GDPR- Seminarium 2017

Relevanta dokument
Dataskyddsförordningen (GDPR)

EU:s dataskyddsförordning

GDPR. Ulrika Harnesk 17 oktober 2018

Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Vården och reglerna om dataskydd

Dataskyddsförordningen

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

EU:s dataskyddsförordning

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Välkomna Dataskyddsförordningen med fokus på den offentliga sektorn

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Disposition. Stockholm den 31 maj 2017 Lisa Johansson, Salli Fanaei, Tove Fors och Mattias Sandström

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

PUL OCH DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen

GDPR. Dataskyddsförordningen

Dataskyddsförordningen, privat sektor Välkomna Dataskyddsförordningen med fokus på den privata sektorn. Datainspektionen 1.

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Dataskyddsförordningen

Dataskyddsförordningen 2018

PuL och GDPR en översiktlig genomgång

Dataskyddsförordningen 2018

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen

Dataskyddsförordningen

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Dataskyddsförordningen

EU:s nya dataskyddsförordning Lotta Wikman Öman

Dataskyddsförordningen GDPR

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen i utbildningsverksamhet

Dataskyddsförordningen och kvalitetsregister

GDPR definition och hur utbildningen berör(t)s av förordningen

GDPR- Vad har hänt och hur ser tillämpningen ut?

GDPR NYA DATASKYDDSFÖRORDNINGEN

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Personuppgiftsbehandling Dataskydd

Behandling av personuppgifter vid Göteborgs universitet

Idrottens Uppförandekod

Koncernkontoret Enheten för juridik

GDPR General data protection regulation Dataskyddsförordningen

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen, GDPR

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

INFORMATIONSSÄKERHET OCH DATASKYDD

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Policy för behandling av personuppgifter

Dataskyddsförordningen

Personuppgiftsinformation för Svedala kommun

Integritetspolicy för Judiska församlingen (JF) i Stockholm

LANDAHL ADVOKATBYRÅS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

GDPR - Riktlinjer för hantering av personuppgifter

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Policy för personuppgiftsbehandling

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Lathund Dataskydd för krögare

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Dataskyddsförordningen för prefekter och administrativa chefer

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

1(13) Riktlinjer för hantering av personuppgifter enligt dataskyddslagstiftningen (GDPR) Styrdokument

Kerstin Wardman, 25 april 2018

Dataskydd och forskning i Europa och Sverige

PERSONUPPGIFTSBITRÄDESAVTAL

GDPR Presentation Agenda

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Personuppgiftslagen (PuL) - En kort introduktion

GDPR. General Data Protection Regulation. dataskyddsförordningen

EU:s allmänna dataskyddsförordning:

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Den nya Dataskyddsförordningen

36. GDPR-sex månader kvar november 2017

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

GDPR- Vad har hänt och hur ser tillämpningen ut?

Nya dataskyddsförordningen GDPR

Skolan och Dataskyddsförordningen

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen, GDPR

Policy för behandling av personuppgifter

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Personuppgiftsbiträdesavtal

Transkript:

GDPR- Seminarium 2017 Guldfågeln Arena Jonas Lindbäck 070-526 82 27 jonas.lindback@aditor.se

Dataskyddsförordningen GDPR Martin Brinnen 2017-10-24

Ett par nyheter En förordning gäller som svensk lag Harmonisering innebär stopp för svenska särlösningar Missbruksregeln i 5 a PUL försvinner Stärkt ställning för den registrerade Dataportabilitet Ökat ansvar för ansvariga och biträden Konsekvensbedömning avseende dataskydd Anmäla personuppgiftsincident Sanktionsavgifter

Grundläggande begrepp

Personuppgifter Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade) En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet

Personuppgiftsansvarig (Controller) Dataskyddsombud (Data Protection Officer) Personuppgiftsbiträde (Processor) Dataskyddsombud (Data Protection Officer) Den registrerade

När gäller reglerna?

När gäller reglerna? Automatiserad behandling av personuppgifter Hel eller delvis Undantagsvis även manuell behandling Undantag Privat behandling Mediernas behandling (TF/YGL) Annan yttrande- och informationsfrihet Offentlighetsprincipen

Territoriellt tillämpningsområde Personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i EU Personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade utanför EU om de erbjuder varor och tjänster i EU eller övervakar registrerades beteende i EU.

Principer för behandling av personuppgifter

Principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Ansvarsskyldighet

Hur kan ni visa att ni följer förordningen? Öppenhetsprincipen Anta lämpliga strategier för dataskydd Dokumentation Konsekvensbedömning Utse dataskyddsombud Certifiering Uppförandekoder

Principerna kort checklista Bestäm ändamålet och håll dig till det Endast uppgifter som behövs Korrekta uppgifter Radera felaktiga och onödiga uppgifter Identifiera rättslig grund Informera de registrerade Dokumentera och visa att ni gör rätt Skydda uppgifterna

Rättslig grund för behandling av personuppgifter

Rättslig grund för behandlingen Samtycke Behandling är nödvändig för Avtal Rättslig förpliktelse* Grundläggande intressen Uppgift av allmänt intresse* Myndighetsutövning* Intresseavvägning (begränsat för myndigheter) * Nationell reglering krävs och nationell anpassning tillåts

Checklista för samtycke Kontrollera och (vid behov) förnya samtycken Var klar och tydlig samt specifik Gör samtycket separat från övriga avtalsvillkor Ge tydlig information Gör det lätt att dra tillbaka samtycket Ha inte samtycke som krav för ett avtal Dokumentera samtycken Ta vid behov in vårdnadshavares samtycke

Känsliga personuppgifter Personuppgifter om ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening hälsa sexualliv eller sexuell läggning genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person Artikel 9.1

Känsliga personuppgifter Principiellt förbud att behandla känsliga uppgifter Undantag för bland annat uttryckligt samtycke offentliggörande bevaka rättsliga anspråk Undantag föreslagna av Dataskyddsutredningen på arbetsrättens område hälso- och sjukvård, social omsorg arkiv och statistik myndigheternas behandling i vissa fall

Uppgifter om brott m.m.* Små förändringar i GDPR Särskilt undantag krävs för andra än myndigheter Undantag Rättsliga anspråk Polisanmälan Rättsliga förpliktelse Arkiv Föreskrifter från regeringen eller Datainspektionen Beslut i enskilda fall av Datainspektionen * Enligt dataskyddsutredningens förslag

Personnummer* Inga förändringar Personnummer och samordningsnummer får behandlas samtycke, när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av säker identifiering, eller något annat beaktansvärt skäl. * Enligt dataskyddsutredningens förslag

Registrerades rättigheter

Registrerades rättigheter Information och registerutdrag Rättelse och radering Begränsning av behandling Dataportabilitet Invändning mot behandling Motsätta sig automatiserad behandling Personuppgiftsansvariga har en skyldighet att underlätta utövandet av rättigheterna Artiklarna 12-23

Radering rätten att bli glömd Radera personuppgifter om den registrerade Förutsättningar, bl.a. om uppgifter inte längre behövs för ändamålen återkallat samtycke Informera, i vissa fall, andra personuppgiftsansvariga och mottagare Undantag, bl.a. Nödvändig för yttrande- och informationsfriheten Nödvändig för rättslig förpliktelse, allmänt intresse och myndighetsutövning, rättsliga anspråk Nödvändig för arkiv, forskning och statistik Artikel 17 och 19, skäl 65-66

Dataportabilitet Rätt att få ut och överföra egna personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format, om uppgifter har tillhandahållits av den registrerade, behandling sker med stöd av samtycke eller avtal, behandling sker automatiserat inte påverkar andra rättigheter och friheter negativt Ej vid allmänt intresse eller myndighetsutövning Artikel 20, skäl 68

Skyldigheter för den som behandlar personuppgifter

Skyldigheter för personuppgiftsansvariga Vidta åtgärder för att följa förordningen och kunna visa det Underlätta för registrerade att utöva sina rättigheter Inbyggt dataskydd och dataskydd som standard Säkerhet vid behandling Anmälan av personuppgiftsincidenter Konsekvensbedömningar och förhandssamråd Register över behandlingar Utse dataskyddsombud

Artikel 4, 33-34, skäl 85-88 Anmäla personuppgiftsincident En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats Anmälan om det inte är osannolikt att incidenten medför risk Om personuppgiftsincidenten sannolikt leder till hög risk ska den registrerade informeras om incidenten Alla incidenter ska dokumenteras av

Konsekvensbedömningar Ska utföras om en behandling sannolikt bedöms leda till en hög risk för fysiska personers rättigheter Risken bedöms utifrån behandlingens art omfattning sammanhang ändamål användningen av ny teknik I tre särskilt angivna fall ska en konsekvensbedömning alltid utföras Artikel 35, skäl 83, 89-95

Inledande riskanalys sannolikt hög risk Konsekvensbedömning Åtgärder hög risk Förhandssamråd

Skyldigheter för personuppgiftsbiträden Lämna garantier för att förordningen följs Krav på biträdesavtalet Bistå den personuppgiftsansvarige Register över behandling Eventuella underbiträden måste godkännas av den personuppgiftsansvarige Eget ansvar för säkerhet Anmälan av personuppgiftsincidenter till den personuppgiftsansvarige Utse dataskyddsombud Artikel 28, 30, 32 och 33

Dataskyddsombud

Utnämning av dataskyddsombud Skyldighet att utse ett dataskyddsombud om: myndighet kärnverksamhet som innebär systematisk övervakning av de registrerade i stor omfattning kärnverksamhet som innebär behandling i stor omfattning av integritetskänsliga personuppgifter Även personuppgiftsbiträden ska utse dataskyddsombud

Dataskyddsombudets uppgifter Ska minst: Informera och ge råd Övervaka efterlevnaden Ge råd vid konsekvensbedömningar Samarbeta med tillsynsmyndigheten Fungera som kontaktpunkt för tillsynsmyndigheten

Dataskyddsombudets ställning Delta i god tid i alla frågor som rör skyddet av personuppgifter Få resurser som krävs för att fullgöra sina uppgifter Kunna utföra sina uppgifter på ett oberoende sätt Inte bestraffas för att ha utfört sitt uppdrag Ska rapportera till högsta förvaltningsnivå Ta emot frågor från den registrerade om behandling av personuppgifter Är bunden av sekretess Få fullgöra andra uppgifter och uppdrag undvika intressekonflikt Artikel 38

Tillsyn och sanktioner

Vad händer om ni bryter mot reglerna? Datainspektionens verktyg Tillsyn, föreläggande, varning och reprimand Administrativa sanktionsavgifter Den registrerades egna möjligheter Lämna in klagomål till Datainspektionen Begära skadestånd Artikel 58, 77, 78, 82, 83, 84

Administrativa sanktionsavgifter Kompletterar andra förelägganden Avgiften ska i det enskilda fallet vara effektiv, proportionell och avskräckande Hänsyn ska tas till ett stort antal faktorer, bl.a. Antal personuppgifter Ändamål Vidtagna åtgärder för att minska intrång Tidigare överträdelser Samarbetsvilja

Sanktionsavgifter Högre avgiftsnivå (upp till 20 milj. euro eller 4 % av globala omsättningen) Gäller för överträdelser av bl.a. De grundläggande principerna De registrerades rättigheter Överföring till tredje land Underlåtenhet att rätta sig efter förelägganden

Sanktionsavgifter (forts.) Lägre avgiftsnivån (upp till 10 milj. euro eller 2 % av globala omsättningen) Gäller för överträdelser av bl.a. Inbyggt dataskydd Föra register över behandlingar Utse dataskyddsombud Vidta säkerhetsåtgärder Anmäla personuppgiftsincident

Checklista

http://www.datainspektionen.se/dataskyddsreformen/

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss