Dataskyddsförordningen

Relevanta dokument
GDPR. Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen

EU:s dataskyddsförordning

Policy för behandling av personuppgifter

Riktlinjer för dataskydd

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

PuL och GDPR en översiktlig genomgång

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Svensk författningssamling

Dataskyddsförordningen GDPR

EU:s nya dataskyddsförordning Lotta Wikman Öman

GDPR- Seminarium 2017

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

PERSONUPPGIFTSBITRÄDESAVTAL

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

GDPR. Dataskyddsförordningen 27 april Emil Lechner

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR NYA DATASKYDDSFÖRORDNINGEN

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Personuppgiftsbiträdesavtal

Dataskyddsförordningen

Dataskyddsförordningen (GDPR)

Behandling av personuppgifter vid Göteborgs universitet

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

GDPR Presentation Agenda

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Dataskyddsförordningen

Lathund Dataskydd för krögare

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Välkomna till kurs i den nya dataskyddsförordningen

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

EU:s dataskyddsförordning

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Dataskyddsförordningen GDPR - General Data Protection Regulation

Information om behandling av personuppgifter

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

INFORMATION OM BEHANDLING AV PERSONUPPGIFTER

INFORMATIONSSÄKERHET OCH DATASKYDD

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Integritetspolicy Upplev Norrköping

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

INTEGRITETSPOLICY för Webcap i Sverige AB

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Att hantera personuppgifter

Personuppgiftsbehandling Dataskydd

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG?

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

PuL och ny dataskyddsförordning. Nätverksträff Informationssäkerhet i fokus 4 maj 2015

GDPR UTBILDNINGSDAG SKKF

Integritetspolicy. Vårt dataskyddsarbete

Dataskyddspolicy för Svensk Hypotekspension AB i enlighet med dataskyddsförordningen (EU (2016/679)

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Information om GDPR. Nya regler för personuppgifts hantering Förbered din bostadsrättsförening

Integritetspolicy Rinkaby Rör

Samspelets behandling av personuppgifter

Dataskyddsförordningen

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

GDPR. General Data Protection Regulation. dataskyddsförordningen

Dataskyddsförordningen 2018

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Samarbetsavtal behandling av personuppgifter 1. Bakgrund och syfte 2. Samarbetsavtalets giltighetstid

Dataskyddsförordningen 2018

Vad är en personuppgift och vad är en behandling av personuppgifter?

PUL OCH DATASKYDDSFÖRORDNINGEN

WHITE PAPER. Dataskyddsförordningen

Tillägg om Zervants behandling av personuppgifter

Policy för behandling av personuppgifter

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Bilaga 1a Personuppgiftsbiträdesavtal

Allmänna råd. Datainspektionen informerar. Nr 2/2016

Dataskyddsförordningen i utbildningsverksamhet

Transkript:

Dataskyddsförordningen - En översikt om de nya reglerna Observera att denna broschyr endast ger information om dataskyddsförordningen och ska inte uppfattas som juridisk rådgivning. Lindmark Welinder uppmanar att juridisk hjälp begärs vid enskilda ärenden. Lindmark Welinder, 2017.

PuL ersätts av dataskyddsförordningen Det har säkert inte undgått dig att den nuvarande Personuppgiftslagen (1998:204) (PuL) kommer att ersättas av en ny dataskyddsförordning som kommer att träda i kraft den 25 maj 2018. Många begrepp och principer i dataskyddsförordningen kommer visserligen att vara desamma som i PuL. Men den nya förordningen innehåller nästan dubbelt så många bestämmelser och kommer att medföra stora förändringar och ställa högre krav på hanteringen av personuppgifter. Redan nu uppmanar Datainspektionen företag, myndigheter och organisationer att tänka över sin hantering av personuppgifter och vidta åtgärder för att anpassa sin verksamhet efter dataskyddsförordningen. Denna broschyr är för dig som vill veta mer om dataskyddsförordningen, men som inte kommit vidare bland alla mailutskick om utbildningar, checklistor, riktlinjer och Powerpoints m.m. om de nya reglerna. Här är fakta så som vi tycker att fakta ska presenteras - lättillgängligt, intressant och enkelt. 2 «Fakta ska presenteras lättillgängligt, intressant och enkelt»

Varför? Varför ersätts PuL med dataskyddsförordningen? Under fyra år har politiska förhandlingar förts och resulterade tillslut i att EU-kommissionen, ministerrådet och EU-parlamentet enades om en gemensam text «Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter», den så kallade dataskyddsförordningen eller GDPR, som det även kallas. Bakgrunden till den nya förordningen är att skapa ett enhetligt verktyg inom EU, där samtliga medlemsstater ska upprätthålla ett likvärdigt skydd för personuppgifter. Skälet till dataskyddsförordningen är att lagstiftningen på området behövde genomgå en modernisering och uppdatering för att anpassas till det nya digitala samhället, där behovet av att skydda personuppgifter blir allt viktigare. Några viktiga begreppsdefinitioner En förordning är direkt tillämplig, vilket innebär att den direkt ersätter nationell lagstiftning. I detta fall ersätter dataskyddsförordningen PuL. 3 PuL och art. 4 i dataskyddsförordningen 3

1 2 När? När aktualiseras dataskyddsförordningen? Den blir tillämplig på sådan behandling av personuppgifter som helt eller delvis utförs på automatiserad väg, t.ex. digital Begreppsdefinition hantering med datorer. Dataskyddsförordningen är också tillämplig på annan behandling av personuppgifter än automatisk, om Register Strukturerad samling av personuppgifter som är tillgänglig. personuppgifter ingår i eller kommer att ingå i ett register, t.ex. ett register i pappersformat. 5 PuL och art. 2 och 4 i dataskyddsförordningen 4

Vad? Vad ska man tänka på vid hantering av personuppgifter? Behandlingen av personuppgifter ska ske på ett korrekt, lagligt och öppet sätt i förhållande till den enskilde. Huvudregeln är att personen måste samtycka till insamling och behandling av hans/hennes personuppgifter. Från huvudregel finns undantag. Behandling får även ske för att fullgöra avtal/uppdrag och när behandling krävs enligt lag. Personuppgifter får endast insamlas under förutsättning att de behandlas för särskilda, uttryckliga och berättigade ändamål. Jämfört med bestämmelserna i PuL kommer dataskyddsförordningen inte att göra någon åtskillnad på strukturerat och ostrukturerat material när det lagrats digitalt. Detta kommer bland annat att innebära krav på att ha en rättslig grund för all information, att informera de registrerade och att föra register över personuppgifterna. Dataskyddsförordningen kommer också att ställa mer långtgående krav jämfört med PuL, då det kommer att finnas en skyldighet att visa av vilken anledning den specifika personuppgiften insamlades och behandlades. Detta kan exempelvis göras genom att visa att den registrerade har samtyckt till behandlingen. Ett annat exempel är att genom en intresseavvägning visa om den registrerades grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter eller ej. Personuppgifter ska vara adekvata, relevanta och inte för omfattade i förhållande till de ändamål för vilka de insamlades. Personuppgifterna ska vara korrekta. Personuppgifterna får inte förvaras längre än vad som är nödvändigt med hänsyn till ändamålet. Det finns således ett krav på gallring av personuppgifter. Begreppsdefinition Samtycke Frivillig, specifik, informerad och otvetydig viljeyttring. Ett samtycke kan dras tillbaka när som helst. Observera att speciella regler gäller vid samtycke för barn. Lämpliga åtgärder ska vidtas så att personuppgifterna behandlas på ett säkert sätt. Den personuppgiftsansvarige är ansvarig och måste kunna visa att behandlingen av personuppgifter har skett i överenstämmelse med dataskyddsförordningens bestämmelser. 3, 5-5a och 9-10 PuL samt art. 5-8 i dataskyddsförordningen 5

Vad ska man tänka på vid uppförande av register? Vad? Sysselsätter ditt företag eller organisation färre än 250 personer? I sådant fall behöver ni inte föra register över alla personuppgifter, såvida inte behandling av personuppgifter sker regelbundet och det sannolikt inte innebär en hög risk för den registrerades fri- och rättigheter. Sysselsätter ditt företag eller organisation fler än 250 personer? I sådant fall behöver den personuppgiftsansvarige föra register över personuppgifterna och hur de behandlas. Registret ska innehålla följande uppgifter: Kontaktuppgifter för den personuppgiftsansvarige/personuppgiftsbiträdet; Ändamålen med behandlingen; Kategorierna av registrerade och personuppgifter; Mottagare till vilka personuppgifterna har lämnats eller kommer att lämnas ut till; Överföringar av personuppgifter till ett tredjeland eller en internationell organisation. (Ange identiteten på tredjeland eller den internationella organisationen och dokumentation av lämpliga skyddsåtgärder som har vidtagits); Hur länge personuppgifterna kommer att sparas; Allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som vidtagits; På begäran ska registret göras tillgängligt för Datainspektionen. Art. 30 i dataskyddsförordningen 6

Vem? Personuppgiftsansvarig Den som bestämmer ändamålen med behandlingen av personuppgifter. Vanligtvis är den personuppgiftsansvarige den juridiska personen (aktiebolag, stiftelse, förening eller myndighet) som bedriver verksamheten. Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträde finns alltid utanför den egna organisationen. Personuppgiftsombud Den som tillser att personuppgifter behandlas på ett korrekt sätt inom verksamheten. Exempel på ett personuppgiftsombuds arbetsuppgifter är att föra en förteckning över register. Skyldighet att utse ett personuppgiftsombud föreligger om: - Det är en myndighet - Behandling kräver övervakning - Behandling av känsliga uppgifter sker 3 PuL och art. 24, 28 samt 37-39 i dataskyddsförordningen 7

Införande av integritetsvänlig teknik & konsekvensbedömningar Några viktiga begreppsdefinitioner Innebär databehandlingen en hög risk för den enskildes frioch rättigheter? Då kommer företag och organisationer att behöva genomföra konsekvensbedömningar. Företag och organisationer kan vid behandling av personuppgifter tillämpa pseudonymisering, anonymisering eller kryptering och därigenom kommer endast de som är behöriga kunna ta del av informationen Pseudonymisering Personuppgifterna kan inte kopplas till en viss registerad utan att kompletterande uppgifter krävs. Företag och organisationer ska garantera skydd för personuppgifter i sina system genom att implementera dataskydd som standard. Det innefattar spårbarhet för alla ändringar i informationen. Kryptering Data kodas för att göra informationen svårläslig. För att kunna ta del av den krävs dekryptering. Art. 4, 25 och 35-36 i dataskyddsförordningen 8

Några viktiga begreppsdefinitioner Anmälningar till Datainspektionen Tillsynsmyndighet Personuppgiftsincident Datainspektionen och European Data Protection Board. Säkerhetsincident som leder till olaglig förstöring, förlust, ändring, eller obehörigt röjande. 3 och 36 PuL samt art. 4, 33-34 i dataskyddsförordningen Blir verksamheten utsatt för datorintrång eller den på något annat sätt förlorar kontrollen över personuppgifter och personuppgiftsincidenten innebär en risk för enskildas fri-och rättigheter, måste en anmälan göras till Datainspektionen inom 72 timmar. Det ankommer på den personuppgiftsansvarige och personuppgiftsbiträdet att rapportera. I vissa fall ska även den registrerade informeras. Detta är fallet om incidenten innebär att personen har utsatts för följande allvarliga risker: - Diskriminering - Id-stöld - Bedrägeri/finansiell stöld 9

Enskildas rättigheter Den nya dataskyddsförordningen kommer att stärka enskildas rättigheter genom nya regler och bestämmelser som kommer att innebära att medborgarna i EU får större kontroll över sina personuppgifter. Dessa nya regler omfattar bland annat följande: Kraven på information som lämnas till enskilda bl.a. vid insamling av personuppgifter har blivit mer omfattande. Den ska vara tydlig, klar, med ett tydligt språk och i lättillgänglig form. Den enskilde har även rätt att få sina personuppgifter rättade eller raderade, kräva att behandlingen begränsas, få uppgifter överförda samt rätt att göra invändningar. 28, 33-35 PuL och art. 12-13,15-17 samt 20-21, 23 i dataskyddsförordningen 10 Några viktiga begreppsdefinitioner Överföring Även kallad datorportabilitet som innebär en rätt att få sina uppgifter flyttade från en aktör till en annan. Invändning När som helst har den registerade rätt att göra invändingar mot behandlingen av sina uppgifter. Radering Den registrerade kan i vissa fall få sina personuppgifter raderade. Även kallad "rätten att bli glömd". Rättelse Den registrerade har rätt att få felaktiga personuppgifter rättade.

Ansvar & sanktioner Om enskilda är missnöjda med antingen de personuppgiftsansvariga eller personuppgiftsbiträdena, kan de vända sig till Datainspektionen med klagomål. Enskilda har även rätt att få kompensation vid överträdelse av reglerna. Datainspektionen kan besluta om administrativa avgifter till personuppgiftsansvariga och personuppgiftsbiträden. Sanktionsböter nr 1 Böter på 10.000.000 euro eller 2 % av koncernens globala omsättning 48-49 PuL och art. 77-84 i dataskyddsförordningen. 11 Sanktionsböter nr 2 Böter på 20.000.000 euro eller 4 % av koncernens globala omsättning

Nedan följer några av de viktigaste skillnaderna i den nya dataskyddsförordningen som kommer att gälla från och med den 25 maj 2018 All behandling av personuppgifter i digital form kommer att omfattas av den nya lagstiftningen, strukturerat såväl som ostrukturerat material. Omfatta alla som bedriver verksamhet inom EU eller verksamhet som riktas till medborgare i EU. Tillämpningsområdet kommer att utökas och kommer att innefatta fler företag och organisationer som är etablerade i och utanför EU. Informationen till personer ska innehålla rättslig grund för behandling, ändamålet med behandlingen, hur länge uppgifterna kommer att sparas och vart den enskilda kan vända sig med klagomål. Fler uppgifter får inte inhämtas än vad som anses vara nödvändigt med hänsyn till syftet och ändamålet med insamlingen. Kraven för lämnande av samtycke skärps. Ett samtycke måste vara explicit och kan när som helst dras tillbaka av den registrerade. Personuppgiftsbehandling ska dokumenteras och den personuppgiftsansvarige ska kunna visa att behandlingen har skett i enlighet med vid var tid gällande dataskyddslagstiftning. Skärpta krav på tillgång till uppgifter. Den registrerade ska erhålla information som både ska vara tydlig och författad på ett klart språk. Mindre företag, myndigheter och organisationer behöver inte föra register över personuppgifter om inte behandling av personuppgifter sker regelbundet och det sannolikt inte innebär en hög risk för den registrerades fri- och rättigheter. Krav på att utse personuppgiftsombud om det är en myndighet eller behandlingen i en verksamhet kräver regelbunden och systematisk övervakning eller att behandling av känsliga uppgifter sker i en verksamhet. Införande av integritetspolicys, dataskydd och vidtagande av konsekvensbedömningar kommer att behöva genomföras. Skyldighet att inom 72 timmar anmäla ett dataintrång till Datainspektionen och i vissa fall den registrerade. Enskildas rättigheter stärks då de har rätt att göra invändningar, få sina uppgifter raderade, flyttade och rättade. Skärpta sanktioner vid överträdelse av reglerna, bötesbelopp upp till 20 00 000 euro eller 4 % av verksamhetens årsomsättning. 12

Kunsgatan 2 C 223 50 Lund www.lwadvokat.se Om Lindmark Welinder Advokatfirma med inriktning på svensk och internationell affärsjuridik Grundades år 1988 Kontor i Lund Tolv anställda, varav sju jurister Internationellt nätverk genom ett samarbete med AllyLaw

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss