barn, äldre, patienter. Innovativ användning eller användning av tekniska/organisatoriska lösningar; till exempel fingeravtryck och ansikts-scanning. Vägledning avseende användning av ny teknik kan hämtas i skäl 89 och 91 dataskyddsförordningen. Dataöverföring till tredje land; till exempel vid användning av vissa molntjänster. När behandlingen hindrar individer att utöva sina rättigheter alternativt använda sig av ett kontrakt eller tjänst; till exempel när en personuppgiftsbehandling utförs på allmän plats och den registrerade inte har möjlighet att undvika, eller som på något sätt begränsar tillgång till en tjänst eller ingående av avtal. En genomgång av de olika kriterierna ska genomföras för att utreda huruvida en konsekvensbedömning bör utföras eller inte. Artikel 29-gruppen anser att man som huvudregel bör göra en konsekvensbedömning när minst två av ovan nämnda kriterier är uppfyllda. Om den personuppgiftsansvarige väljer att inte genomföra en konsekvensbedömning trots att minst två kriterier uppfylls ska beslutet till detta motiveras och dokumenteras. Hur en konsekvensbedömning bör genomföras Konsekvensbedömningen ska genomföras före behandlingen av personuppgifter sker och ska uppdateras kontinuerligt för att säkerställa regeluppfyllnad. Konsekvensbedömningen är således inte en engångsföreteelse. Vid begäran ska konsekvensbedömningen kunna redovisas till Datainspektionen. Personuppgiftsansvarige ansvarar för att konsekvensbedömningen genomförs, men kan dock utse någon annan lämplig person, internt eller externt, för själva utförandet. Denna kan exempelvis utföras av dataskyddsombudet 3. Om ett dataskyddsombud har utsetts ska den personuppgiftsansvarige rådfråga denne vid genomförande av en konsekvensbedömning samt dokumentera det som sker under bedömningen. 3 För mer information om dataskyddsombudet hänvisas till PM om dataskyddsombud 170807

Det finns inget lagkrav på att konsekvensanalysen ska publiceras. Artikel 29-gruppen menar dock att det kan finnas andra skäl till varför hela eller delar av konsekvensbedömningen bör publiceras, bland annat för att agera transparent gentemot den registrerade. Datainspektionen ska informeras i följande fall: - När det föreligger en hög risk med personuppgiftsbehandlingen - När riskerna utgör sådant hot att en skada kan leda till förödande konsekvenser för den registrerade, det är tydligt att risken kan uppstå samt när skadan inte kan repareras - När den personuppgiftsansvarige inte ensam kan åtgärda risken - När nationell lag kräver detta för utförande av vissa tjänster som utförs i det allmännas intresse. Kravet på genomförande av konsekvensbedömning gäller behandlingar som är initierade efter den 25 maj 2018. Artikel 29-gruppen rekommenderar dock att redan innan maj påbörja arbetet med konsekvensbedömningar. Vad konsekvensbedömningen ska innehålla Konsekvensbedömningen ska enligt dataskyddsförordningen minst innehålla: Beskrivning av planerad personuppgiftsbehandling/ar samt ändamålet med behandlingarna Bedömning av nödvändighet och proportionalitet Bedömning av identifierade risker mot de registrerades rättigheter och friheter Åtgärder för att hantera risker Vidtagna åtgärder för att möta lagkraven Undantag från kravet på konsekvensbedömning Konsekvensbedömning är inte obligatorisk i följande fall: - När personuppgiftsbehandlingen inte innebär en risk för registrerads rättigheter eller friheter - När en konsekvensbedömning redan har gjorts för liknande behandling och kan appliceras på förevarande personuppgiftsbehandling

- När behandlingen har en rättslig grund och det har stadgats att en konsekvensbedömning inte är nödvändig - När konsekvensbedömningen inte ansetts obligatorisk av tillsynsmyndigheten.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss