GDPR- Seminarium 2017 Guldfågeln Arena Jonas Lindbäck 070-526 82 27 jonas.lindback@aditor.se
Dataskyddsförordningen GDPR Martin Brinnen 2017-10-24
Ett par nyheter En förordning gäller som svensk lag Harmonisering innebär stopp för svenska särlösningar Missbruksregeln i 5 a PUL försvinner Stärkt ställning för den registrerade Dataportabilitet Ökat ansvar för ansvariga och biträden Konsekvensbedömning avseende dataskydd Anmäla personuppgiftsincident Sanktionsavgifter
Grundläggande begrepp
Personuppgifter Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade) En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet
Personuppgiftsansvarig (Controller) Dataskyddsombud (Data Protection Officer) Personuppgiftsbiträde (Processor) Dataskyddsombud (Data Protection Officer) Den registrerade
När gäller reglerna?
När gäller reglerna? Automatiserad behandling av personuppgifter Hel eller delvis Undantagsvis även manuell behandling Undantag Privat behandling Mediernas behandling (TF/YGL) Annan yttrande- och informationsfrihet Offentlighetsprincipen
Territoriellt tillämpningsområde Personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i EU Personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade utanför EU om de erbjuder varor och tjänster i EU eller övervakar registrerades beteende i EU.
Principer för behandling av personuppgifter
Principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Ansvarsskyldighet
Hur kan ni visa att ni följer förordningen? Öppenhetsprincipen Anta lämpliga strategier för dataskydd Dokumentation Konsekvensbedömning Utse dataskyddsombud Certifiering Uppförandekoder
Principerna kort checklista Bestäm ändamålet och håll dig till det Endast uppgifter som behövs Korrekta uppgifter Radera felaktiga och onödiga uppgifter Identifiera rättslig grund Informera de registrerade Dokumentera och visa att ni gör rätt Skydda uppgifterna
Rättslig grund för behandling av personuppgifter
Rättslig grund för behandlingen Samtycke Behandling är nödvändig för Avtal Rättslig förpliktelse* Grundläggande intressen Uppgift av allmänt intresse* Myndighetsutövning* Intresseavvägning (begränsat för myndigheter) * Nationell reglering krävs och nationell anpassning tillåts
Checklista för samtycke Kontrollera och (vid behov) förnya samtycken Var klar och tydlig samt specifik Gör samtycket separat från övriga avtalsvillkor Ge tydlig information Gör det lätt att dra tillbaka samtycket Ha inte samtycke som krav för ett avtal Dokumentera samtycken Ta vid behov in vårdnadshavares samtycke
Känsliga personuppgifter Personuppgifter om ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening hälsa sexualliv eller sexuell läggning genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person Artikel 9.1
Känsliga personuppgifter Principiellt förbud att behandla känsliga uppgifter Undantag för bland annat uttryckligt samtycke offentliggörande bevaka rättsliga anspråk Undantag föreslagna av Dataskyddsutredningen på arbetsrättens område hälso- och sjukvård, social omsorg arkiv och statistik myndigheternas behandling i vissa fall
Uppgifter om brott m.m.* Små förändringar i GDPR Särskilt undantag krävs för andra än myndigheter Undantag Rättsliga anspråk Polisanmälan Rättsliga förpliktelse Arkiv Föreskrifter från regeringen eller Datainspektionen Beslut i enskilda fall av Datainspektionen * Enligt dataskyddsutredningens förslag
Personnummer* Inga förändringar Personnummer och samordningsnummer får behandlas samtycke, när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av säker identifiering, eller något annat beaktansvärt skäl. * Enligt dataskyddsutredningens förslag
Registrerades rättigheter
Registrerades rättigheter Information och registerutdrag Rättelse och radering Begränsning av behandling Dataportabilitet Invändning mot behandling Motsätta sig automatiserad behandling Personuppgiftsansvariga har en skyldighet att underlätta utövandet av rättigheterna Artiklarna 12-23
Radering rätten att bli glömd Radera personuppgifter om den registrerade Förutsättningar, bl.a. om uppgifter inte längre behövs för ändamålen återkallat samtycke Informera, i vissa fall, andra personuppgiftsansvariga och mottagare Undantag, bl.a. Nödvändig för yttrande- och informationsfriheten Nödvändig för rättslig förpliktelse, allmänt intresse och myndighetsutövning, rättsliga anspråk Nödvändig för arkiv, forskning och statistik Artikel 17 och 19, skäl 65-66
Dataportabilitet Rätt att få ut och överföra egna personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format, om uppgifter har tillhandahållits av den registrerade, behandling sker med stöd av samtycke eller avtal, behandling sker automatiserat inte påverkar andra rättigheter och friheter negativt Ej vid allmänt intresse eller myndighetsutövning Artikel 20, skäl 68
Skyldigheter för den som behandlar personuppgifter
Skyldigheter för personuppgiftsansvariga Vidta åtgärder för att följa förordningen och kunna visa det Underlätta för registrerade att utöva sina rättigheter Inbyggt dataskydd och dataskydd som standard Säkerhet vid behandling Anmälan av personuppgiftsincidenter Konsekvensbedömningar och förhandssamråd Register över behandlingar Utse dataskyddsombud
Artikel 4, 33-34, skäl 85-88 Anmäla personuppgiftsincident En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats Anmälan om det inte är osannolikt att incidenten medför risk Om personuppgiftsincidenten sannolikt leder till hög risk ska den registrerade informeras om incidenten Alla incidenter ska dokumenteras av
Konsekvensbedömningar Ska utföras om en behandling sannolikt bedöms leda till en hög risk för fysiska personers rättigheter Risken bedöms utifrån behandlingens art omfattning sammanhang ändamål användningen av ny teknik I tre särskilt angivna fall ska en konsekvensbedömning alltid utföras Artikel 35, skäl 83, 89-95
Inledande riskanalys sannolikt hög risk Konsekvensbedömning Åtgärder hög risk Förhandssamråd
Skyldigheter för personuppgiftsbiträden Lämna garantier för att förordningen följs Krav på biträdesavtalet Bistå den personuppgiftsansvarige Register över behandling Eventuella underbiträden måste godkännas av den personuppgiftsansvarige Eget ansvar för säkerhet Anmälan av personuppgiftsincidenter till den personuppgiftsansvarige Utse dataskyddsombud Artikel 28, 30, 32 och 33
Dataskyddsombud
Utnämning av dataskyddsombud Skyldighet att utse ett dataskyddsombud om: myndighet kärnverksamhet som innebär systematisk övervakning av de registrerade i stor omfattning kärnverksamhet som innebär behandling i stor omfattning av integritetskänsliga personuppgifter Även personuppgiftsbiträden ska utse dataskyddsombud
Dataskyddsombudets uppgifter Ska minst: Informera och ge råd Övervaka efterlevnaden Ge råd vid konsekvensbedömningar Samarbeta med tillsynsmyndigheten Fungera som kontaktpunkt för tillsynsmyndigheten
Dataskyddsombudets ställning Delta i god tid i alla frågor som rör skyddet av personuppgifter Få resurser som krävs för att fullgöra sina uppgifter Kunna utföra sina uppgifter på ett oberoende sätt Inte bestraffas för att ha utfört sitt uppdrag Ska rapportera till högsta förvaltningsnivå Ta emot frågor från den registrerade om behandling av personuppgifter Är bunden av sekretess Få fullgöra andra uppgifter och uppdrag undvika intressekonflikt Artikel 38
Tillsyn och sanktioner
Vad händer om ni bryter mot reglerna? Datainspektionens verktyg Tillsyn, föreläggande, varning och reprimand Administrativa sanktionsavgifter Den registrerades egna möjligheter Lämna in klagomål till Datainspektionen Begära skadestånd Artikel 58, 77, 78, 82, 83, 84
Administrativa sanktionsavgifter Kompletterar andra förelägganden Avgiften ska i det enskilda fallet vara effektiv, proportionell och avskräckande Hänsyn ska tas till ett stort antal faktorer, bl.a. Antal personuppgifter Ändamål Vidtagna åtgärder för att minska intrång Tidigare överträdelser Samarbetsvilja
Sanktionsavgifter Högre avgiftsnivå (upp till 20 milj. euro eller 4 % av globala omsättningen) Gäller för överträdelser av bl.a. De grundläggande principerna De registrerades rättigheter Överföring till tredje land Underlåtenhet att rätta sig efter förelägganden
Sanktionsavgifter (forts.) Lägre avgiftsnivån (upp till 10 milj. euro eller 2 % av globala omsättningen) Gäller för överträdelser av bl.a. Inbyggt dataskydd Föra register över behandlingar Utse dataskyddsombud Vidta säkerhetsåtgärder Anmäla personuppgiftsincident
Checklista
http://www.datainspektionen.se/dataskyddsreformen/