PwC Digital Trust Introduktion till GDPR GRC-dagarna oktober 2017
Today s speakers: Göran Laxén Cyber Security Risk & Resilience PwC Stockholm Contacts: Pernilla Nordström Risk Assurance PwC Malmö 2
Lite inledande fakta. GDPR = General Data Protection Regulation = Förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter Ersätter Personuppgiftslagen (PuL) Träder i kraft 25 maj 2018 20.000.000 eller 4 % av global årlig omsättning i böter 3
Varför GDPR? Och varför nu? 4
Vad definieras som personuppgifter? 5
Särskild kategori av känsliga personuppgifter 6
Begrepp inom GDPR att känna till Behandling Registrerad Personuppgiftsansvarig Personuppgiftsbiträde Ostrukturerad data 7
Territoriellt tillämpningsområde ü Företaget etablerat i EU ü Behandlar uppgifter om EU-medborgare 8
Principerna Ansvarig för efterlevnad och ansvarig för att kunna bevisa efterlevnad Ökat dokumentationskrav 9
Laglig behandling av personuppgifter 10
Den registrerades rättigheter Rätt till information Rätt till tillgång Rätt till rättelse Rätt till radering 11
Den registrerades rättigheter Rätt till begränsning Dataportabilitet Rätt att göra invändningar 12
Registerförteckning Register över alla behandlingar Specificerat i GDPR vilken information som måste finnas med Finns även andra fördelar med ett sådant register Både personuppgiftsansvarig och personuppgiftsbiträde Ändamål Kategori av registrerade Kategori av personuppgifter Löneadministration Anställda Namn, inkomst personnummer, osv Kundservice Kunder Namn, kundnummer, ärendeinformation Osv. Lagringstid Två år efter avslutad anställning Osv. 6 månader EXEMPEL 13
Personuppgiftsincidenter När någon får tillgång till personuppgifter de inte borde ha tillgång till, t.ex: Hackad Borttappad USB Råkar ge för många personer access till känslig information Anmäla inom 72 timmar Datainspektionen Ibland de drabbade Rutiner för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter Incidentrapporteringssystem/rutin 14
Konsekvensbedömning (DPIA) Om behandlingen sannolikt leder till hög risk för den registrerades integritet Till exempel om man använder en stor mängd känsliga personuppgifter Kommer att komma riktlinjer från Datainspektionen 15
Dataskyddsombud (DPO) I vissa fall behöver företaget en formellt utsedd DPO Ha god insyn i verksamheten och kontakt med ledningen Fristående Även om man inte behöver en DPO behöver ansvaret för hantering av personuppgifter fördelas i organisationen 16
Privacy by Design vs Privacy by Default Tekniska och organisatoriska åtgärder Gäller även retroaktivt För att öka säkerheten och skydda de registrerades rättigheter Design = t.ex. behörighetsbegränsning, pseudonymisering, utbildning av personal Default = standardinställningarna 17
Personuppgiftsbiträde När uppgifter lämnar den personuppgiftsansvarige Även de måste följa GDPR: Underbiträden Personuppgiftsbiträdesavtal Bilaga med säkerhetsbestämmelser 18
Överföring till tredje land Utanför EU och EES Måste vidta säkerhetsåtgärder: T ex EUs modellklausuler Alternativt ha samtycke Vanligtvis: Servrar (många molntjänster) Support 19
Roller och ansvar Vem är ansvarig för vad? Vilken utbildning och information måste medarbetarna få? Behöver inte vara samma för hela organisationen 20
Vad behöver göras? 1 1. Kartlägg Vilka personuppgifter har vi och vart? 2. Analysera Vilka är integritetsriskerna? Vilken skada kan de orsaka? 2 3 4. Design 3. Be om hjälp Vilka intressenter måste du konsultera? Delegera ansvar! 4 5 6. Dokumentera Hur kan vi visa att vi följer kraven I GDPR? 6 5. Implementera Det stora arbetet med att implementera GDPR i verksamheten. 7 Nyckelfrågor: Nulägesanalys? Projektorganisation? Tidslinje? 8. Målbild Sätt en målbild och bestäm vad er riskaptit är. 8 7. Informera Informera och utbilda verksamheten om GDPR och det planerade arbetet. 9 9. Följ upp Detta är ingen övning man gör en gång, utan ska konstant efterlevas. Maj 2018 21
Tack! Pernilla Nordström Göran Laxén +46 729 80 90 63 +46 709 29 19 29 pernilla.nordstrom@pwc.com goran.laxen@pwc.com This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers LLP, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. 2015 PricewaterhouseCoopers LLP. All rights reserved. In this document, PwC refers to PricewaterhouseCoopers LLP which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity. 22