Dataskyddsförordningen GDPR

Relevanta dokument
GDPR. Dataskyddsförordningen

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

GDPR- Seminarium 2017

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Välkomna till kurs i den nya dataskyddsförordningen

GDPR NYA DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen

Dataskyddsförordningen (GDPR)

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

PuL och GDPR en översiktlig genomgång

Integritetspolicy Upplev Norrköping

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen GDPR - General Data Protection Regulation

Integritetspolicy för Judiska församlingen (JF) i Stockholm

EU:s dataskyddsförordning

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA

INTEGRITETSPOLICY för Webcap i Sverige AB

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Personuppgiftsbiträdesavtal

Dataskyddsförordningen

GDPR Presentation Agenda

Dataskyddsförordningen

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

1. Vad är en personuppgift och vad är en behandling av personuppgifter?

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Integritetspolicy Din integritet är av yttersta vikt för oss. I följande integritetspolicy förklaras på ett lättförståeligt sätt hur Cyklos AB, org.

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Integritetspolicy kunder

Behandling av personuppgifter vid Göteborgs universitet

GDPR - Riktlinjer för hantering av personuppgifter

Vilka personuppgifter samlar vi in om dig som medarbetare och i vilket ändamål (varför)?

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

GDPR. Ulrika Harnesk 17 oktober 2018

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Riktlinjer för att tillvarata enskildas rättigheter

GDPR UTBILDNINGSDAG SKKF

Dataskyddsförordningen 2018

Kerstin Wardman, 25 april 2018

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Axholmen:s Integritetspolicy

Dataskyddsförordningen

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

För att tillvarata medlemmarnas enskildas rättigheter

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Policy för personuppgiftshantering

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Dataskyddsförordningen

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Dataskyddsförordningen - GDPR

Dataskyddsförordningen 2018

EU:s dataskyddsförordning

Personuppgiftsbehandling för forskningsändamål

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Integritetspolicy leverantör

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Mertzig Asset Management AB

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

PERSONUPPGIFTSBITRÄDESAVTAL

Dataskyddsförordningen, GDPR

Personuppgiftsbehandling i forskning

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Integritetspolicy Våra Gårdar

Att hantera personuppgifter

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Dataskyddsförordningen

Instruktion för att tillvarata enskildas rättigheter

Vad är en personuppgift och vad är en behandling av personuppgifter?

Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen

Integritetspolicy. Vad är personuppgifter och vad är en behandling av personuppgifter? Hur använder vi personuppgifter?

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Säkerhetspolicy rev. 0.1

Vården och reglerna om dataskydd

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Upprätthållandet av korrekta och uppdaterade uppgifter. Skicka relevant information och erbjudanden

Integritetspolicy kunder

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Dataskyddsförordningen och kvalitetsregister

Transkript:

Dataskyddsförordningen GDPR 2017-12-14 1

När? Dataskyddsförordningen 25 maj 2018. Dataskyddslag - SOU 2017:39 En ny dataskyddslag kompletterande bestämmelser till EU:s dataskyddsförordning. 2

Vad är en personuppgift? All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Typiska personuppgifter är personnummer, namn, telefonnummer, adress, ip-adresser och kontonummer. Även foton (där individ kan identifieras), videoupptagning och ljudinspelningar som lagras elektroniskt kan klassas som personuppgifter. Känsliga personuppgifter Ras/etniskt ursprung, politisk uppfattning, religiös eller filosofisk övertygelse, fackligt medlemskap, hälsa, genetik och biometri. OBS! Normalt förbjudet att hantera känsliga personuppgifter men det finns undantag. 3

Behandling av personuppgift Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter till exempel insamling, registrering, organisering, lagring, bearbetning, ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. 4

Roller Personuppgiftsansvarig, PuA Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ex. outsourcat lönesystem. Dataskyddssombud, DPO, DO En fysisk person som, efter förordnande av den personuppgiftsansvarige, självständigt ska kontrollera att dataskyddsförordningen följs inom organisationen. Frivilligt för företag om inte kärnverksamheten är att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer eller att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning. 5

När får en personuppgift samlas in? 1. Rättslig grund för behandling - i unionsrätt eller svensk rätt. - Rättslig förpliktelse - skyldighet att registrera personuppgifter, ex uppfylla bokföringsskyldigheten i bokföringslagen. - Avtal - anställningsavtal, kundavtal och leverantörsavtal. (lönesystem, kundregister) - Samtycke - Be personen om att få registrera uppgifter om henne/honom. Krävs tydlig info om vilka uppgifter som samlas in och vad de ska användas till. (webbplats, vissa uppgifter i kundregister) - Intresseavvägning - Visa att företagets intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till privatliv. (register med potentiella kunder, webbplats) 6

forts. när en personuppgift får samlas in. 2. Ändamålsbegränsning. Uttryckligt angivna och berättigade ändamål. Personuppgifterna får inte användas med annat syfte än vad de samlats in för. 3. Uppgiftsminimering. Endast uppgifter som är nödvändiga för ändamålet. 4. Korrekthet. om nödvändigt uppdaterade, åtgärder måste vidtas för att säkerställa att felaktigheter i förhållande till de ändamål de behandlas raderas/rättas utan dröjsmål. 5. Lagringsminimering. Inte förvara uppgifterna i en form som möjliggör identifiering längre än nödvändigt 6. Integritet och konfidentialitet. - Skydda personuppgifterna mot obehörig/otillåten behandling och mot förlust, förstöring/skada med lämpliga tekniska/organisatoriska åtgärder. Ansvarsskyldighet - PuA ansvarar för och kunna visa att de sex principerna efterlevs. 7

Slopad missbruksregel Missbruksregeln innebär att man idag kan använda enklare regler för personuppgifter i ostrukturerat material som t.ex. information om personer i e-post, på internet eller i en enkel lista som man har i datorn. När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i databaser och ärendehanteringssystem, också ska användas för det som skrivs om personer i exempelvis e-post och på webbplatser. Det kommer att innebära krav på att bland annat ha en rättslig grund, informera de registrerade och föra register över sina behandlingar. 8

Långtgående informationskrav Informationen ska innehålla följande men behöver inte ges om den registrerade redan känner till informationen: A) Identitet och kontaktuppgifter för den PuA och för dennes företrädare samt eventuell DO. B) Syftena med den behandling för vilken personuppgifterna är avsedda och den rättsliga grunden för behandlingen. C) Hur länge uppgifterna kommer att lagras. D) Om behandlingen är baserad på en intresseavvägning, PuA:s eller en tredje parts berättigade intressen. 9

forts. informationskrav E) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna. I tillämpliga fall, att PuA avser att överföra personuppgifterna till en mottagare i ett tredjeland eller en internationell organisation. F) Förekomsten av rättigheten att av PuA begära tillgång till och rättelse eller radering av de personuppgifter eller begränsning av behandling av personuppgifter som rör den registrerade och att invända mot behandlingen av sådana personuppgifter samt rätten till uppgiftsportabilitet. G) Om behandlingen grundar sig på samtycke, rätten att dra tillbaka sitt samtycke när som helst, utan att detta påverkar lagligheten i behandling på grundval av samtycket innan detta drogs tillbaka. H) Rätten att inge klagomål till Datainspektionen. 10

forts. informationskrav I) Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav, eller ett krav som är nödvändigt för att ingå ett avtal, samt huruvida den registrerade är skyldig att tillhandahålla uppgifterna och de möjliga följderna om sådana uppgifter inte lämnas. J) Sådan förekomst av automatiskt beslutsfattande, inbegripet profilering och information rörande skälen, samt betydelsen och de förutsedda följderna av sådan profilering av den registrerade. K) Om PuA avser att ytterligare behandla uppgifterna för ett annat syfte än det för vilket de insamlades ska PuA före denna ytterligare behandling ge den registrerade information om detta andra syfte. 11

Skyldighet att föra register över behandlingar Elektroniskt register över företagets behandlingar - Namn och kontaktuppgifter för företag - Anledning till uppgiftsbehandling - Beskrivning av kategorier av registrerade personer och personuppgifter - Kategorier av organisationer som får uppgifterna - Överföring av uppgifter till ett annat land eller annan organisation - Tidsgräns för borttagning av uppgifter, om möjligt - Beskrivning av säkerhetsåtgärder som används vid behandling, om möjligt Företag med färre än 250 anställda behöver bara föra register om behandlingen - är ett hot mot människors rättigheter och friheter, - är regelbunden, - eller gäller känsliga uppgifter eller beslastningsregister. 12

Registerutdrag Den registrerade ska ha rätt att av PuA få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och om sådana personuppgifter håller på att behandlas, tillgång till uppgifterna och följande information. A) Ändamålen med behandlingen. B) De kategorier av personuppgifter som behandlingen gäller. C) De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer. D) Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. 13

forts. registerutdrag E) Förekomsten av rätten att av PuA begära rättelse eller radering av personuppgifterna eller begränsningar av behandlingen av de personuppgifter som rör den registrerade eller att invända mot behandlingen av sådana personuppgifter. F) Rätten att inge klagomål till en tillsynsmyndighet. G) Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer. H) Förekomsten av automatiserat beslutsfattande, inbegripet profilering. 14

Notifieringsskyldighet vid personuppgiftsincident Vid personuppgiftsincident = skyldighet för personuppgiftsansvarig att inom 72 timmar från man fick reda på incidenten meddela Datainspektionen. I vissa fall även informera de registrerade. Personuppgiftsincident = en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Det kan också vara fråga om en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna. 15

Dataportabilitet En slags konsumenträttighet. 1, den registrerade har rätt att, när grunden för automatiserad behandling är samtycke eller avtal, få ut de personuppgifter som denne har tillhandahållit PuA i ett strukturerat, allmänt och maskinläsbart format och ha rätt att själv föra över uppgifterna till ny PuA. 2, Den registrerade har också rätt att begära få sina uppgifter överförda direkt från den PuA, när detta är tekniskt möjligt. 16

Privacy by design Begreppet privacy by design = låta integritetsfrågor påverka systemets livscykel från förstudie och kravställning via design och utveckling till användning och avveckling. 17

Datainspektionen Datainspektionen ska utöva tillsyn. Befogenheterna anges i dataskyddsförordningen. En registrerad kan klaga till Datainspektionen. 18

Konsekvenser Den registrerade har rätt till ersättning från den personuppgiftsansvarige eller ett biträde om skada har uppstått på grund av överträdelser av dataskyddsreglerna. Datainspektionen kan besluta att ett företag som inte följer reglerna i förordningen ska betala en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen. 19

Mer info Datainspektionen https://www.datainspektionen.se/dataskyddsreformen/ YouTube: sökord Dataskyddsförordning Registerförteckning, SKL 20

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss