PuL. Inför nya PuL Allmän dataskyddsförordning, GDPR

Relevanta dokument
Allmänna råd. Datainspektionen informerar. Nr 2/2016

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Dataskyddsförordningen

Dataskyddsförordningen

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Tidsplan för anpassning av verksamheten till dataskyddsförordningen

EU:s dataskyddsförordning

Lindesbergs kommuns arbete med dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Välkomna till kurs i den nya dataskyddsförordningen

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Handlingsplan för persondataskydd

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

GDPR- Seminarium 2017

GDPR. Dataskyddsförordningen

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen GDPR

Riktlinjer för dataskydd

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Övergång från Personuppgiftslag till Dataskyddsförordning DPA GDPR

Denna policy skapades av och för organisationens behandling av personuppgifter.

EU:s allmänna dataskyddsförordning:

Svensk författningssamling

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

GDPR- Vad är det? Frukostmöte hösten Advokatfirman VICI

Riktlinjer för att tillvarata enskildas rättigheter

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Dataskyddsförordningen GDPR - General Data Protection Regulation

För att tillvarata medlemmarnas enskildas rättigheter

Dataskyddsförordningen

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

PuL och GDPR en översiktlig genomgång

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Skolan och Dataskyddsförordningen

Riktlinjer för personuppgiftshantering

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Riktlinjer för hantering av personuppgifter

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Riktlinjer för behandling av personuppgifter i Årjängs kommun

EU:s dataskyddsförordning

Information om dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

GDPR ur verksamhetsperspektiv

Policy för behandling av personuppgifter

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

EU:s nya dataskyddsförordning Lotta Wikman Öman

Dataskyddsförordningen och kvalitetsregister

GDPR NYA DATASKYDDSFÖRORDNINGEN

Vården och reglerna om dataskydd

Instruktion för att tillvarata enskildas rättigheter

GDPR Presentation Agenda

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Dataskyddsförordningen

Status panik? GDPR-update! Disposition

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Lathund Dataskydd för krögare

GDPR UTBILDNINGSDAG SKKF

Dataskyddsförordningen för prefekter och administrativa chefer

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

BOSTADSRÄTTSFÖRENINGEN MAGNETENS PERSONUPPGIFTSPOLICY

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

WHITE PAPER. Dataskyddsförordningen

Personuppgiftsinformation för Svedala kommun

Dataskyddsförordningen

GDPR. General Data Protection Regulation. dataskyddsförordningen

Ny dataskyddsförordning En vägledning genom processen

INTEGRITETSPOLICY för Webcap i Sverige AB

Information till personuppgiftsansvarig om dataskyddsombud

Behandling av personuppgifter vid Göteborgs universitet

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Utökad budgetram för inrättande av tjänst som Dataskyddsombud (DSO) med anledning av Dataskyddsförordningen (GDPR) KS/2017:300

Översikt av GDPR och förberedelser inför 25/5-2018

Personuppgiftsbehandling Dataskydd

Transkript:

PuL Inför nya PuL Allmän dataskyddsförordning, GDPR

Förberedande information Börja plantera nu Föranmälan är inte bindande men berättigar till 20% reducerat pris per delta- +MÄNGDRABATTER HELDAG 5 500 SEK / DELTAGARE HALVDAG 3 500 SEK / DELTAGARE MOMS TILLKOMMER Föranmälan med företagets namn, antal deltagare, kurs och önskad månad. Skicka till roda@rodajuridik.se Föranmäl er till kurser under 2017 Kurs: Intro till dataskyddsförordningen Heldag distans och klassrum i Stockholm Kurs: Dokumentera rätt praktisk tillämpning Halvdag distans och klassrum i Stockholm Kurs: Dataskyddsombud Heldag distans och klassrum i Stockholm Kurs: Privacy by design inbyggd integritet Heldag distans och klassrum i Stockholm Kurs: Data Protection Impact Assessment Heldag distans och klassrum i Stockholm Kurstillfällen meddelas inom kort på rodajuridik.se Vill ni ha mer information? Storkund med egna lokaler? Skicka ert telefonnummer så ringer vi tillbaka. Den 25 maj 2018 Ny EU-förordning om dataskydd Den 25 maj 2018 ersätts personuppgiftslagen av en ny EU-förordning om dataskydd. Förordningen gäller direkt som svensk lag och har många likheter med den nuvarande personuppgiftslagen, men än viktigare innehåller den även stora skillnader. Företag och särskilt deras IT-avdelning bör tidigt börja det förberedande arbetet då brist i regelefterlevnad kan bli mycket kostsamt.

Start-up: 1. Boka ett möte med oss 2. Förslag till arbete under 2017 3. Punkt på dagordningen för kommande styrelsemöte 4. Tillsätt en särskilt arbetsgrupp med ansvarig för att tillse företagets förberedelser 5. Använd avstämningspunkterna för att förbereda er. 6. Boka in kurser under 2017. Avstämningspunkterna omfattar samtliga punkter som Datainspektionen bedömt som lämpliga förberedelser. VÄGLEDNING FÖR PUA OCH PUB

Några av de större förändringarna Strängare krav på att informera om varför och hur personuppgifter behandlas, samt vilka uppgifterna är P ersonuppgifter i s.k. ostrukturerat material ska behandlas enligt samma regler som strukturerade databaser P ersoner vars uppgifter behandlas har stor möjlighet att påverka hur de hanteras Vissa typer av riskfylld uppgiftsbehandling måste föregås av särskilda konsekvensanalyser F öretaget ska kunna visa att och hur de hanterar uppgifterna på ett säkert och korrekt sätt F öretag måste bygga in ett uppgiftsskydd som standard i nya system ( privacy by design ) F öretag måste kunna göra en integritetsanalys Känsliga data ska alltid krypteras ( privacy by default ) F öretaget ska utse ett dataskyddsombud som har att tillse att bestämmelserna efterlevs Alla dataintrång ska dokumenteras. I allvarliga fall ska de inom 72 timmar rapporteras till tillsynsmyndigheten Straffavgifter upp till 20 miljoner euro, eller 4% av ett företags årliga omsättning kan utgå för brott mot dataskyddsförordningen

Dtaskyddsförordningen kommer att gälla direkt som lag och ersätter personuppgiftslagen. Regeringens tillsatta utredning ska föreslå hur den svenska lagstiftningen på området bäst anpassas till förordningen. Syftet är att skapa enhetliga dataskyddsregler inom hela EU vilket underlättar för företag att verka på hela unionens inre marknad. Många av de begrepp och principer som finns i förordningen går att återfinna i personuppgiftslagens bestämmelser. Om ni redan idag har väl genomarbetade åtgärder och rutiner för att säkerställa att personuppgiftslagen följs, kommer ni att ha en bra grund att utgå från. Det är dock viktigt att poängtera att dataskyddsförordningen även innehåller stora förändringar och vissa helt nya bestämmelser. Den personuppgiftsansvariges ansvar och skyldigheter förtydligas och utökas och de registrerades rättigheter förstärks. Varför börja redan nu? Svaret är enkelt, det är för att ni ska hinna anpassa verksamheten på ett effektivt och kostnadsbesparande sätt. GRUNDLÄGGANDE INFORMATION

Om ni redan nu börjar fundera över vilka konsekvenser förordningen kommer att få för er, desto effektivare och billigare blir det att genomföra förändringarna. Vad? Använd denna vägledning som en checklista för att ta reda på vilka de viktigaste skillnaderna är mellan den nuvarande lagstiftningen och den nya dataskyddsförordningen och hur de påverkar er. Hur? Ni kan redan nu börja planera hur ni ska anpassa er till dataskyddsförordningen och vilka nyckelpersoner i er organisation som ska göra vad. Ni kan till exempel behöva införa nya rutiner för att tillmötesgå förordningens utökade krav på öppenhet och de registrerades rättigheter. Ni kanske behöver planera om den budget som är avsatt löpande, ni kanske behöver nya eller uppgraderade it-system, extra personal/resurser för styrning och kommunikation mm. Dataskyddsförordningen lägger stor vikt vid den personuppgiftsansvariges skyldighet att kunna visa att förordningen följs, vilket kan medföra krav på ökad dokumentation. AVSTÄMNINGSPUNKTER ATT TA STÄLLNING TILL I FÖRBEREDANDE SYFTE Det kommer att införas möjligheter för tillsynsmyndigheten att i vissa fall döma ut en administrativ sanktionsavgift på upp till 20 miljoner euro eller 4 procent av organisationens omsättning när en organisation missköter sin behandling av personuppgifter. En anpassning till förordningen kommer kräva att ni ser över er interna styrning och era riktlinjer för hur ni hanterar personuppgifter

VÄGLEDNING FÖR PERSONUPPGIFTSANSVARIG 1. Är er organisation medveten om EU:s nya dataskyddsförordning? 1.1 Ni bör försäkra er om att beslutsfattare och nyckelpersoner inom er organisation är medvetna om att personuppgiftslagen kommer att ersättas av dataskyddsförordningen. 1.2 Ni bör också undersöka hur er organisation kommer att påverkas av förordningen och identifiera de områden som ni måste arbeta särskilt med. 1.3 Ni kan behöva avsätta betydande resurser för att hinna anpassa er organisation till de nya kraven innan dataskyddsförordningen ska börja tillämpas i mitten av 2018. 1.4 Inledningsvis bör ni särskilt fokusera på att öka medvetenheten om de kommande förändringarna. Det kan bli både kostsamt och svårt att uppfylla reglerna i förordningen om ni väntar med förberedelserna till sista stund.

2. Vilka personuppgifter hanterar ni? Inventera och dokumentera vilka personuppgifter ni hanterar, hur de samlas in och till vem uppgifterna lämnas ut. ataskyddsförordningen innehåller rättigheter som anpassats till informationssamhället. Om ni till exempel har rättat en felaktig personuppgift som tidigare har lämnats ut till någon annan, behöver ni informera mottagaren om detta så att denne i sin tur kan rätta sina egna register. För att kunna uppfylla detta krav om måste ni veta vilka uppgifter som ni hanterar, varifrån de samlades in och till vem uppgifterna har lämnats ut. Om ni dokumenterar detta kan det hjälpa er att uppfylla dataskyddsförordningens krav på att ni måste kunna visa att förordningens bestämmelser följs. Andra sätt att uppfylla detta krav är att införa en effektiv policy för dataskydd och tydliga rutiner vid hanteringen av personuppgifter

3. Använder ni missbruksregeln idag? Undersök om ni i er verksamhet har utnyttjat personuppgiftslagens undantag för att behandla personuppgifter i ostrukturerat material, den så kallade missbruksregeln. Denna regel kommer inte att finnas kvar i förordningen. Ni bör därför särskilt undersöka om behandling som idag stödjer sig på missbruksregeln är förenlig med dataskyddsförordningens bestämmelser. Behandling i ostrukturerat material, till exempel löpande text på internet, är enligt personuppgiftslagen tillåten så länge behandlingen inte utgör en kränkning av den registrerades personliga integritet. När dataskyddsförordningen träder i kraft försvinner denna svenska särreglering. Förordningen ska tillämpas i sin helhet på all automatiserad behandling av personuppgifter. Har ni i er organisation utnyttjat undantaget för behandling i ostrukturerat material, till exempel vid publicering av personuppgifter på en webbplats eller i annan löpande text, är det viktigt att ni undersöker vilka förutsättningar ni har för att behandla uppgifterna enligt förordningens bestämmelser. Ni kan till exempel behöva undersöka om ni har en rättslig grund för behandlingen, att ni uppfyller de grundläggande kraven på behandlingen och att ni informerar de registrerade på ett korrekt sätt.

4. Vilken information lämnar ni? Ni bör granska den information som ni lämnar till de registrerade och fundera över vilka örändringar av den informationen som kan bli nödvändig att göra. När ni samlar in personuppgifter måste ni enligt personuppgiftslagen lämna viss information, till exempel om er identitet och ändamålet med behandlingen. Dataskyddsförordningen innehåller utökade krav på vilken information som ska lämnas till de registrerade. Bland annat kommer ni att behöva informera om den rättsliga grunden för behandlingen, hur länge personuppgifterna lagras och möjligheten att lämna klagomål till tillsynsmyndigheten om man anser att ens personuppgifter har hanterats felaktigt av er. Viktigt i sammanhanget är att dataskyddsförordningen ställer krav på att informationen som lämnas ska vara kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk.

5. Hur ska ni tillmötesgå de registrerades rättigheter? Ni bör se över era rutiner för att säkerställa att ni kan uppfylla alla rättigheter som de registrerade har enligt dataskyddsförordningen, som exempelvis hur ni raderar personuppgifter och hurni lämnar ut uppgifter elektroniskt i ett allmänt använt format. De viktigaste rättigheterna för de registrerade är att : - få tillgång till sina personuppgifter - få felaktiga personuppgifter rättade - få sina personuppgifter raderade - invända mot att personuppgifterna används för direktmarknadsföring - invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering - flytta personuppgifterna (dataportabilitet) På det stora hela kommer de registrerade att ha samma rättigheter som idag men rättigheterna förstärks med dataskyddsförordningen. Om ni redan idag tillmötesgår de registrerades rättigheter bör övergången till den nya förordningen gå relativt smidigt.

Dataskyddsförordningen innehåller i likhet med personuppgiftslagen en skyldighet att på begäran lämna information till de registrerade om vilka uppgifter som behandlas om dem. Detta ska göras kostnadsfritt. När ni hanterar en sådan begäran kommer ni dessutom att behöva lämna viss ytterligare information, som exempelvis: - hur länge personuppgifterna kommer att lagras och att man har rätt att få felaktiga uppgifter rättade. Om en sådan begäran görs elektroniskt ska den registrerade också kunna begära att få ut informationen elektroniskt. Nytt i dataskyddsförordningen är rätten till dataportabilitet. Denna rättighet kommer att göra det lättare att flytta sina personuppgifter från en organisation eller leverantör till en annan, till exempel om man vill byta socialt nätverk. För er organisation innebär detta att ni i många fall måste kunna tillhandahålla uppgifterna i ett allmänt använt och maskinläsbart format. Tänk på att det är viktigt att säkerställa att en sådan begäran verkligen kommer från den registrerade och undersök därför vilka tekniska lösningar ni kan behöva för detta DATAPORTABILITET

6. Med vilket rättligt stöd behandlar ni personuppgifter? Ni bör undersöka vilka olika typer av uppgifter som ni behandlar och med vilket rättsligt stöd ni gör detta. Ni bör också dokumentera era slutsatser. Många organisationer har inte tydligt pekat ut med vilket rättsligt stöd de behandlar personuppgifter. Det är inte ovanligt att organisationer anser sig ha flera alternativa grunder för sin behandling. Med förordningen följer krav på att informera om den rättsliga grunden redan när uppgifterna samlas in. Det är därför viktigt att redan från början ha klart för sig med vilket stöd detta sker. Dessutom är ett flertal av de registrerades rättigheter beroende av den rättsliga grunden för behandlingen. Det finns till exempel större möjligheter för en registrerad att motsätta sig en behandling som sker med stöd av en intresseavvägning. De rättsliga grunderna för behandling av personuppgifter är i stort sett oförändrade. Ni kan därför redan nu kartlägga vilka behandlingar ni genomför och med vilken rättslig grund ni gör detta. Ni bör dokumentera era slutsatser för att ni också ska kunna visa att ni uppfyller dataskyddsförordningens krav.

7. Hur inhämtar ni samtycke? Ni bör undersöka på vilket sätt ni inhämtar samtycke, vilken information ni lämnar och hur ni sparar uppgiften om att samtycke har lämnats av den registrerade.i Ett giltigt samtycke enligt förordningen har samma innebörd som i personuppgiftslagen. Det måste vara fråga om en frivillig, specifik och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör honom eller henne. Det får inte råda någon tvekan om att den registreradegodtar behandlingen av personuppgifter. Till exempel godtas inte ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats. Om ni stödjer er på samtycke för att behandla personuppgifter behöver ni försäkra er om att kraven på samtycke i förordningen är uppfyllda. Om så inte är fallet, måste ni antingen förändra era rutiner eller finna en annan rättslig grund för behandlingen. Dataskyddsförordningen ställer tydliga krav på att den som behandlar personuppgifter med stöd av samtycke måste kunna visa att ett samtycke har lämnats. Ni bör fundera över hur ni i efterhand ska kunna visa att ett giltigt samtycke har lämnats. BEVISNING

8. Behandlar ni personuppgifter om barn? Ni bör redan nu fundera på hur ni ska kontrollera en persons ålder och hur ni ska inhämta vårdnadshavares samtycke i samband med behandling av barns personuppgifter online. Genom dataskyddsförordningen införs ett förstärkt skydd för barns personuppgifter,. Detta förstärkta skydd gäller särskilt när det gäller kommersiella internettjänster somsociala nätverk. Kort sagt, om ni erbjuder den typen av tjänster till barn måste ni inhämta vårdnadshavares samtycke för att få behandla barnets uppgifter. Detta gäller enligt förordningen, barn under 16 år. Medlemsstaterna kan själva bestämma en lägre åldersgräns, dock lägst 13 år. Reglerna kan få betydande konsekvenser om er organisation erbjuder denna typ av tjänster till barn. Kom ihåg att ni då också måste kunnavisa att vårdnadshavarens samtycke har lämnats. Eftersom barn enligt förordningen förtjänar särskilt skydd måste all den information som riktar sig till barn vara skriven på ett tydligt och enkelt sätt som barn förstår. Barns skyddsvärda ställning ska också vägas in vid en intresseavvägning.

9. Vad ska ni göra vid personuppgiftsincidenter? Ni bör se till att ni har tillräckliga rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter. Dataskyddsförordningen innehåller nya bestämmelser om vad ni som organisation måste göra om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar. Ni måste dokumentera alla sådana händelser. När det inte är osannolikt att incidenten medför risker för enskildas fri- och rättigheter måste ni anmäla händelsen till tillsynsmyndigheten inom 72 timmar. Om incidenten kan leda till att personer utsätts för allvarliga risker såsom diskriminering, id-stölder, bedrägerier eller finansiella stölder ska ni även informera de registrerade om händelsen så att de kan vidta nödvändiga åtgärder. För att kunna leva upp till de nya skyldigheterna enligt förordningen är det viktigt att ni har tillräckliga rutiner på plats för att ni ska kunna upptäcka, rapportera och utreda personuppgiftsincidenter. Ni bör även fundera över vilka risker en sådan incident kan medföra och när ni behöver anmäla händelsen till tillsynsmyndigheten. Tänk på att tidfristerna för att rapportera personuppgiftsincidenter är korta. Det är därför bra att redan nu bestämma var ansvaret för att göra en sådan anmälan ska ligga i er organisation så att anmälan kan göras i rätt tid. INCIDENTER

10. Vilka särskilda integritetsrisker finns med er behandling? Ni bör fundera på om er personuppgiftsbehandling är förenad med särskilda risker för enskildas fri- och rättigheter och om ni i så fall måste göra en konsekvensbedömning avseende dataskydd enligt dataskyddsförordningen. Förordningen ställer särskilda krav på den som vill behandla personuppgifter på ett sätt som kan medföra stora integritetsrisker för enskilda. Om er organisation avser att utföra en riskfylld personuppgiftsbehandling måste ni först göra en noggrann analys av vilka konsekvenser behandlingen kan få för enskilda. Sådan riskfylld behandling kan till exempel vara storskaliga register som innehåller känsliga personuppgifter, profilering eller omfattande kameraövervakning på allmän plats. Om er analys visar att risken är hög, måste ni samråda med tillsynsmyndigheten innan behandlingen får påbörjas. Observera även kravet på att utse dataskyddsombud vid riskfylld behandling, se mer under punkt 12. SAMRÅDAN

11. Har ni byggt in skydd för personuppgifter i era it-system? Ni bör redan nu ta hänsyn till förordningens regler när ni tar fram nya it-system eller förändrar befintliga. Det ger en större möjlighet att följa reglerna, höja säkerheten och förhindra onödiga framtida kostnader. Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad som var syftet när de samlades in. Genom att ta hänsyn till dessa principer när man utvecklar nya ellerändrar befintliga it-system blir det enklare för organisationer att uppfylla reglerna i förordningen. Att bygga in dataskydd i systemen kallas privacy by design och regleras uttryckligen i förordningen. När ni behandlar personuppgifter ska ni vidta lämpliga tekniska och organisatoriska åtgärder för att uppfylla kraven i förordningen både när ni fattar beslut om hur behandlingen ska genomföras och under hela den fortsatta behandlingen. Vilka åtgärder som behövs beror på uppgifternas art, omfattning och syfte med behandlingen liksom vilka risker för enskildas rättigheter och friheter som behandlingen kan innebära. Åtgärderna kan till exempel vara pseudonymisering, som medför att uppgifterna inte går att koppla till en enskild person utan ytterligare information (nyckel) som hålls avskild, eller dataminimering, det vill säga att endast behandla de uppgifter som är nödvändiga för varje enskilt ändamål.

12. Vem ansvarar för dataskyddsfrågor i er organisation? Ni bör bestämma var i er organisation som ansvaret för dataskyddsfrågor ska ligga. Om det krävs enligt förordningen måste ni även formellt utse ett dataskyddsombud. Förordningen ställer krav på att vissa organisationer ska utse ett dataskyddsombud. Det gäller till exempel offentliga myndigheter och organisationer vars verksamhet involverar särskilt riskfylld behandling, som exempelvis regelbunden och systematisk övervakning av registrerade i stor skala eller omfattande behandling av känsliga personuppgifter. Den person som utses måste ha tillräcklig kunskap om dataskydd och få det stöd och de befogenheter som krävs för att kunna utföra sitt uppdrag på ett effektivt och oberoende sätt. DATASKYDDSOMBUD Ni bör redan nu överväga om er verksamhet kräver att ni utser ett dataskyddsombud. På Datainspektionens webbplats finns mycket information om dataskyddsombudets (nuvarande personuppgiftsombudets) roll. Myndigheten ordnar löpande utbildningar för blivande ombud. Läs mer här: www.datainspektionen.se/personuppgiftsombud/ www.datainspektionen.se/utbildning/

13. Har ni verksamhet i flera länder? Om er organisation bedriver verksamhet i flera olika EU-länder bör ni ta reda på vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar ni utför. Huvudregeln i dataskyddsförordningen är att en organisation bara ska behöva svara inför dataskyddsmyndigheten i ett av EU:s medlemsländer. Om ni har verksamhet i flera länder är det därför viktigt att bedöma vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar som ni utför. Förordningens regler kring detta är komplicerade men förenklat uttryckt bestäms ansvarig dataskyddsmyndighet utifrån var er organisation har sin centrala förvaltning eller var beslut om personuppgiftsbehandling fattas. I organisationer med traditionella upplägg, där alla viktiga beslut fattas på huvudkontoret, skapar detta normalt inga större problem. Det kan dock bli svårare att avgöra i organisationer med spridda ansvarsområden, där beslut om personuppgiftsbehandlingen ofta fattas på olika ställen. I sådana fall kan olika behandlingar falla under olika tillsynsmyndigheters behörighet. Det kan alltså vara nödvändigt att kartlägga var i er organisation de viktigaste och mest betydelsefulla besluten om personuppgiftsbehandling fattas.

VÄGLEDNING FÖR PERSONUPPGIFTSBITRÄDEN Dataskyddsförordningen kommer dessutom att medföra stora förändringar för er som behandlar personuppgifter för annans räkning. Den här informationen riktar sig därför särskilt till er som är personuppgiftsbiträden. Samma definition men en förändrad roll Den som behandlar personuppgifter för den personuppgiftsansvariges räkning kommer, i likhet med vad som gäller idag, att vara personuppgiftsbiträde. I den nya dataskyddsförordningen förändras dock denna roll. Personuppgiftsbiträdet kommer att få nya skyldigheter och ett betydligt utökat eget ansvar för personuppgiftsbehandlingen. I ett flertal situationer kommer även personuppgiftsbiträden att omfattas av samma skyldigheter som gäller för personuppgiftsansvariga. Här är några av de viktigaste förändringarna för personuppgiftsbiträden Föra register Ni ska föra ett register över alla kategorier av behandling som utförs för den personuppgiftsansvariges räkning. Registret ska bland annat omfatta namn och kontaktuppgifter för personuppgiftsbiträdet och den personuppgiftsansvarige, vilka kategorier av behandling som utförs för varje personuppgiftsansvariges räkning samt information om tredjelandsöverföring och säkerhetsåtgärder. Det finns vissa undantag från denna skyldighet för mindre företag.

Ansvar vid anlitande av ett underbiträde Om ni vill anlita ett annat biträde måste ni ha ett skriftligt förhandstillstånd från den personuppgiftsansvarige. Har ni fått ett generellt tillstånd att anlita underbiträden måste ni ändå informera den personuppgiftsansvarige om era planer på att anlita ett nytt biträde, så att den ansvarige kan göra invändningar mot detta. Ni måste teckna avtal som gör att biträdet omfattas av samma skyldigheter som ni har entemot den PuA. Om biträdet inte fullgör sina skyldigheter kommer ni ansvara gentemot PuA. Utse dataskyddsombud Ni är i vissa fall skyldiga att utse ett dataskyddsombud (motsvarande personuppgiftsombud personuppgiftslagen). Skyldigheten att utse dataskyddsombud omfattar bland annat offentliga myndigheter och organisationer vars verksamhet involverar särskilt riskfylld behandling, som exempelvis regelbunden och systematisk övervakning av registrerade i stor skala eller omfattande behandling av känsliga personuppgifter. En särskilt integritetskänslig behandling kan därför komma att kräva att dataskyddsombud utses både hos den personuppgiftsansvarige och hos personuppgiftsbiträdet. Den person som utses måste ha tillräcklig kunskap om dataskydd och få det stöd och de befogenheter som krävs för att kunna utföra sitt uppdrag på ett effektivt och oberoende sätt. Samarbeta med tillsynsmyndigheten Ni har en uttrycklig skyldighet att på begäran samarbeta med tillsynsmyndigheten.

Ansvar för att vidta säkerhetsåtgärder Ni har ett eget ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att se till att säkerhetsnivån för er behandling är tillräcklig. Det kan bland annat medföra att ni behöver fundera över frågor som kryptering av personuppgifter, hur ni säkerställer att era system är tillräckligt säkra och motståndskraftiga samt hur ni fortlöpande testar och utvärderar systemen. Vilka åtgärder som är nödvändiga beror på vilka särskilda risker som finns med er behandling. Ni behöver till exempel ha ett starkare skydd om ni behandlar känsliga personuppgifter, såsom uppgifter som rör hälsa eller religiös övertygelse. Omgående underrätta personuppgiftsansvarige om Personuppgiftsincidenter Om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar, en så kallad personuppgiftsincident, måste ni utan onödigt dröjsmål underrätta den personuppgiftsansvarige om detta. Det kan vara bra att bestämma var i er organisation en sådan rapporteringsskyldighet ska ligga eftersom ni, om en personuppgiftsincident inträffar, måste agera skyndsamt. Bistå den personuppgiftsansvarige Ni har en mer allmän skyldighet att bistå den personuppgiftsansvarige enligt förordningen. T.ex. hjälpa till med att svara på begäranden om elektroniska registerutdrag, och att bistå den personuppgiftsansvarige för att se till att säkerheten för behandlingen är tillräcklig.

Risk för sanktioner Ni kommer, i ikhet med vad som gäller för personuppgiftsansvariga, riskera att drabbas av sådana administrativa sanktionsavgifter om ni inte uppfyller de skyldigheter som finns i förordningen. Börja I tid De personuppgiftsansvariga får endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att skyldigheterna i förordningen kommer att uppfyllas och att de registrerades rättigheter skyddas. Ni måste därför redan nu börja förbereda er på de kommande förändringarna och anpassa er verksamhet till de nya kraven. N kan behöva gå igenom vilka uppgifter ni behandlar och för vem behandlingen görs. Ni kan även behöva se över säkerheten i era system och era interna rutiner och instruktioner. Hur omfattande förberedelser som behövs beror på hur er verksamhet ser ut idag och vilka risker som finns med er personuppgiftsbehandling.

Ett kompendium riktat till en sluten krets för förberedande arbete inför 2018. Kompendiet får inte spridas utan RODA finans & juridik ABs särskilda medgivande. Kontakta oss gärna: roda@rodajuridik.se LinkedIn https://se.linkedin.com/in/rodajuridik Twitter https://twitter.com/rodajuridik

En vägledning sammanställd av RODA finans & juridik AB Ansvarig: Robert Dahlström roda@rodajuridik.se 0708 204047

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss