Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Relevanta dokument
Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR NYA DATASKYDDSFÖRORDNINGEN

Nya Dataskyddsförordningen. Agnes Hammarstrand

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

GDPR och annat om personlig integritet som man bör tänka på

Dataskyddsförordningen

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

GDPR Presentation Agenda

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Dataskyddsförordningen

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

Dataskyddsförordningen

Dataskyddsförordningen

Översikt av GDPR och förberedelser inför 25/5-2018

GDPR de första månaderna. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR General data protection regulation Dataskyddsförordningen

PuL och GDPR en översiktlig genomgång

GDPR. General Data Protection Regulation. dataskyddsförordningen

EU:s dataskyddsförordning

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Status panik? GDPR-update! Disposition

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Dataskyddsförordningen

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Dataskyddsförordningen

GDPR. Dataskyddsförordningen

Tegehalls revisionsbyrå och dataskyddsförordningen

Policy för behandling av personuppgifter

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR- Seminarium 2017

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

GDPR viktiga nyheter jämfört med PuL

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Vad finns det för stöd kommunerna? Pål Resare, Förbundsjurist Sveriges Kommuner och Landsting

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Senior Associate på Jansson & Norin, a part of Fondia Juristexamen från London och Paris Varit verksam som jurist sedan 2009

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR UTBILDNINGSDAG SKKF

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

Handlingsplan för persondataskydd

Dataskyddsförordningen GDPR

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Ny personuppgiftsförordning Försäkringsjuridiska Föreningen. Agnes A Hammarstrand / Advokat 3 mars 2016

Dataskyddsförordningen i utbildningsverksamhet

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen - GDPR

Nya Dataskyddsförordningen. Agnes Hammarstrand

Kerstin Wardman, 25 april 2018

Dataskyddsförordningen (GDPR)

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Information om dataskyddsförordningen

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

Nya dataskyddsförordningen GDPR

Dataskyddsförordningen ( GDPR ) Agnes Hammarstrand Advokatfirman Delphi 23 mars 2018

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Dataskyddsförordningen och kvalitetsregister

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Personuppgiftsinformation för Svedala kommun

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Riktlinjer för dataskydd

Att hantera personuppgifter

Riktlinjer för behandling av personuppgifter i Årjängs kommun

36. GDPR-sex månader kvar november 2017

Information om behandling av personuppgifter

Dataskyddsförordningen GDPR - General Data Protection Regulation

Den nya dataskyddsförordningen

GDPR. General Data Protection Regulation. EU:s nya dataskyddsförordning Träder i kraft

EU:s nya dataskyddsförordning Lotta Wikman Öman

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Olingo Consulting & Advokatfirman Vinge

Dataskyddsförordningen ( GDPR ) Agnes Hammarstrand Advokatfirman Delphi

Lindesbergs kommuns arbete med dataskyddsförordningen

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Transkript:

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Regler för personuppgifter Idag finns regler om hur personuppgifter får hanteras i PUL samt regler om hur marknadsföring får göras enligt marknadsföringslagen Ny dataskyddsförordning ersätter PuL i hela EES De nya reglerna gäller från och med 25 maj 2018 Företag som bryter mot lagen riskerar böter upp till det högre beloppet av 20 000 000 euro eller 4 % av koncernens globala omsättning Nya Dataskyddsförordningen

Förordningen i korthet Principerna bygger på nuvarande lag, men också ett stort antal nyheter Gäller alla personuppgifter allt som går att koppla till en individ, t.ex. namn, kunddata, köphistorik, adress, kontonummer, osv. Krav på när och hur personuppgifter får behandlas Nya Dataskyddsförordningen

Sanktioner Företag riskerar böter upp till det högre beloppet av 20 MEUR eller 4 % av koncernens globala omsättning Även risk för skadestånd, straff m.m. 4

När gäller lagen? Gäller för ansvarig eller biträde etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte Även om inte etablerade i unionen Avser registrerade som befinner sig i unionen; och Behandlingen har anknytning till utbjudande av varor eller tjänster till sådana registrerade i unionen Gäller all behandling av personuppgifter 5

Vad är en behandling? Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter Exempel Insamling Registrering Lagring Spridning Samkörning Radering Undantag för bl.a. rent personligt bruk 6

Vad är en personuppgift? Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras Är detta en personuppgift? johan.hubner@delphi.se 83.248.106.125 (en IP-adress) En adressuppgift Köphistorik En bild GPS-data OBS! Oavsett kryptering 7

Personuppgiftsansvarig En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter Ansvarar alltid självständigt för att lagen uppfylls och ska kunna visa att lagen följs Det är alltså ni som ansvarar för att t.ex. era IT-system uppfyller lagens krav (inte leverantören) Ska genomföra lämpliga organisatoriska och tekniska åtgärder för att följa lagen när lämpligt anta policyer. Jfr. personuppgiftsombud (nu dataskyddsombud) en fysisk person 8

Personuppgiftsbiträde En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Finns alltid utanför den personuppgiftsansvariges organisation Exempel på vanliga biträden IT-leverantörer Rekryteringsbyråer Reklambyråer Molntjänstleverantörer IT-support Utökade direkta skyldigheter Självständigt ansvar 9

Krav på personuppgiftsbiträdesavtal Utökade krav på biträden - formkrav Viktigt att tänka på vid alla samarbeten som innebär utbyte av personuppgifter Inte längre ett standardavtal viktigt anpassa till situationen förhandla! Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ 10

När är behandling tillåten? Uppgifter ska bara hanteras i den mån det är nödvändigt med hänsyn till ett lagligt ändamål Behandlingen behöver vara tillåten enligt samtycke nödvändigt för att ett avtal med den registrerade ska kunna fullgöras nödvändigt fullgöra rättslig förpliktelse skydda intressen av grundläggande betydelse för registrerade en arbetsuppgift av allmänt intresse ska kunna utföras eller intresseavvägning 11

Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse

Konsekvenser av lagen Dataskydd blir en ledningsfråga Viktigare att följa lagen Integritetsfrågorna får mer uppmärksamhet och kräver resurser, organisation och budget Ökat fokus på förebyggande åtgärder och dokumentation System och databaser kan bli olagliga 2016-11-22 Nya Dataskyddsförordningen

Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policyer Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policyer för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder - rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv. 2016-11-22 Nya Dataskyddsförordningen

Hur kan vi förbereda oss? Skapa medvetande internt om de nya reglerna och den nya rollen informera och utbilda Ett projekt för att följa lagen behövs 1. Gör en nulägesanalys ( Gap analysis ) 2. Efterlevnadsprojekt Nya Dataskyddsförordningen

Tips för ett lyckat efterlevnadsprojekt Budgetera och avsätt resurser noga Ha en intern projektledare och ev. även en inhyrd Lägg mycket tid i början på att identifiera rätt personer som ska delta Lägg stor vikt vid planeringsstadiet Diskutera ambitionsnivå av compliance riskapproach Nya Dataskyddsförordningen

Nulägesanalys ( Gap analysis ) Identifiera behandlingar och system Laglig grund för behandlingen Identifiera tredjeparter Mappa vilka legala enheter i koncernen som är personuppgiftsansvariga och biträden Vilka juridiska dokument, rutiner och samtycken finns idag? Identifiera brister och områden att hantera inför att förordningen träder i kraft Nya Dataskyddsförordningen

Efterlevnadsprojekt Hur säkerställa ett effektivt efterlevnadssystem ( Data Protection Management System )? 1. Säkerställ att behandlingen är laglig 2. Sätt ansvar och organisation 3. Uppdatera juridiska dokument, avtal, samtycken och policyer 4. IT- och säkerhetsåtgärder 5. Organisatoriska åtgärder och rutiner accountability Nya Dataskyddsförordningen

Sätt ansvar och organisation Behöver vi ett dataskyddsombud? Vem är annars högst ansvarig? Olika kompetens informationssäkerhet, projektledning och juridik Vad är en lämplig organisering för er? Lands eller bolagsvis: Lokala kontaktpersoner Områdesvis: HR/Kunddata/Leverantörsdata/Marknad/Kundklubb Ansvar över olika system/behandlingar Rapportordningar och arbetsbeskrivningar Övervakning av efterlevnad (internt/externt) Nya Dataskyddsförordningen

Juridisk dokumentation/policyer (exempel) Personuppgiftsbiträdesavtal och ev. underbiträdesavtal Information till registrerade (personuppgiftspolicy) Samtyckestexter Interna policyer för behandlingen, lagrings- och gallringsrutiner Beroende på verksamhet/storlek: Mall och rutiner för konsekvensbedömning Dokumentation/avtal för överföring till tredje land Rutiner och dokumentation för incidenthantering Rutiner inför upphandling Nya Dataskyddsförordningen

IT- och säkerhetsåtgärder (exempel) Säkerhetskrav är de tillräckliga utifrån de krav som ställs i lag och med hänsyn till vilka uppgifter det rör sig om? Börja tillämpa inbyggd integritet (privacy by design) vid egen utveckling Tekniska rutiner för gallring, behörighetsstyrning, autentisering Tekniska rutiner för att undvika personuppgiftsincidenter Nya Dataskyddsförordningen

Organisatoriska åtgärder och rutiner Utbildningsrutiner (och rutiner för att övervaka att utbildning genomförts) Utelämnande av information Dokumentationsrutiner Samtycken checklistor Register över behandling Rutiner för anmälan av personuppgiftsincident Konsekvensbedömning vid ny behandling Rutiner vid upphandlingar Contract management Sekretessavtal Med mera.. Nya Dataskyddsförordningen

Exempel på projektupplägg

Projektöversikt (exempel) STEG 1 Legal genomgång av personuppgiftsbehandling Granskning av systembeskrivningar/dataflöden, avtal, policyer, manualer, information på hemsidan, etc. Inledande workshop och val av projektledare internt samt identifiering av personal som ska besvara frågeformulär Intervjuer med ledning och berörd personal Granskning av svar på frågeformulär om personuppgiftsbehandling Levereras: Rapport över personuppgiftsbehandlingen (inkluderande rekommendationer för regelefterlevnad) ( Rapporten ) Nya Dataskyddsförordningen

Projektöversikt (exempel) STEG 2 Uppföljningsarbete Workshop med praktiska överväganden avseende Delphis rekommendationer i Rapporten Genomgång av områden som är av betydelse i relation till förordningen Upprättande av steg för steg-guide med åtgärder för efterlevnad av nuvarande personuppgiftslagstiftning och en strategi för efterlevnad av förordningen Levereras: Steg för steg-guide Nya Dataskyddsförordningen

Projektöversikt STEG 3 Regelefterlevnadsprojekt IT-stöd för compliance-uppföljning Utgår från slutsatser som dragits under legal genomgång och uppföljningsarbete Rådgivning i samband med genomförande av åtgärder för att uppnå efterlevnad med GDPR Upprättande av nya avtal, policyer, manualer, samtyckesformuleringar, texter till hemsidan etc. Nya Dataskyddsförordningen

Efterlevnadsprojekt - framgångsfaktorer Budgetera noga Lägg mycket tid på planering i början Var noga med att utse rätt personer i projekt Ha god framförhållning Utse en eller flera interna projektledare Tänk i spår, t.ex. HR, IT, CRM, Ekonomi Räkna med förseningar! Nya Dataskyddsförordningen

Vilka är vi och vad gör vi?

Olika nivåer av stöd Utbildningar och workshops Efterlevnadsprojekt (de juridiska delarna) Bollplank i enstaka frågor Hjälp med juridiska texter, avtal och checklistor 2016-11-22 Nya Dataskyddsförordningen

Delphi om oss Delphi är en av Sveriges främsta affärsjuridiska byråer med kontor i Stockholm, Göteborg, Malmö och Norrköping/Linköping. Modern och framtidsinriktad Specialister inom alla affärsjuridikens områden Stolt vinnare av Årets Advokatbyrå, Sveriges största klientstudie för advokatbyråer specialiserade på affärsjuridik Advokatbyråer 200+ mkr Stora klientpriset Nya Dataskyddsförordningen

Delphi IP/Tech - topprankade inom IT och dataskydd Topprankade av Chambers och Legal 500 inom IP och IT Stort fokus på personuppgifter och nya dataskyddsförordningen Över 20 jurister i Sverige som arbetar med dataskydd och GDPR Stor arbetsgrupp på fem kontor som arbetar målinriktat med nya dataskyddsförordningen, mallar, checklistor m.m. Specialister inom IT-juridik, online, digitala tjänster, Life Science och immaterialrätt 2016-11-22 Nya Dataskyddsförordningen

Johan Hübner / Partner / Advokat Direkttelefon: +46 8 677 55 55 Mobiltelefon: +46 709 25 25 04 Johan.Hubner@delphi.se Advokatfirman Delphi / Mäster Samuelsgatan 17, 111 84 Stockholm Telefon: +46 8 677 54 00 / Fax: +46 8 20 18 84 / delphi.se 32

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss