GDPR viktiga nyheter jämfört med PuL Gäller även ostrukturerad information - E-post, löpande text på hemsidor och i dokument Ansvarsskyldighet (accountability) - Man måste kunna visa hur man följer lagen Större krav på information till enskilda Obligatoriskt för myndigheter att ha ett Dataskyddsombud Konsekvensbedömningar - Man måste systematiskt bedöma konsekvenser av fel i behandlingen och vidta säkerhetsåtgärder innan behandlingen påbörjas Krav på rapportering av incidenter Sanktioner - Sanktionsavgifter på upp till 20 miljoner Euro - Myndigheter 10 miljoner kronor
Grundläggande dataskyddsprinciper Tillsyn kommer att fokusera på dessa områden Brister ger sanktionsavgifter med maxbelopp Ansvarsskyldighet Vi ska kunna bevisa att vi följer dataskyddslagstiftningen Proportionerligt Det ska finnas ett tydligt ändamål och rättslig grund för varje behandling Ändamålsbegränsning Personuppgifter får inte användas på något annat sätt än för det ändamål för vilket de samlades in Uppgiftsminimering Personuppgifterna ska vara relevanta i sammanhanget och inte onödigt många Lagringsminimering Personuppgifter ska tas bort när de inte längre behövs med hänsyn till det fastställda ändamålet Behörigheter Bara de som behöver tillgång till personuppgifterna för att utföra sina arbetsuppgifter ska ha åtkomst till dem Öppenhet Den enskilde har rätt att bestämma över sina personuppgifter och rätt till insyn. Kraven på information till registrerade är omfattande
Skyldigheter för Personuppgiftsansvariga Se till att de registrerades rättigheter upprätthålls Vidta åtgärder för att säkerställa att förordningen följs Hålla ett register över behandlingar Säkerhet vid behandling Kommunen ansvarar för allt som de anställda gör i jobbet. Som anställd kan man inte ha någon egen behandling som inte räknas Kommunen har också ansvar för all behandling som görs av leverantörer och även många inlägg som kommer in från omvärlden i t.ex. sociala medier Personuppgiftsansvaret kan inte delegeras
Laglig behandling All behandling av personuppgifter måste kunna kopplas till en godkänd anledning till varför man behandlar uppgiften Kan man inte det så är behandlingen förbjuden Godkända anledningar kallas Rättslig grund Räknas upp i artikel 6, 1. a-f Myndigheter kan inte åberopa grunden nödvändig behandling efter en intresseavvägning Myndigheter kan bara i vissa fall använda grunden samtycke
Lagliga behandlingar A -den registrerades samtycke B - behandlingen är nödvändig för fullgörande av avtal mellan den registrerade och den personuppgiftsansvarige C -.. nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, D - nödvändig för att skydda intressen av grundläggande betydelse för den registrerade eller annan E - nödvändig för att utföra en uppgift av allmänt intresse eller som led I den personuppgiftsansvariges myndighetsutövning F - eller nödvändig för berättigade intressen hos den personuppgiftsansvarige eller hos tredje part efter en intresseavvägning mot den registrerades intresse att inte vara registrerad.
Syfte Syftet med behandlingen ska vara känt och dokumenterat Registrerade ska informeras om syftet Man får inte börja använda personuppgifter på ett nytt sätt nytt syfte utan att informera de registrerade och justera dokumentationen
Aktiviteter i projektet- övergripande Inventera alla behandlingar (IT-system) Information och utbildning till personal Övergripande information till registrerade PUB avtal, mall och rutiner Registrering av behandlingar Utforma och besluta om övergripande regler - Ostrukturerade personuppgifter - Anskaffning och avveckling av IT-system Rutin för registerutdrag, rättning och radering på begäran Rutin för Incidenthantering Tillsätt Dataskyddsombud
Områden som har krävt extra jobb Definiera behandlingar - Inventera system och molntjänster - Per IT-system eller per process? PUB-avtal - Vems mall? - När behövs PUB? o o Konsulter Kommunala bolag Utbildning och information - Utbildningsmaterial för APT - E-learningför chefer och medarbetare
Områden som kommer att kräva jobb Ostrukturerade uppgifter - Hur gör man i övriga Europa? Gallring - Samordning med Stadsarkiv tar tid - Visst systemstöd, men inte i de flesta system Ordning och reda - Behörighetshantering - Syfte med behandlingar uppgifter som börjar användas på nya sätt - Molntjänster Samtyckesregister Speciella system - Mobiltelefoner - Inpassering - Nationella/Regionala system - GPS - Sociala medier
System: Hjingis i-care online (IT-stödet Remisser och svar (ROS)) Meddix (CosmicLink 2) Pro Alert NPÖ (ej producent ännu) Pascal TES APP telefon TES WEBB Treserva UMOAlarmpost
Tack för mig!