Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Relevanta dokument
Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

GDPR General data protection regulation Dataskyddsförordningen

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

GDPR NYA DATASKYDDSFÖRORDNINGEN

Den nya dataskyddsförordningen

GDPR- Seminarium 2017

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Dataskyddsförordningen

Dataskyddsförordningen och kvalitetsregister

Nya Dataskyddsförordningen. Agnes Hammarstrand

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

GDPR UTBILDNINGSDAG SKKF

Kerstin Wardman, 25 april 2018

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Dataskyddsförordningen

GDPR. Ulrika Harnesk 17 oktober 2018

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

GDPR. Dataskyddsförordningen 27 april Emil Lechner

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Dataskyddsförordningen

GDPR. Dataskyddsförordningen

Behandling av personuppgifter vid Göteborgs universitet

PuL och GDPR en översiktlig genomgång

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

EU:s dataskyddsförordning

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR Presentation Agenda

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Vården och reglerna om dataskydd

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen i utbildningsverksamhet

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Dataskyddsförordningen - GDPR

GDPR och annat om personlig integritet som man bör tänka på

Dataskyddsförordningen GDPR - General Data Protection Regulation

GDPR. General Data Protection Regulation. dataskyddsförordningen

EU:s nya dataskyddsförordning Lotta Wikman Öman

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Dataskyddsförordningen GDPR

Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Personuppgiftsinformation för Svedala kommun

Översikt av GDPR och förberedelser inför 25/5-2018

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Lathund Dataskydd för krögare

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Dataskyddsförordningen för prefekter och administrativa chefer

Status panik? GDPR-update! Disposition

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Senior Associate på Jansson & Norin, a part of Fondia Juristexamen från London och Paris Varit verksam som jurist sedan 2009

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

PUL OCH DATASKYDDSFÖRORDNINGEN

36. GDPR-sex månader kvar november 2017

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Policy för behandling av personuppgifter

Information om dataskyddsförordningen

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Att hantera personuppgifter

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Dataskyddsförordningen

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Nya dataskyddsförordningen - i ett HR-perspektiv Emma Bädicker Advokatfirman Delphi

Nya Dataskyddsförordningen, GDPR. Advokat Josephine Borg

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Personuppgiftsbehandling för forskningsändamål

Södertörns brandförsvarsförbund

GDPR Utbildning Varför görs denna förändring? När börjar den nya lagen gälla? Individens rätt Likformighet Uppdatering Kostnadsbesparingar

Lindesbergs kommuns arbete med dataskyddsförordningen

Nya dataskyddsförordningen GDPR

Bilaga - Personuppgiftsbiträdesavtal

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Transkript:

Laglig hantering av den data vi delar med oss i våra uppkopplade liv Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Agenda Big data: vad, varför och hur (från en advokats synvinkel? Vem äger datan? Integritetsskydd PuL och Dataskyddsförordningen (GDPR)

Big data ur en advokats perspektiv Stora mängder av olika slags information som produceras genom flera olika källor. Allt människor gör lämnar digitala spår informationen skapas antingen genom individer eller genereras av maskiner (IoT, AI). Big data rör särskilt vår förmåga att ta tillvara på och använda stora mängder av information. Skillnaden mot vanliga databaser: mängden data kräver nya tillvägagångssätt. Sekundär användning

Vilka regler bör man (främst) beakta? Vem äger data? Upphovsrättslagen? Avtal mellan användare och insamlare Integritetsskydd Personuppgiftslagen (nu) Dataskyddsförordningen (från maj 2018)

Vem äger datan?

Äganderätt till data och system Skilj på rättigheterna till a) produkten (hårdvara, IoT-enhet) b) systemet och c) information/data IPR till produkten och systemet: patent, upphovsrätt, design eller avtal

Vem äger datan? Har man en äganderätt till data eller enbart en rätt att kontrollera eller använda denna? Immateriella rättigheter (t.ex. upphovsrätt) oftast inte knutna till datan i sig - Ingen äger data i sig Men någon kan ha rättigheter i själva databasen 49 URL, Direktiv 96/9 om rättsligt skydd för databaser, s.k. databasskyddet Reglera ägande och rätt till användning av data i avtal med samarbetspartners!

Integritet

Risker för den personliga integriteten Övervakning av individer Risk för profilering, dvs. detaljerad kartläggning av användarna Vad som vid en första anblick kan framstå som meningslös data kan kombineras och analyseras och resultera i en meningsfull användarprofil En persons livsstil (t.ex. hälsa och ekonomi), vanor och preferenser Ett praktiskt exempel s.k. drive-by scanning Everything may reveal everything

Idag: Personuppgiftslagen ( PuL ) och motsvarande nationella lagar i EU Syfte att skydda mot att personlig integritet kränks genom behandling av personuppgifter I praktiken få sanktioner vid brott mot lagen Många bryter idag mot lagen Nationell lag baserad på EU-direktiv Annan lagstiftning gäller före

Ny EU-förordning Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 Regulation on the protection of individuals with regard to the processing of personal data and on the free movement of such data Direkt gällande förordning som ersätter PuL och motsvarande lagar i hela EU (EES) Syfte Möta teknikens förändringar Stärka integritetsskyddet Harmonisering, underlätta handel/fritt flöde inom EU De nya reglerna gäller från och med den 25 maj 2018

Förordningen i korthet Principerna bygger på nuvarande lag, men också ett stort antal nyheter Tydlig strävan efter enhetlighet, men finns vissa möjligheter till nationella avvikelser.

Sanktioner Företag riskerar böter upp till det högre beloppet av 20 MEUR eller 4 % av koncernens globala omsättning Även risk för skadestånd, straff m.m.

Vad är en behandling? Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter Exempel Insamling Registrering Lagring Spridning Samkörning Radering Undantag för bl.a. rent personligt bruk

Vad är en personuppgift? Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras OBS! Oavsett kryptering

Möjlighet anonymisera? Kan informationen anonymiseras? Då gäller inte PuL/dataskyddsförordningen När är data anonymiserat? Informationen hänförs inte längre direkt eller indirekt till en individ. Utvärdera om det finns lämpliga tekniska lösningar Pseudonymisering?

Integritetens vägval big data Fullständig anonymisering Fullständig Personuppgiftscompliance Är fullständig anonymisering ens möjlig?

Ok, det finns personuppgifter i vår data lake... Now what?

När är behandling tillåten? Uppgifter ska bara hanteras i den mån det är nödvändigt med hänsyn till ett lagligt ändamål Behandlingen behöver vara tillåten enligt samtycke nödvändigt för att ett avtal med den registrerade ska kunna fullgöras nödvändigt fullgöra rättslig förpliktelse skydda intressen av grundläggande betydelse för registrerade en arbetsuppgift av allmänt intresse ska kunna utföras eller intresseavvägning

Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse

Identifiera Personuppgiftsansvarig och Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträde En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter Ansvarar alltid självständigt för att lagen uppfylls och ska kunna visa att lagen följs En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Utökade direkta skyldigheter Självständigt ansvar

Krav på personuppgiftsbiträdesavtal Utökade krav på biträden - formkrav Viktigt att tänka på vid alla samarbeten som innebär utbyte av personuppgifter Inte längre ett standardavtal viktigt anpassa till situationen förhandla! Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ

Särskilda kategorier (ökade krav) Känsliga personuppgifter Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Biometriska och genetiska uppgifter Hälsa Sexuell läggning/sexualliv Får fortfarande bara behandlas i undantagsfall, exempelvis Uttryckligt samtycke Nödvändig behandling för vissa syften inom arbetsrätten och angivna syften enligt nationell lag, t.ex. omsorg, socialt skydd

Privacy by design Anpassa systemen efter vilka dataskyddskrav som gäller för just ert företag och varje situation Behörighet Uppgiftsminimering Anonymisera om möjligt, undvik peka ut individer Begränsa åtkomsten till uppgifterna Hög säkerhet Möjligheter till kryptering, säkerhetskopiering och loggar, säker utplåning Funktioner för autentisering Enkel möjlighet till gallring, automatisk och enkel radering av uppgifter som inte behövs Möjliggöra utelämnande av information till registrerade

Ett stort antal andra krav Ökat ansvar för företag att visa att reglerna följs Ny typ av information till registrerade uppdatera personuppgiftspolicy Nya rutiner för hur information ska ges Notifieringskrav data breach Dataskyddsombud Dataportabilitet Certifieringsmöjligheter Förbud mot överföring till tredje land Säkerhetskrav

Vad gör vi?

Praktiska tips Big data Analysera dataflöden Vilken typ av personuppgifter behandlas och för vilka ändamål? Ta fram policys och rutiner För bl.a. gallring, inhämtande av giltiga samtycken, dataportabilitet, rätten att bli glömd och agerande vid personuppgiftsincident.

Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policys Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policys för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder - rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv. 2017-05-11 Laglig hantering av den data vi delar med oss i våra uppkopplade liv

Caroline Sundberg / Advokat Mobil +46 709 25 25 30 caroline.sundberg@delphi.se Frågor? Advokatfirman Delphi Mäster Samuelsgatan 17 / Box 1432 / 111 84 Stockholm / Sweden Tel: +46 8 677 54 00 / www.delphi.se 2017-05-11 Laglig hantering av den data vi delar med oss i våra uppkopplade liv

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss