Information om dataskyddsförordningen

Relevanta dokument
GDPR General data protection regulation Dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR UTBILDNINGSDAG SKKF

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Kerstin Wardman, 25 april 2018

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Policy för behandling av personuppgifter

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

GDPR NYA DATASKYDDSFÖRORDNINGEN

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Dataskyddsförordningen och kvalitetsregister

Dataskyddsförordningen

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Handlingsplan för persondataskydd

GDPR- Seminarium 2017

Lindesbergs kommuns arbete med dataskyddsförordningen

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

GDPR ur verksamhetsperspektiv

GDPR. Dataskyddsförordningen

Dataskyddsförordningen

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Att hantera personuppgifter

Dataskyddsförordningen (GDPR)

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

EU:s dataskyddsförordning

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Dataskyddsförordningen

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Koncernkontoret Enheten för juridik

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

GDPR. General Data Protection Regulation. dataskyddsförordningen

Dataskyddsombud för arbetsmarknadsnämnden - arbetsmarknadsförvaltningen

Stadsledningskontoret Avdelningen för digital utveckling

PuL och GDPR en översiktlig genomgång

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Dataskyddsförordningen - GDPR

Skolan och Dataskyddsförordningen

Policy för personuppgiftsbehandling

Behandling av personuppgifter vid Göteborgs universitet

SVERAK och Dataskyddsförordningen. 25 maj - GDPR - General Data Protection Regulation

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Riktlinjer för dataskydd

DATASKYDD (GDPR) Del 2: Förvaltningsledning

GDPR och hantering av personuppgifter

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

WHITE PAPER. Dataskyddsförordningen

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Dataskyddsförordningen

Dataskyddsförordningen för prefekter och administrativa chefer

Nya dataskyddsförordningen GDPR

Vården och reglerna om dataskydd

GDPR och annat om personlig integritet som man bör tänka på

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Den nya dataskyddsförordningen

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Dataskyddsförordningen

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Dataskyddsförordningen GDPR

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

GDPR Utbildning Varför görs denna förändring? När börjar den nya lagen gälla? Individens rätt Likformighet Uppdatering Kostnadsbesparingar

Personuppgiftslagen (PuL) - En kort introduktion

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Dataskyddsförordningen, GDPR

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

Den nya Dataskyddsförordningen

Svenska Vorstehklubben

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Vad finns det för stöd kommunerna? Pål Resare, Förbundsjurist Sveriges Kommuner och Landsting

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

GDPR (General Data Protection Regulation) Dataskyddsförordningen

GDPR- Vad är det? Frukostmöte hösten Advokatfirman VICI

Riktlinjer för behandling av personuppgifter

Dataskyddsförordningen

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Idrottens Uppförandekod

Dataskyddsförordningen

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

PUL OCH DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Södertörns brandförsvarsförbund

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Den nya dataskyddsförordningen - GDPR

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Transkript:

Information om dataskyddsförordningen 2018-04-12

Agenda Kort om dataskyddsförordningen (GDPR) Info om centralt GDPR-projekt Övriga frågor

Bakgrund Dataskyddsförordningen (GDPR) ersätter personuppgiftslagen (1998:204) fr.o.m. den 25 maj 2018 Gäller alla verksamheter som behandlar personuppgifter, dvs. alla förvaltningar och bolag, samt alla personuppgiftsbehandlingar oavsett form Personuppgiftsansvariges skyldigheter utökas och de registrerades rättigheter förstärks Höga böter för de personuppgiftsansvariga som inte följer lagen

Den digitala utvecklingen har skapat nya behov av integritetsskydd 1973 Datalagen (SE) 1998 Personuppgiftslagen (Sverige) 2012 Kommissionens förslag till dataskyddsförordni ng (EU) 25 maj 2018 GDPR* träder i kraft 1995 Dataskydds -direktivet (EU) 2007 Uppdaterad Personuppgift s-lag (SE) 2016 General Data Protection Regulation /GDPR* (EU) GDPR* är den engelska förkortningen för dataskyddsförordningen, General Data Protection Regulation.

Viktiga ingångsvärden Nämnden är personuppgiftsansvarig, men personal på alla nivåer måste med på tåget (utbildning är en nyckel!) Dataskyddsförordningen är inte en it-fråga utan en verksamhetsfråga Dataskyddsförordningen är inte en engångsinsats utan ska efterlevas över tid detta är det nya normala Ett bra tillfälle att få koll på sina rutiner och sin information!

Vad är en personuppgift? En personuppgift är en uppgift som direkt eller indirekt kan hänföras till en fysisk person Exempel på personuppgifter Exempel på känsliga personuppgifter Namn Cookies Bild Etnicitet Religiös el politisk övertygelse Hemadress E-postadress Ljudupptagning Politisk åsikt Hälso- och genetiska data Personnummer Elektroniskt ID IP-adress Sexuell läggning Medlemskap i fackförening Exempel på var personuppgifter kan finnas System och program Dokument (word, excel etc) Arkiv Register och listor Nätverk Sms och chattprogram Hemsidor Brev Servrar Kalendrar

Väsentliga skillnader från PUL Stärkta rättigheter och säkerhetskrav Dokumenterat register över all behandling Riskanalys och konsekvensbedömning Skyddsåtgärder (tekniska & organisatoriska) Leverantörsstyrning Privacy by design and by default Ökade krav på Dataskyddsombud Tydligare säkerhetskrav Stärkta rättigheter för de registrerade Ökad insyn och information Ökat krav på samtycke Rättning av uppgifter Rätten att bli bortglömd Dataportabilitet Lagen kommer även gälla för personuppgifter i löpande text, exempelvis e-post eller på en webbsida Missbruksregeln försvinner Strängare krav om rapportering av incidenter Krav att rapportera incidenter till tillsynsmyndigheten inom 72 h Krav att rapportera incidenter till de registrerade

Verksamheter ska inte sluta hantera personuppgifter! Allmänna principer för behandling av personuppgifter Laglig grund som personuppgiftsbehandlingen måste uppfylla Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt samlas in för ett uttryckligt angivet och berättigat ändamål och behandlas i enlighet med detta angivna ändamål är adekvata, relevanta och inte för omfattande i förhållande till ändamålen är korrekta och om nödvändigt uppdaterade ska inte lagras längre än nödvändigt ska behandlas på ett sätt som säkerställer lämplig säkerhet Varje behandling av personuppgifter måste vila på en laglig grund (Art 6) Minst ett av nedan kriterier måste föreligga för att laglig grund ska vara uppfyllt: a) Samtycke b) Avtalsrelation c) Rättslig förpliktelse d) Skydda grundläggande intressen e) Myndighetsutövning/ allmänt intresse (ex arkivlagen) f) Intresseavvägning Allmänna principer + Laglig grund = Tillåten personuppgiftsbehandling

Aktiviteter som verksamheter kan starta med Säkerställ att din verksamhet skyddar personuppgifter på ett korrekt sätt Säkerställ att din verksamhet har: Identifierat vilka personuppgifter som verksamheten hanterar. Det gäller både strukturerat material (exempelvis it-system, register) och ostrukturerat material (i löpande text, ex i e-post) Dokumenterat dessa personuppgifter i ett register. (Det finns en mall framtagen som kan användas för detta ändamål) Genomfört informationsklassificering för uppgifterna. Informationsklassificering innebär att din verksamhet måste bestämma hur skyddsvärda uppgifterna är samt vilka säkerhetskrav som behöver ställas för att skydda informationen. (Länk till KLASSA) Infört de skyddsåtgärder som krävs för att uppfylla säkerhetskraven (från steget ovan). Skyddsåtgärderna kan beröra såväl din verksamhet som dina leverantörer (om dessa hanterar personuppgifter). En förteckning på de leverantörer som hanterar personuppgifter åt verksamheten och om det finns personuppgiftsbiträdesavtal med dessa. (Det finns en mall framtagen som kan användas för detta ändamål).

Aktiviteter som verksamheter kan starta med Förbered anpassningar av rutiner och processer till den nya lagen Påbörja analysen av vilka rutiner och processer som finns inom er verksamhet redan idag (alternativt vad som inte finns) vad gäller följande områden: hur registerutdrag ska lämnas ut hur riskanalyser ska genomföras hur samtycke ska inhämtas samt samtycke som gäller barn incidentrapportering. Utse ansvarig för rapportering till Datainspektionen & registrerade hur säkerställs att verksamheten inte samlar in mer personinformation än nödvändigt hur information ska lämnas i samband med att personuppgifter lämnas ut hur ni rättar/begränsar/invänder mot/raderar personuppgifter hur konsekvensanalys ska göras

Hela EU omfattas av lagen - Både privat och offentlig verksamhet Enligt EU kommissionen är bara två länder tillräckligt redo Tyskland och Österrike Sverige behöver anpassa 50 till 100 lagar De flesta verksamheter tycks ha kommit igång sent De flesta verksamheter tycks sikta på att efterleva det viktigaste först till den 25 maj, och därefter jobba vidare med resten

Olika nivåer av sanktionsavgifter Allvarliga överträdelser 10 mnkr Otillåten behandling av personuppgifter (Art. 5 och 6) Underlåtelse att lämna information till registrerade (Art. 12-15) Bristande eller felaktigt samtycke (Art. 7) Underlåtelse att tillgodose de registrerades rättigheter (Art. 15-22) Extra skydd för känsliga personuppgifter (Art. 9) Rätt att inte bli föremål för beslut grundat på automatiserad behandling Otillåten överföring till tredje land (Art. 44-48) Saknar registerförteckning Utse Dataskyddsombud Data protection by design and by default Personuppgiftsbiträ den Bristande samarbete med DI Mindre allvarliga överträdelser 5 mnkr Konsekvensbedömning och samråd för riskfylld behandling Anmälan av incident till Datainspektionen (inom 72 h) Underlåtenhet att informera registrerade om incidenter Barns samtycke Lämpliga tekniska och organisatoriska åtgärder

Info om det stadsövergripande GDPR-projektet Centralt GDPR-projekt Lokalt GDPR-projekt Startat! Planering pågår. Syftet är att ta fram riktlinjer, stödmaterial och verktyg Fokus: stadsövergripande frågor Förvaltningar och bolag är PuA och ansvarar för att följa lagen och stadens riktlinjer, precis som idag Fokus: Den egna verksamhetens personuppgiftshantering

Syftet med det centrala GDPR-projekt Del 1: Anpassa stadens styrande dokument till dataskyddsförordningen» Riktlinjer för informationssäkerhet» Riktlinjer för incidentrapportering» Handbok för Informationsklassning (ny handbok tas fram just nu!)» Ramverk för molntjänster» Checklista för upphandling av molntjänster» Riktlinje för stadens IT-infrastruktur» F-guide - principer för ansvar och roller för centrala systemägare och lokala informationsägare» U-guide» Lilla ratten Del 2: Ta fram stödmaterial som ska hjälpa stadens förvaltningar att följa lagen Del 3: Teknisk översyn med målet att det ska vara lätt att göra rätt. o Fokus på att skapa automatiserade stödprocesser istället för manuella stödprocesser, exempelvis för inventering och registerutlämnande.

Vilket stöd finns idag från det centrala projektet? Samverkansyta med GDPR-material Mall för inventering och registerförteckning Mall för personuppgiftsbiträdesavtal Vägledning: GDPR och gallring/arkivering Utbildningsmaterial Funktionsbrevlåda med svar från GDPR-jurist FAQ GDPR-sida på intranätet Incidentverktyget IA: Anpassningar har utlovats Verktyget KLASSA: Anpassningar kommer 31 mars 2018 Utbildningar vid förfrågan Intensivt arbete pågår med fler leveranser!

Vilken nytta kan vi ha av dataskyddsförordningen? Finns till för ett skydda individens rättigheter En möjlighet att skapa ordning och reda i vår verksamhet Ökad kunskap hos medarbetare

Kontaktytor Funktionsbrevlåda (svar dröjer dock något just nu) Funktion.GDPR.SLK@stockholm.se Samverkansyta https://samarbete.stockholm.se/sites/gdpr/gdpr-forum/

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss