GDPR definition och hur utbildningen berör(t)s av förordningen

Relevanta dokument
Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

Dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

GDPR- Seminarium 2017

Vården och reglerna om dataskydd

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

GDPR. Ulrika Harnesk 17 oktober 2018

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Dataskyddsförordningen (GDPR)

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Dataskyddsförordningen

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen i utbildningsverksamhet

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Dataskyddsförordningen

GDPR- Vad har hänt och hur ser tillämpningen ut?

Dataskyddsförordningen

Behandling av personuppgifter vid Göteborgs universitet

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen och kvalitetsregister

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen

Dataskyddsförordningen

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

GDPR. Dataskyddsförordningen

Dataskyddsförordningen för prefekter och administrativa chefer

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Personuppgiftsbehandling Dataskydd

Dataskyddsförordningen GDPR

PuL och GDPR en översiktlig genomgång

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

GDPR General data protection regulation Dataskyddsförordningen

Kerstin Wardman, 25 april 2018

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen - GDPR

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

EU:s dataskyddsförordning

Information om behandling av personuppgifter

Samtycke och dataskyddsförordningen (GDPR)

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Den nya Dataskyddsförordningen

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Personuppgiftsinformation för Svedala kommun

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Koncernkontoret Enheten för juridik

Dataskydd och forskning i Europa och Sverige

EU:s dataskyddsförordning

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Kyrkostyrelsens cirkulär nr 18/

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

INFORMATIONSSÄKERHET OCH DATASKYDD

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

GDPR- Vad är det? Frukostmöte hösten Advokatfirman VICI

Dataskyddsförordningen, GDPR

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

GDPR NYA DATASKYDDSFÖRORDNINGEN

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

Policy för personuppgiftsbehandling

Bilaga - Personuppgiftsbiträdesavtal

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

GDPR- Vad har hänt och hur ser tillämpningen ut?

PUL OCH DATASKYDDSFÖRORDNINGEN

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Personuppgiftslagen (PuL) - En kort introduktion

EU:s nya dataskyddsförordning Lotta Wikman Öman

GDPR - ARBETSRÄTT. Presentation för AFS den 25 september Advokat Emelie Svensäter Jerntorp

GDPR UTBILDNINGSDAG SKKF

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Södertörns brandförsvarsförbund

Policy för behandling av personuppgifter

Riktlinjer för hantering av personuppgifter

Den nya dataskyddsförordningen

GDPR och hantering av personuppgifter

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

(5) Integritetspolicy - Kumla Bostäder AB

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Transkript:

GDPR definition och hur utbildningen berör(t)s av förordningen Tammerfors 29.11.2018 Thomas Sundell Jurist Regionförvaltningsverkens svenska enhet för bildningsväsendet Regionförvaltningsverkens svenska enhet för bildningsväsendet / Thomas Sundell 3.12.2018 1

GDPR som lagstiftning Står för General Data Protection Regulation, det vill säga EU:s allmänna dataskyddsförordning (2016/679), som kan hittas här: https://eur-lex.europa.eu/legalcontent/sv/all/?uri=celex%3a32016r0679 Godkändes 25.5.2016 och trädde i kraft 25.5.2018 Gäller i egenskap av EU-förordning direkt och behöver inte implementeras nationellt såsom EU-direktiv Nationell lagstiftning får inte vara i konflikt med GDPR Dataskyddslagen godkändes i riksdagen 13.11.2018 och kompletterar med det som får bestämmas nationellt 2

Hur stor ändring är det fråga om? Syftet med GDPR är inte att förhindra behandling av personuppgifter utan att göra den mer strukturerad, genomtänkt och transparent Åtminstone i Finland har det gjorts mängder av verksamhetshämmande övertolkningar GDPR säger oftast inte rakt av vad man får eller inte får göra, utan det handlar om huruvida man kan motivera det Om man hade följt den gamla personuppgiftslagen skulle förändringen inte vara fullt lika stor Viktigare med reflektion över verksamheten än juristeri 3

Tillämpningsområde GDPR tillämpas på behandling av personuppgifter som är helt eller delvis automatisk samt manuell behandling där uppgifterna ingår i eller kommer att ingå i ett register Tillämpas inte på behandling som en fysisk person utför i rent privata syften eller i samband med sitt hushåll Tillämpas i begränsad utsträckning på behandling för journalistiska, akademiska, konstnärliga eller litterära ändamål Gäller både elevernas, vårdnadshavarnas och personalens uppgifter 4

Personuppgifter, register och behandling Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person Ett register är en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier Behandling innefattar allt man kan göra med personuppgifter, både manuellt och automatiskt, inklusive att samla in, ta del av på olika sätt, ändra, lämna ut och radera dem 5

Roller Personuppgiftsansvarig (rekisterinpitäjä) = den som primärt behandlar uppgifter, tidigare registeransvarig Flera organisationer kan också ansvara gemensamt Personuppgiftsbiträde (henkilötietojen käsittelijä) = den som behandlar uppgifter på uppdrag av den personuppgiftsansvariga Dataskyddsombud (tietosuojavastaava) = en utnämnd person som ska handleda den personuppgiftsansvariga i GDPR-frågor och internt övervaka att man följer reglerna Dataombudsmannen (tietosuojavaltuutettu) = den tillsynsmyndighet som övervakar att GDPR efterlevs 6

Principerna för dataskydd Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Lagringsminimering Korrekthet Integritet och konfidentialitet Ansvarsskyldighet Privacy by design 7

Behandlingsgrunder All behandling måste bygga på en behandlingsgrund: Samtycke Fullgörande av avtal där den registrerade är part Fullgörande av rättslig förpliktelse (lakisääteinen velvoite) Skydd av intressen som är av grundläggande betydelse för den registrerade eller någon annan fysisk person (elintärkeiden etujen suojaaminen) Utförande av uppgift av allmänt intresse eller som ett led i myndighetsutövning (julkisen vallan käyttö) Den personuppgiftsansvariges eller tredje parts berättigade intressen, om inte den registrerades intressen, rättigheter och friheter väger tyngre (kan inte tillämpas av myndigheter) 8

Samtycken Om behandlingen grundar sig på samtycke måste samtycket kunna bevisas och det måste vara en aktiv handling (t.ex. kryss i en ruta, men inte icke-kryss) Om samtycket gäller flera ändamål ska man få välja Begäran om samtycke måste läggas fram så att den tydligt kan särskiljas, i en begriplig och lättillgänglig form och med klart och tydligt språk Samtycket måste vara frivilligt det kan när som helst återkallas och man måste informera om möjligheten Man kan inte samtycka till något som är helt onödigt 9

Barn och informationssamhällets tjänster Enligt GDPR kan barn under 16 år inte själva samtycka till behandling av personuppgifter i fråga om det som kallas informationssamhällets tjänster (i praktiken t.ex. molntjänster, sociala medier och olika appar), utan för dessa krävs vårdnadshavarnas samtycke Medlemsstaterna får dock sänka åldersgränsen ända till 13 år, vilket Finland har gjort i dataskyddslagen Personuppgiftsansvariga ska göra rimliga ansträngningar för att kontrollera vårdnadshavarens samtycke 10

Särskilda kategorier av personuppgifter Det som förr kallades känsliga personuppgifter heter i GDPR särskilda kategorier av personuppgifter (9 art.) Det är förbjudet att utan lagstadgad grund eller samtycke behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening behandla av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning Fotografier är inte i sig biometriska uppgifter (skäl 51) Uppgifter om brott och straff har en särställning (10 art.) 11

Information om behandlingen Den personuppgiftsansvarige ska ge information om principerna för behandlingen och hur den registrerade utövar sina rättigheter enligt förteckningar i artiklarna 13 (då uppgifter samlas in av den registrerade) och 14 (då uppgifter om den registrerade samlas in annanstans) Informationen ska ges i en koncis, klar och tydlig, begriplig och lättillgänglig form och med ett klart och tydligt språk, särskilt då den riktas till barn Informationen ska vara skriftlig och kan vara i elektronisk form där det är lämpligt 12

Den registrerades rättigheter Den registrerade har rätt till 1) tillgång, 2) rättelse, 3) radering, 4) begränsning av behandling och 5) dataportabilitet (punkt 5 gäller inte myndigheter) Den personregisteransvarige ska utan dröjsmål men senast inom en månad meddela vilka åtgärder som vidtagits med anledning av en begäran Om inga åtgärder vidtas ska den registrerade meddelas om orsaken och möjligheten att söka ändring Utövandet av rättigheterna ska vara gratis om inte begäran är uppenbart ogrundad eller orimlig 13

Dokumentering av behandlingen Det är viktigt att kunna påvisa att man beaktar GDPR och har vidtagit nödvändiga åtgärder Dokumentationen består till exempel av: Register över behandling enligt 30 art. (gäller myndigheter och sådana organisationer som sysselsätter fler än 250 personer eller som behandlar särskilda kategorier av personuppgifter) Den information som ges till de registrerade Eventuella samtycken Processbeskrivningar och instruktioner Avtal om ansvarsfördelning Avvikelser från dataskyddsombudets rekommendationer 14

Tillsyn Dataombudsmannen fungerar som tillsynsmyndighet Tillsynsmyndigheten kan begära information och göra inspektioner på eget initiativ eller på basis av klagomål Tillsynsmyndigheten kan ge varningar, reprimander och förelägganden om att rätta brister Den strängaste och mest omtalade påföljden är de administrativa sanktionsavgifterna, som kan ges i stället för eller utöver de korrigerande åtgärderna Enligt dataskyddslagen gäller detta inte myndigheter 15

Skyldighet att anmäla incidenter Personuppgiftsincidenter måste utan dröjsmål och om möjligt inom 72 timmar anmälas till tillsynsmyndigheten om det inte är osannolikt att incidenten får några följder Vid förseningar måste förseningen motiveras Innehållet i anmälan listas i artikel 33 Om incidenten sannolikt leder till en hög risk för fysiska personers intressen ska också registrerade informeras, i första hand personligen men annars via allmänheten 16

Ersättningsskyldighet Den som har lidit materiell eller immateriell skada till följd av brott mot GDPR har rätt till ersättning I tidigare PUL tillämpades strikt ansvar ersättning utgick oberoende av om någon hade gjort något fel men i GDPR gäller vållande med omvänd bevisbörda: den personuppgiftsansvariga ska visa att den inte på något sätt är ansvarig för händelsen som orsakat skada Personuppgiftsansvariga och personuppgiftsbiträden som har medverkat i samma behandling är solidariskt ansvariga 17

Personuppgifter inom utbildningen Elevernas och vårdnadshavarnas uppgifter finns t.ex. i elevregister, elevhälsoregister, i olika blanketter och på olika håll i den dagliga verksamheten Behandlingen borde beskrivas, och behandling som inte fyller några administrativa eller pedagogiska syften borde elimineras Vissa gånger kräver lagen behandling, vissa gånger är det motiverat med tanke på verksamheten och vissa gånger något extra som ändå fyller ett syfte Också arkiveringen påverkas av GDPR 18

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss