Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Relevanta dokument
GDPR NYA DATASKYDDSFÖRORDNINGEN

GDPR Presentation Agenda

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

GDPR. Dataskyddsförordningen

Dataskyddsförordningen

EU:s dataskyddsförordning

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Dataskyddsförordningen GDPR

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

GDPR. General Data Protection Regulation. dataskyddsförordningen

Dataskyddsförordningen

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

Regler för behandling av personuppgifter vid Högskolan Dalarna

Dataskyddsförordningen

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Riktlinjer för dataskydd

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

GDPR General data protection regulation Dataskyddsförordningen

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen och kvalitetsregister

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen (GDPR)

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Vården och reglerna om dataskydd

PuL och GDPR en översiktlig genomgång

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Dataskyddsförordningen

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Riktlinjer för hantering av personuppgifter

GDPR- Seminarium 2017

Dataskyddsförordningen

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Personuppgiftsinformation för Svedala kommun

Information om behandling av personuppgifter på Tellus bostadsrättsförening

Dataskyddsförordningen 2018

Personuppgiftsbehandling Dataskydd

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Dataskyddsförordningen 2018

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Status panik? GDPR-update! Disposition

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

BESKRIVNING AV PERSONUPPGIFTSHANTERING

GDPR UTBILDNINGSDAG SKKF

Kerstin Wardman, 25 april 2018

Dataskyddsförordningen

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Översikt av GDPR och förberedelser inför 25/5-2018

FÖRBEREDELSER INFÖR GDPR

Dataskyddsförordningen

Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

UPPDATERAD

Information om behandling av personuppgifter

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Koncernkontoret Enheten för juridik

BOSTADSRÄTTSFÖRENINGEN MAGNETENS PERSONUPPGIFTSPOLICY

Lindesbergs kommuns arbete med dataskyddsförordningen

Dataskyddsförordningen i utbildningsverksamhet

Dataskyddsförordningen

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Policy för behandling av personuppgifter

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

PERSONUPPGIFTSBITRÄDESAVTAL

Säkerhetspolicy rev. 0.1

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Strand Kapitalförvaltning AB:s integritetspolicy

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Behandling av personuppgifter vid Göteborgs universitet

Information om behandling av personuppgifter

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

PERSONUPPGIFTSBITRÄDESAVTAL

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Transkript:

Sida 1 (6) Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA Vad är GDPR den nya dataskyddsförordningen? Dataskyddsförordningen (GDPR) är en ny EU-förordning som innehåller regler om hur företag får behandla personuppgifter. Dataskyddsförordningen börjar gälla den 25 maj 2018 och medför en hel del förändringar vad gäller företags hantering av personuppgifter. När gäller dataskyddsförordningen? För att dataskyddsförordningens regler ska gälla krävs det att det sker en behandling av personuppgifter. Information om vad som är en personuppgift och vad som utgör en behandling finns nedan. Varför behöver ni följa de nya reglerna? Att inte följa de nya reglerna kan i värsta fall innebära att tillsynsmyndigheten utfärdar sanktionsavgifter på upp till 20 000 000 Euro eller 4 % av företagets globala omsättning (om företaget ingår i en koncern beräknas beloppet på koncernens globala omsättning). Dessutom kan enskilda individer kräva skadestånd och tillsynsmyndigheten kan utfärda bland annat varningar, begränsningar och förbud mot behandlingen. Datainspektionen är tillsynsmyndighet i Sverige. Vad behöver ni göra? För att underlätta för er som medlemsföretag i MRF att förbereda er inför de nya reglerna har MRF tagit fram en checklista med generella åtgärder. Checklistan innehåller både exempel på lagstadgade krav och andra åtgärder som MRF rekommenderar. Listan kan behöva anpassas och kompletteras beroende på hur just er verksamhet ser ut. MRF garanterar inte att listan är uttömmande. Vi rekommenderar er att anlita en advokat eller jurist som är specialiserad på dataskyddsfrågor för att få juridisk rådgivning som är anpassad efter er verksamhet.

Sida 2 (6) Checklista Interna åtgärder och rutiner Skapa medvetenhet om lagen bland de anställda som hanterar personuppgifter eller fattar beslut som rör behandlingen av dessa. Starta och genomför ett projekt för att säkerställa att ert företag anpassar sig till dataskyddsförordningen. Utred vilka behandlingar av personuppgifter som ni är personuppgiftsansvariga för (ensamt eller gemensamt med någon annan). Inventera vilka personuppgifter som ni behandlar, t.ex. vilka register ni har som innehåller personuppgifter och vilka personuppgifter som ni samlar in. Påbörja samtidigt upprättandet av en registerförteckning. Säkerställ att ni har rutiner för att hålla registerförteckningen uppdaterad, t.ex. genom en anställd som ansvarar för detta. Säkerställ att ni har laglig grund för de personuppgifter som ni behandlar. Fastställ generella rutiner för hur ni ska säkerställa att dataskyddsförordningen följs och dokumentera förslagsvis dessa i en intern policy för att kunna visa att reglerna följs. Fastställ när personuppgifterna ska gallras, t.ex. i en gallringspolicy. Utred om behandling av personuppgifter sker utanför EU/EES och säkerställ i sådant fall att ni har en laglig grund för överföringen. Inför rutiner för åtgärder vid avslutade relationer med enskilda (t.ex. när avtal upphör). Det kan vara t.ex. avidentifiering/pseudonymisering av personuppgifter. Utred om ni omfattas av kravet på att utse ett dataskyddsombud. Om ni inte omfattas av kravet bör ni ändå utse en person som har särskilt ansvar för dataskyddsfrågor och det huvudsakliga ansvaret för projektet. Inför rutiner för hantering av personuppgiftsincidenter. Se över behovet av övriga rutiner och mallar som lagen kräver, t.ex. vid begäran om information, radering, konsekvensbedömning och dataportabilitet.

Sida 3 (6) Checklista fortsättning Samarbetspartners Inventera vilka av era leverantörer, samarbetspartners och liknande som behandlar personuppgifter för er räkning (personuppgiftsbiträden) och sammanställ dessa i en lista. Säkerställ att ni ingår ett s.k. personuppgiftsbiträdesavtal med dessa (alternativt underbiträdesavtal i de fall det rör data där ni är biträde). Inventera om ni behandlar personuppgifter för någon annans räkning så som personuppgiftsbiträde, t.ex. för generalagentens eller fordonstillverkarens räkning, och sammanställ dessa i en lista. Säkerställ att ni ingår personuppgiftsbiträdesavtal med dessa. Inventera om ni har gemensamt personuppgiftsansvar med någon och säkerställ att ni i sådant fall ingår ett avtal om detta. IT- och säkerhetsåtgärder Inventera era IT-system och säkerställ att de uppfyller kraven i dataskyddsförordningen. Dessa krav kan variera beroende på hur känslig data ni behandlar i respektive system, men de kan t.ex. innebära möjlighet till kryptering, att kunna återställa tillgången till personuppgifter i rimlig tid vid en incident och förmåga att säkerställa motståndskraft. Se över era rutiner för informationssäkerhet så de uppfyller kraven i dataskyddsförordningen. Inför rutiner för att uppnå tillräcklig säkerhet vid behandling av personuppgifter, t.ex. behörighetskontroll och säkerhetslösningar. Ställ krav på era leverantörer, samarbetspartners och andra som behandlar personuppgifter för er räkning så att de uppfyller kraven i dataskyddsförordningen. Se över er konfidentialitet, upprätta t.ex. en intern IT-och sekretesspolicy för anställda och inhyrda konsulter. Säkerställ att ni följer principerna om Privacy by design vid IT-upphandlingar, inköp och egen utveckling. Privacy by design innebär att IT-system har inbyggda mekanismer för dataskydd, t.ex. uppgiftsminimering, åtkomstkontroll, automatisk gallring samt stöd för samtycke och dataportabilitet.

Sida 4 (6) Checklista fortsättning Juridiska dokument med mera Upprätta en personuppgiftspolicy med information om hur ni behandlar era kunders personuppgifter, se MRF:s informationsmall här. En instruktion om hur ni anpassar mallen finns här. Upprätta en personuppgiftspolicy med information om hur ni behandlar uppgifter om kontaktpersoner hos samarbetspartners, leverantörer etc. Upprätta eventuella samtyckestexter och rutiner för behandling med samtycke som laglig grund. Upprätta en mall för personuppgiftsbiträdesavtal och underbiträdesavtal. Säkerställ att ni har en laglig grund för överföring utanför EU/EES, t.ex. genom att ingå modellklausulsavtal. Vid behov mall för gemensamt personuppgiftsansvar. Särskilda åtgärder inom HR/Personal Upprätta en personuppgiftspolicy med information om hur ni behandlar era anställdas personuppgifter och rensa/uppdatera befintlig information i t.ex. anställningsavtal och personalpärmar. Upprätta en personuppgiftspolicy med information om hur ni behandlar kandidaters personuppgifter samt eventuella samtyckestexter för till exempel kandidatdatabaser. Inför rutiner för utbildning och efterlevnad av dataskyddsreglerna för anställda och konsulter.

Sida 5 (6) GDPR Ordlista Personuppgift En personuppgift är en uppgift som direkt eller indirekt kan identifiera en fysisk person. En uppgift kan vara en personuppgift även om ni som företag inte kan identifiera den fysiska personen själva, men någon annan kan göra det. Exempel på personuppgifter är namn, kontaktuppgifter och bilregistreringsnummer (om det går att koppla till en fysisk ägare eller användare av bilen). Även uppgifter som finns lagrade i ett fordons dator kan vara person-uppgifter om uppgifterna går att koppla till en fysisk person. Tänk på att även uppgifter till kontaktpersoner och anställda på ett företag anses vara personuppgifter. Behandling Med behandling avses alla åtgärder eller kombinationer av åtgärder som kan vidtas med personuppgifter. Det kan t.ex. vara insamling, registrering, lagring, bearbetning, användning och radering av personuppgifter. Personuppgiftsansvarig När det sker en behandling av personuppgifter är det alltid någon som är personuppgiftsansvarig för behandlingen. Den personuppgiftsansvariga är den som, ensamt eller tillsammans med andra, bestämmer ändamål och medel för behandlingen. Det innebär att den som bestämmer vilka personuppgifter som ska behandlas och vad de ska användas till är ansvarig för den behandlingen. Det är normalt inte en enskild anställd som är personuppgiftsansvarig, utan istället ni som medlemsföretag. Det är alltid den personuppgiftsansvariga som ansvarar för att reglerna i dataskyddsförordningen följs. Personuppgiftsbiträde Personuppgiftsbiträde är den som behandlar personuppgifter för någon annans räkning. Det innebär att personuppgiftsbiträdet inte har några egna ändamål med behandlingen, utan endast behandlar personuppgifterna efter instruktioner från den personuppgifts-ansvariga. Externa IT-leverantörer, rekryteringsföretag och reklambyråer är exempel på företag som typiskt sett agerar som personuppgiftsbiträden. Tänk på att även ni som medlemsföretag i vissa fall kan agera som personuppgiftsbiträden. Mellan ett person-uppgiftsbiträde och en personuppgiftsansvarig måste det alltid finnas ett personuppgifts-biträdesavtal som reglerar hur personuppgiftsbiträdet får behandla de aktuella person-uppgifterna. Dataskyddsombud Dataskyddsombud är en fysisk person som utses av den personuppgiftsansvariga och som har ett särskilt ansvar över att dataskyddsreglerna följs. Registerförteckning En registerförteckning är en förteckning över alla behandlingar som ni utför. Enligt dataskyddsförordningen ska förteckningen innehålla viss information, men det finns inget krav på hur formen på förteckningen ska vara. Beroende på hur omfattande behandlingar ni utför kan ni välja att föra registerförteckningen i Excel-format eller i ett av de register-förteckningsprogram som erbjuds på marknaden.

Sida 6 (6) Vad kan det handla om? Vanliga kategorier av uppgifter De flesta medlemsföretag behandlar personuppgifter om: Anställda Arbetssökande/kandidater Kunder Potentiella kunder (vid t.ex. provkörning av fordon eller vid begäran av offert) Laglig grund när får personuppgifter behandlas? För att det ska vara tillåtet att behandla personuppgifter krävs det att det finns en laglig grund för behandlingen. De grunder som normalt är aktuella för er som medlemsföretag är: Behandlingen är nödvändig för att fullgöra ett avtal som den enskilde är part i eller för att vidta åtgärder på begäran av den enskilde innan ett avtal ingås, t.ex. för att ingå avtal om service eller köp av ett fordon. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, t.ex. för att följa bokföringslagstiftningen. Med stöd av en intresseavvägning där den personuppgiftsansvariges intressen väger tyngre än den enskildes intressen. Vad som är tillåtet enligt en intresseavvägning avgörs oftast genom praxis. Den enskilde har lämnat sitt samtycke till behandlingen, t.ex. samtyckt till att få nyhetsbrev eller annan direktreklam. Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning - Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål - Får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål Uppgiftsminimering - Uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen Korrekthet - Uppgifter ska vara korrekta och om nödvändigt uppdaterade, annars raderas eller rättas Lagringsminimering - Uppgifter får inte sparas längre tid än nödvändigt för ändamålen Integritet och konfidentialitet - Krav på säkerhet, inbegripet skydd mot obehörig/otillåten behandling och mot förlust Ansvarsskyldighet - Den ansvarige ska kunna visa att de grundläggande principerna efterlevs - Kontaktpersoner hos företag (t.ex. hos kunder, samarbetspartners och leverantörer) - Tidigare ägare (t.ex. i elektroniska serviceböcker)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss