EU:s dataskyddsförordning JD, VH Ida Sulin 4.5.2017
Innehåll Vad handlar det om? Utgångspunkter och nationellt arbete Dataskyddsförordningen» Allmän översikt Detaljbestämmelser 2
Vad handlar det om?
Digitalisering? Reformering av handlingssätt Digitalisering av interna processer Elektronifiering av tjänster Projekt» Handlingsprogrammet för nationella servicearkitekturen, KAPA» Programmet för påskyndande av elektronisk ärendehantering och demokrati, SADe» Programmet för öppen information 4
Varför nya regler Dataskyddsombudsmannen 5.4.2016: Vi behöver gedigna regler, som säkerställer att människornas rätt till skydd för sina personuppgifter som skyddas i EU:s grundrättsstadga upprätthålls också i en digital miljö. På samma gång är detta till gagn för utvecklandet av den digitala ekonomin. 5
Bakgrund Komissionens förslag 1/12» Allmän dataskyddsförordning (EU 679/2016)» Direktiv för behandling av personuppgifter vid utredning av brott (EU 680/2016) I kraft maj 2016, tillämpas från 25.5.2018» Ny lagstiftning: Förordning, dataskyddslag, ändrad speciallagstiftning Officiellt dokument:» http://eur-lex.europa.eu/legalcontent/sv/txt/pdf/?uri=celex:32016r0679&qid=147548192 4659&from=EN 6
Nationellt lagstiftningsarbete Lagberedning i arbetsgrupp under Justitieministeriet 1/16 9/18.» Ministeriet, Dataskyddsombudsmannen, Kommunförbundet, arbetsmarknadsparter, Finlands Näringsliv» Uppgifter: Allmän lag (proposition 5/2017) Beslut om myndighetsorganisation Nationell flexibilitet, ramar för användning Koordinerar arbetet med speciallagstiftningen VAHTI (Ledningsgruppen för datasäkerheten inom statsförvaltningen): Projektgrupp 2/16 6/17» Rapport publicerad 2.6.2016» https://www.vahtiohje.fi/c/document_library/get_file?uuid=c97ee414-1fc0-4a91-969c- 2ef0657605d1&groupId=10128 Kommunförbundet, Hansel (staten enhet för samordnad upphandling) och KL Kuntahankinnat (kommunernas enhet för samordnad upphandling) utarbetar upphandlingsanvisning» Publiceras 5/17 Dataskyddsombudsmannens vägledning» http://tietosuoja.fi/fi/ 7
Utgångspunkter
Vad ändras? Vi får nya regler om hur personuppgifter skall behandlas Det grundas en ny myndighet som övervakar hur företag, myndigheter, kommuner etc. behandlar personuppgifter De nya reglerna innehåller sanktioner, skadeståndsrätt osv. 9
Idé E-handeln en del av den interna marknaden Konsumentskydd i förhållande till egna uppgifter Utvecklingen av elektroniska verktyg och program Olika regler i olika länder 10
Tillvägagångssätt Förordning, utan implementering och med direkt effekt» Kommer att ersätta persupuppgiftsdirektivet från 1995 och lagstiftningen som getts på grund av den Personuppgiftslag (523/1999) Ålands personuppgiftslag Bred tillämpning, offentliga och privata sektorn» Inte privatliv eller utövande av tro» Tillämpning utanför EU:s kompetensområde? 11
Paradigmskifte Compliance -> Ansvar att säkerställa» Från att följa regler till att på förhand planera och aktivt ta i beaktande, också datatekniskt Upphandlingar Dokumentering Kunskap Inbyggt dataskydd och dataskydd som standard» Dataskyddet sker inte manuellt och inte i efterhand» Dataskyddet integreras i programvaror, utformas individuellt efter behov och utgående från en riskbedömning» Bör alltså formas i planeringsskedet Uppgifternas livslängd, automatiserad pseudonymisering, tillträdesrätt etc.» Kräver kunskap och framåtblick Registeransvarig och registerbiträde skilda i lagstiftning med autonoma ansvar» Bestämning av avtalsinnhåll i förordningen» Ansvarsfördelning» JIT och JYSE motsvarar inte dessa krav idag 12
Klargör nuvarande Tillägg till nuvarande Helt nytt Översikt över innehåll Grundprinciper Definitioner Tillåten behandling Medgivande Rätt till insyn Rätt att bli glömd Riskbedömning DPO Rätten att behandla berättigade intressen Informationssky ldighet Roller ansvarig och biträde Överflytt till tredje land Profilering Inbyggt dataskydd och dataskydd som standard Ansvar att säkerställa Register över behandling Rätten till dataportabilitet Notifieringsskyldighet Förhandsavgöranden Påföljder: sanktioner och skadestånd Myndighetsorganisati on 13
Dataskyddsförordningen
Inbyggt dataskydd och dataskydd som standard Inbyggt dataskydd och dataskydd som standard i systemutveckling» Automatiserat tas enbart nödvändiga personuppgifter emot i systemet / registret» Uppgifter får inte insamlas, behandlas eller lagras utanför vad som är nödvändigt» Personuppgifter görs inte tillgängliga för ett obegränsat antal fysiska personer» Automatiserat garanteras de registrerades rättigheter» Automatiserad dataskydd» Dokumentation om alla steg 15
Utnämning av dataskyddsombud, art 35 Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna ett dataskyddsombud om behandlingen genomförs av en myndighet eller ett offentligt organ» Får vara gemensam för koncern» Får vara gemensam för flera myndigheter med hänsyn till organisationsstruktur 16
Dataskyddsombudets ställning, art 36 Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå. 17
Information och kommunikation samt klara och tydliga villkor, 12 art Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla information och kommunikation i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt. Information: registerbeskrivning, egna uppgifter, information om behandlingen av uppgifter, flytt, motsättelse av behandling, etc. 18
Den registrerades rätt till tillgång, 15 art Rätten till att granska egna uppgifter» Inklusive: ändamålen med behandlingen, de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer, om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.» Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling; Rätten att inge klagomål till en tillsynsmyndighet; Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer Art 15 (3): Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.» Gratisprogram som är tillgängligt 19
Rätten att radera sina uppgifter, 17 art Egentligen inget nytt Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om de inte behövs för ändamålet med behandlingen. Art 17 (2)» Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter. 20
Rätt till begränsning av behandling, art 18 Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas» Exempelvis om oklart om behandlingen lagenlig, om personuppgifterna korrekta Art 18 (2):» Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat Teknisk karantän. 21
Anmälan av en personuppgiftsincident 33; 34 art Anmälan av en personuppgiftsincident till tillsynsmyndigheten» Inom 72 timmar Förutom om incidenten inte medför risk för fysiska personers rättigheter och friheter Anmälningsskyldighet hos registeransvarig också för problem hos biträde Anmälans innehåll finns i förordningen Anmälan till registrerad Om incidenten innebär hög risk Anmälans innehåll i förordningen 22
Säkerhet i samband med behandlingen, art 32 Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna Ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt» Ex. pseudonymisering, kryptering, konfidentialitet, integritet, motståndskraft hos system och tjänster, återställning av tillgänglighet och tilggång i rimlig tid, förfaranden för testning och utvärdering. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Dokumentation! 23
Digital portibilitet, art 20 Inte tillämpbart på myndighetsregister Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om» Enskilda uppgifter måste kunna plockas från registret i denna form» Överföring till andra register 24
Krav som påverkar avtal Vilka avtal påverkas? Alla avtal vars föremål antingen direkt eller indirekt avser personuppgifter. 25
Administrativa sanktioner, art 82 Bestämning om användning på myndigheter i regeringspropositionen Grad 1: administrativa sanktionsavgifter på upp till 10 000 000 EUR eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst: Grad 2: administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:» De grundläggande principerna för behandling, inklusive villkoren för samtycke,» Registrerades rättigheter enligt artiklarna» Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationel orgaisation 26
Hur komma igång?
Vikten av datasekretess ökar Riskaspekten ökar och registeransvariges ansvar Datasekretessen och skyddet för privatliv måste beaktas systematiskt i utvecklingen av verksamhet, tjänster och produkter, samt programvaror och system» Upphandlingar och avtal» Organisering av verksamhet, ledning» Dokumentation, rapportering och skydd Nyttokalkyler riskkalkyler 28
Den registeransvariges to do lista 16-17 1. Vem är ansvarig för datasekretessen (DPO) 2. Analysera personuppgiftsmassan 3. Gör riskanalays, inkl. avtal och sanktioner 4. Gör anvisningar 5. Dataskyddet i skick 6. Utbildningsbehov 7. Övervaka nuvarande användning av personuppgifter 8. Var förutseende 9. Bygg förtroende 10.Följ med utvecklingen! 29