GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Relevanta dokument
Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Välkomna till kurs i den nya dataskyddsförordningen

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR Presentation Agenda

Dataskyddsförordningen

Dataskyddsförordningen

GDPR. Dataskyddsförordningen

EU:s dataskyddsförordning

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Dataskyddsförordningen GDPR

GDPR NYA DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Koncernkontoret Enheten för juridik

GDPR- Seminarium 2017

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR General data protection regulation Dataskyddsförordningen

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

Dataskyddsförordningen

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Nya Dataskyddsförordningen. Agnes Hammarstrand

Vården och reglerna om dataskydd

Regler för behandling av personuppgifter vid Högskolan Dalarna

Behandling av personuppgifter vid Göteborgs universitet

Nya dataskyddsförordningen - i ett HR-perspektiv Emma Bädicker Advokatfirman Delphi

Kerstin Wardman, 25 april 2018

Dataskyddsförordningen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

GDPR viktiga nyheter jämfört med PuL

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

Status panik? GDPR-update! Disposition

Dataskyddsförordningen GDPR - General Data Protection Regulation

GDPR. General Data Protection Regulation. dataskyddsförordningen

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Så behandlar vi dina personuppgifter

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

PuL och GDPR en översiktlig genomgång

Dataskyddsförordningen och kvalitetsregister

Riktlinjer för dataskydd

GDPR och annat om personlig integritet som man bör tänka på

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Att hantera personuppgifter

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Riktlinjer för behandling av personuppgifter

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Dataskyddsförordningen

Policy för behandling av personuppgifter

Personuppgiftsbehandling Dataskydd

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Dataskyddsförordningen

Riktlinjer för behandling av personuppgifter i Årjängs kommun

GDPR Utbildning Varför görs denna förändring? När börjar den nya lagen gälla? Individens rätt Likformighet Uppdatering Kostnadsbesparingar

PUL OCH DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

EU:s dataskyddsförordning

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Ny personuppgiftsförordning Försäkringsjuridiska Föreningen. Agnes A Hammarstrand / Advokat 3 mars 2016

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Nya Dataskyddsförordningen. Agnes Hammarstrand

Dataskyddsförordningen

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

GDPR definition och hur utbildningen berör(t)s av förordningen

Dataskyddsförordningen - GDPR

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

GDPR. Ulrika Harnesk 17 oktober 2018

GDPR - ARBETSRÄTT. Presentation för AFS den 25 september Advokat Emelie Svensäter Jerntorp

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

GDPR och hantering av personuppgifter

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Integritetspolicy Din integritet är av yttersta vikt för oss. I följande integritetspolicy förklaras på ett lättförståeligt sätt hur Cyklos AB, org.

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Idrottens Uppförandekod

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

36. GDPR-sex månader kvar november 2017

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

Lindesbergs kommuns arbete med dataskyddsförordningen

Information om dataskyddsförordningen

Dataskyddsförordningen, GDPR

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Transkript:

GDPR utmaningar och konsekvenser för dig som jobbar med lön Peter Nordbeck 9 november 2017

Agenda Introduktion De viktigaste att tänka på för dig som jobbar med lön Hur får du använda personuppgifterna? Hur länge får personuppgifterna sparas? Relationen med leverantören Så påverkar regelverket din yrkesroll

Introduktion

Idag: Personuppgiftslagen ( PuL ) och motsvarande nationella lagar i EU Syfte att skydda mot att personlig integritet kränks genom behandling av personuppgifter I praktiken få sanktioner vid brott mot lagen Många bryter idag mot lagen Nationell lag baserad på EU-direktiv Annan lagstiftning gäller före 2017-11-10 GDPR - utmaningar och konsekvenser för dig som jobbar med lön

Ny EU-förordning ( GDPR ) Förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter Direkt gällande förordning som ersätter PuL och motsvarande lagar i hela EU (EES) Syfte: Stärka integritetsskyddet Anpassat till tekniken Underlätta handel inom EU De nya reglerna gäller från och med den 25 maj 2018 2017-11-10 GDPR - utmaningar och konsekvenser för dig som jobbar med lön

Förordningen i korthet Principerna bygger på nuvarande lag, men också ett stort antal nyheter Tydlig strävan efter enhetlighet, men finns vissa möjligheter till nationella avvikelser, t.ex. vad gäller Journalistiska ändamål Akademiskt, konstnärligt eller litterärt skapande Offentlighetsprincipen Personnummer Arbetsrätt Forskningsändamål eller statistiska ändamål 2017-11-10 GDPR - utmaningar och konsekvenser för dig som jobbar med lön

Obs! Kompletterande lagstiftning Förordningen behöver kompletteras av nationella regler Ny dataskyddslag SOU 2017:39 Dessutom finns kompletterande lag som får stor betydelse på enskilda områden i praktiken, regler som ställer krav på hur länge data måste sparas, t.ex. arbetsrätt, bokföringslag, m.m. Många konkreta frågor kommer därför ändå kräva nationell bedömning!

När gäller lagen? Gäller för ansvarig eller biträde etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte Även om inte etablerade i unionen avser registrerade som befinner sig i unionen; och behandlingen har anknytning till utbjudande av varor eller tjänster till sådana registrerade i unionen Gäller all behandling av personuppgifter Även manuell behandling i register i vissa fall

Det viktigaste att tänka på för dig som jobbar med lön

Undantaget för ostrukturerat material försvinner Enligt PuL finns ett undantag för uppgifter som inte strukturerats för att påtagligt underlätta sökning Löpande text i ordbehandlings-program, text eller e-mail, inlägg på sociala medier Undantaget försvinner med GDPR Åtgärd: Utred om ni utnyttjat undantaget för behandling av ostrukturerat material och undersök framtida förutsättningar enligt förordningen (laglig grund, information till den registrerade etc.)

Accountability Företag ska kunna visa att lagen följs Krav på att 1) Varje behandling ska vara laglig 2) Krav på att ha olika rutiner, dokumentation och policyer på plats för att följa reglerna 3) Ordning och reda, policyer och rutiner 4) Krav att arbeta aktivt med lagen, skapa medvetenhet m.m. Skyldighet för personuppgiftsansvariga (och biträden) att föra register över behandlingen

Registerförteckning Ett antal krav på vad ett register ska innehålla: namn och kontaktuppgifter för den personuppgiftsansvariga och dataskyddsombudet ändamålen med behandlingen beskrivning av kategorierna av registrerade och personuppgifter kategorier av mottagare ev. överföringar till tredjeland eller internationella organisationer förutsedda tidsfrister för radering allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder

Integritetstrappan vilka regler gäller enligt lagen Information till registrerade Säkerhet, rutiner för dataportabilitet etc. Avtal, dokumentation, rutiner, m.m. Förbud att flytta uppgifter utanför EU Är behandlingen laglig? Grundläggande principer att följa, t.ex. gallring Speciella krav för känsliga uppgifter

Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål Får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen Korrekthet Uppgifter ska vara korrekta och om nödvändigt uppdaterade, annars raderas eller rättas Lagringsminimering Uppgifter får inte sparas längre tid än nödvändigt för ändamålen Integritet och konfidentialitet Krav på säkerhet, inbegripet skydd mot obehörig/otillåten behandling och mot förlust Ansvarsskyldighet Den ansvarige ska kunna visa att de grundläggande principerna efterlevs

När är behandling tillåten? Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras Nödvändigt för att fullgöra rättslig förpliktelse (Skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person) En arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning Intresseavvägning Samtycke 2017-11-10 GDPR - utmaningar och konsekvenser för dig som jobbar med lön

Rättslig grund Förslag till ny Dataskyddslag: Förtydligande att minst en rättslig grund enligt artikel 6.1 i GDPR ska vara uppfylld För att grunden rättslig förpliktelse ska vara tillämplig krävs att den Är reglerad i lag eller annan författning Följer av kollektivavtal Följer av beslut som meddelats med stöd av lag eller annan författning

Rättslig grund för dig som jobbar med lön Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras Anställningsavtalet lön ska betalas ut Nödvändigt för att fullgöra rättslig förpliktelse Bokföringslagen räkenskapsmaterial ska sparas i sju år Samtycke är inte nödvändigt för att betala ut lön! 2017-11-10 GDPR - utmaningar och konsekvenser för dig som jobbar med lön

Kan jag maila en lönespec? Datainspektionen: Känsliga personuppgifter i e- post ska krypteringsskyddas på ett sådant sätt att endast den avsedda mottagaren kan ta del av dem. Alternativa lösningar: Mina sidor E-lönespecifikationer via internetbanken Privacy by design Ställ krav på leverantören att tillhandahålla lösningar

Mer omfattande informationskrav Enligt de nya kraven ska bl.a. följande information lämnas: den period under vilken personuppgifterna kommer att lagras; de berättigade intressen som åberopas vid behandling med stöd av intresseavvägning rätten till dataportabilitet; och rätten att inge klagomål till en tillsynsmyndighet Information ska vara: koncis, klar, tydlig, begriplig, finnas i en lätt tillgänglig form och ha klart och tydligt språk och ska som huvudregel vara skriftlig Information kan lämnas i anställningsavtalet eller på intranätet 2017-11-10 GDPR - utmaningar och konsekvenser för dig som jobbar med lön

Hur länge får personuppgifter sparas? Uppgifter får inte sparas längre tid än nödvändigt för ändamålen Uppgifter om lön är nödvändiga att spara Så länge anställningsavtalet består För att säkerställa rättigheter och uppfylla skyldigheter inom arbetsrätten För bokföringsändamål GDPR innebär alltså inte att du inte kan uppfylla bokföringslagens krav på lagring! Ta fram gallringspolicy

Säkerställ att ni inte behandlar de uppgifter ni inte ska ha kvar Radera uppgifter som ni inte ska ha kvar Rätta felaktiga uppgifter Säkerställ åtkomstkontroll Skapa utbildning och rutiner för att undvika att fel uppgifter hanteras Undvik känsliga uppgifter Undvik värderande omdömen eller annan kränkande info

Relationen med era leverantörer

Privacy by design Inbyggd integritet Säkerhets- och integritetsaspekter ska tas hänsyn till redan vid planering och utveckling av IT-system De grundläggande principerna, t.ex. undvika fritextfält, behörighet, standardinställningar för lagring, m.m. Den som är personuppgiftsansvarig ska ställa kraven Anpassa systemen efter vilka dataskyddskrav som gäller för just ert företag och varje situation Åtgärder: Inför rutiner för att ställa krav vid ITupphandlingar samt utbilda eventuella IT-arkitekter

Privacy by default Dataskydd som standard I standardfallet bara hantera uppgifter som är nödvändiga med hänsyn till ändamålet Exempel: IT-systemens arbetsflöde ska automatiskt styra användaren mot ett integritetssäkert arbetssätt Grundinställningarna ska vara satta så att inte mer information än nödvändigt samlas in eller visas

Krav på personuppgiftsbiträdesavtal med era leverantörer Biträdesavtal behöver finnas med alla biträden Påbörja arbete för att få alla avtal på plats Fråga leverantör eller skriva egna? Beror ofta på typ av relation: Leverantörers standardapplikationer Er outsourcade IT/IT-partner Standard enkla tjänster, t.ex. konsulttjänster Ha rutin för att bocka av om avtal ingåtts/ingås? Ha en lista över alla biträden Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ

Förbud mot överföring utanför EU Lagstiftningen ska inte kunna kringgås Om ni inte har en garanti att data endast behandlas inom EES behöver ni säkerställa att undantag gäller, t.ex. Modellklausulsavtal (ett avtal utöver biträdesavtalet) Privacy Shield

Hur påverkas din yrkesroll?

Ingen panik Uppgifter om lön kan fortfarande behandlas Nödvändigt för att administrera anställningsavtalet Bokföringsändamål Du kan spara uppgifter om lön Så länge anställningsavtalet består Så länge det behövs för att säkerställa rättigheter och uppfylla skyldigheter inom arbetsrätten I sju år för bokföringsändamål Krav på mera utförlig information till anställda Lämna informationen i anställningsavtalet eller på intranätet 2017-11-10 GDPR - utmaningar och konsekvenser för dig som jobbar med lön

Ingen panik.., forts Ställ krav på leverantörer att uppfylla privacy by design m.m. Högre krav på ordning och reda, policyer och rutiner Nyheter i GDPR har inte primärt fokus på behandling av personuppgifter om lön Dataportabilitet Rätten att bli bortglömd Konsekvensbedömning Dataskyddsombud 2017-11-10 GDPR - utmaningar och konsekvenser för dig som jobbar med lön

Lycka till och kör hårt!

Peter Nordbeck, Partner / Advokat Telefon: +46 (0) 8 677 55 30 Mobil: +46 (0) 709 25 25 01 peter.nordbeck@delphi.se Advokatfirman Delphi Adress: Mäster Samuelsgatan 17, Box 1432, 111 84 Stockholm Telefon: + 46 (0) 8 677 54 00 Fax +46 (0) 8 20 18 84 www.delphi.se

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss