Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?
BAKGRUND Personuppgiftslagen (PuL) har ersatts av Dataskyddsförordningen (General Data Protection Regulation, GDPR). Sedan 25 maj 2018 styr GDPR på vilket sätt personuppgifter får användas i alla EU länder.
VAD ÄR EN PERSONUPPGIFT? En personuppgift är: a) uppgift om b) en person Varje upplysning som avser en identifierad eller identifierbar fysisk person Exempel: Namn, e-postadress, personnummer, ip adress, födelsedatum, telefonnummer, hälsotillstånd, foton, medlemskap, värderande omdömen
KÄNSLIGA PERSONUPPGIFTER Känsliga personuppgifter har ett särskilt skydd. Personuppgifter som avslöjar : 1. ras eller etniskt ursprung 2. politiska åsikter Alternativt behandlar: 8. genetiska uppgifter 9. biometriska uppgifter 3. religiösa eller filosofiska uppfattningar 4. fackligt medlemskap eller som rör: 5. hälsa, 6. sexualliv, samt 7. sexuell läggning
NÄR SKYDDAS PERSONUPPGIFTER AV GDPR GDPR tillämpas på personuppgifter som behandlas på automatisk väg. All behandling i datorer av personuppgifter. Framför allt digital teknik.
PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER Laglighet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Den personuppgiftsansvarige ska ansvara för och kunna visa att dessa principer efterlevs (ansvarsskyldighet)
LAGLIGA GRUNDER FÖR BEHANDLING Behandlingen är nödvändig för att: Fullgöra ett avtal Fullgöra en rättslig (lagar, förordningar, myndighetsbeslut) skyldighet. Intresseavvägning Om det berättigade intresse av en behandling väger tyngre än den registrerades intresse av integritetsskydd. Samtycke
SITUATIONER Anställda Kunder Personligt möte Telefon E-post Hemsida Samarbetsparters Leverantörer
REGISTRERADES RÄTTIGHETER 1. Rätt till information (artikel 13 och 14) 2. Rätt till registerutdrag (artikel 15) 3. Rätt till rättelse (artikel 16) 4. Rätt till radering ( rätt att bli bortglömd ) (artikel 17) 5. Rätt att begära begränsning av behandling (artikel 18) 6. Rätt till dataportabilitet (artikel 20) 7. Rätt att invända mot behandling (artikel 21)
ANMÄLAN AV PERSONUPPGIFTSINCIDENT Skyldighet att anmäla s.k. personuppgiftsincidenter till: 1. tillsynsmyndigheten utan onödigt dröjsmål och senast inom 72 timmar från det att incidenten upptäcktes, om det inte är osannolikt att incidenten innebär en integritetsrisk, och 2. den registrerade utan onödigt dröjsmål och endast när incidenten sannolikt innebär en hög risk för de registrerades integritet (om inte nödvändiga åtgärder vidtagits eller det skulle innebära en oproportionerlig insats). Personuppgiftsbiträden ska anmäla incidenter utan onödigt dröjsmål till den personuppgiftsansvarige.
ADMINISTRATIVA SANKTIONSAVGIFTER Administrativa sanktionsavgifter vid överträdelser kan uppgå till: 10 20 miljoner EUR; eller om det rör sig om ett företag 2 4% av den globala årsomsättningen under förgående budgetår (beroende på vilket som är högst). Vid flera överträdelser ska det totala beloppet inte överstiga det belopp som fastställs för den allvarligaste överträdelsen.
CHECKLISTA 1. Utse någon som ansvarar för dataskyddsfrågorna för verksamheten. 2. Kartlägg vilka personuppgifter och varför ni behandlar personuppgifter. 3. Gör en bedömning avseende de lagliga grunder för behandling som ni förlitar er på. 4. Hur ska registrerades rättigheter hanteras?
FORTS. CHECKLISTA 5. Vilken information lämnar ni om er personuppgiftsbehandling? Se över och uppdatera informationstexter. 6. Inför rutin för att hantera personuppgiftsincidenter. 7. Utbilda personalen. 8. Se över och uppdatera dataskyddsavtal
FÖR MER INFORMATION Datainspektionens hemsida, www.datainspektionen.se Visitas hemsida http://www.visita.se/dataskydd Svenskt Näringslivs handbok Företagen och dataskyddsförordningen