EU:s dataskyddsförordning. JD, VH Ida Sulin

Relevanta dokument
EU:s dataskyddsförordning. JD, VH Ida Sulin

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

Riktlinjer för att tillvarata enskildas rättigheter

För att tillvarata medlemmarnas enskildas rättigheter

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Dataskyddsförordningen GDPR

Instruktion för att tillvarata enskildas rättigheter

Dataskyddsförordningen

PERSONUPPGIFTSBITRÄDESAVTAL

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

GDPR- Seminarium 2017

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

GDPR. Dataskyddsförordningen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Dataskyddsförordningen i utbildningsverksamhet

Personuppgiftsbiträdesavtal

EU:s nya dataskyddsförordning Lotta Wikman Öman

JUHTA Delegationen för informationsförvaltningen inom den offentliga förvaltningen

EU:s dataskyddsförordning

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Svensk författningssamling

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Brytningsskede i informationslagstiftningen. Kommunen på nätet Jurist Ida Sulin,

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Policy för behandling av personuppgifter

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen

GDPR Presentation Agenda

Dataskyddsförordningen

2. Information som FläktWoods samlar in FläktWoods kan komma att samla in och behandla följande information för de syften som anges nedan i punkt 3.

EU:s dataskyddsförordning

Integritetspolicy Upplev Norrköping

GDPR - Riktlinjer för hantering av personuppgifter

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

PERSONUPPGIFTSBITRÄDESAVTAL

Informationsskyldighet enligt dataskyddsförordningen Joachim Angermund, Charlotta Sandström, Ingela Alverfors februari 2017

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Personuppgiftsbiträdesavtal

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

INTEGRITETSPOLICY för Webcap i Sverige AB

Dataskyddsförordningen GDPR - General Data Protection Regulation

Bilaga 1a Personuppgiftsbiträdesavtal

GDPR NYA DATASKYDDSFÖRORDNINGEN

EU:s allmänna dataskyddsförordning:

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Dataskyddsförordningen (GDPR)

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

Dataskyddsförordningen

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

Riktlinjer för dataskydd

BESKRIVNING AV PERSONUPPGIFTSHANTERING

vid Geritrim vård- och rehabiliteringsenhet

Personuppgiftsinformation för Svedala kommun

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Europeiska unionens L 119. officiella tidning ISSN Utdrag. Lagstiftning FÖRORDNINGAR

GDPR definition och hur utbildningen berör(t)s av förordningen

B EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU)

Upprätthållandet av korrekta och uppdaterade uppgifter. Skicka relevant information och erbjudanden

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Integritetspolicy leverantör

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Personuppgiftsbehandling Dataskydd

Dataskyddspolicy för Svensk Hypotekspension AB i enlighet med dataskyddsförordningen (EU (2016/679)

Personuppgiftsbiträdesavtal 1 Parter Detta avtal har dagen för undertecknanden ingåtts mellan parterna;

Ett eller flera dataskyddsombud?

Personuppgiftsbiträdesavtal

Vilka personuppgifter behandlar vi, i vilket ändamål (varför) och på vilken laglig grund?

Integritetspolicy kunder

Lindesbergs kommuns arbete med dataskyddsförordningen

Global Invests dataskyddspolicy

Datainspektionen informerar

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Personuppgiftsbiträdesavtal

Nordic Waterproofings AB Integritetspolicy 1 Inledning Vilka personuppgifter samlar vi in om dig och varför?... 2

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Underbiträdesavtal. Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

PUL OCH DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen

INTEGRITETSLAGSTIFTNING

Transkript:

EU:s dataskyddsförordning JD, VH Ida Sulin 4.5.2017

Innehåll Vad handlar det om? Utgångspunkter och nationellt arbete Dataskyddsförordningen» Allmän översikt Detaljbestämmelser 2

Vad handlar det om?

Digitalisering? Reformering av handlingssätt Digitalisering av interna processer Elektronifiering av tjänster Projekt» Handlingsprogrammet för nationella servicearkitekturen, KAPA» Programmet för påskyndande av elektronisk ärendehantering och demokrati, SADe» Programmet för öppen information 4

Varför nya regler Dataskyddsombudsmannen 5.4.2016: Vi behöver gedigna regler, som säkerställer att människornas rätt till skydd för sina personuppgifter som skyddas i EU:s grundrättsstadga upprätthålls också i en digital miljö. På samma gång är detta till gagn för utvecklandet av den digitala ekonomin. 5

Bakgrund Komissionens förslag 1/12» Allmän dataskyddsförordning (EU 679/2016)» Direktiv för behandling av personuppgifter vid utredning av brott (EU 680/2016) I kraft maj 2016, tillämpas från 25.5.2018» Ny lagstiftning: Förordning, dataskyddslag, ändrad speciallagstiftning Officiellt dokument:» http://eur-lex.europa.eu/legalcontent/sv/txt/pdf/?uri=celex:32016r0679&qid=147548192 4659&from=EN 6

Nationellt lagstiftningsarbete Lagberedning i arbetsgrupp under Justitieministeriet 1/16 9/18.» Ministeriet, Dataskyddsombudsmannen, Kommunförbundet, arbetsmarknadsparter, Finlands Näringsliv» Uppgifter: Allmän lag (proposition 5/2017) Beslut om myndighetsorganisation Nationell flexibilitet, ramar för användning Koordinerar arbetet med speciallagstiftningen VAHTI (Ledningsgruppen för datasäkerheten inom statsförvaltningen): Projektgrupp 2/16 6/17» Rapport publicerad 2.6.2016» https://www.vahtiohje.fi/c/document_library/get_file?uuid=c97ee414-1fc0-4a91-969c- 2ef0657605d1&groupId=10128 Kommunförbundet, Hansel (staten enhet för samordnad upphandling) och KL Kuntahankinnat (kommunernas enhet för samordnad upphandling) utarbetar upphandlingsanvisning» Publiceras 5/17 Dataskyddsombudsmannens vägledning» http://tietosuoja.fi/fi/ 7

Utgångspunkter

Vad ändras? Vi får nya regler om hur personuppgifter skall behandlas Det grundas en ny myndighet som övervakar hur företag, myndigheter, kommuner etc. behandlar personuppgifter De nya reglerna innehåller sanktioner, skadeståndsrätt osv. 9

Idé E-handeln en del av den interna marknaden Konsumentskydd i förhållande till egna uppgifter Utvecklingen av elektroniska verktyg och program Olika regler i olika länder 10

Tillvägagångssätt Förordning, utan implementering och med direkt effekt» Kommer att ersätta persupuppgiftsdirektivet från 1995 och lagstiftningen som getts på grund av den Personuppgiftslag (523/1999) Ålands personuppgiftslag Bred tillämpning, offentliga och privata sektorn» Inte privatliv eller utövande av tro» Tillämpning utanför EU:s kompetensområde? 11

Paradigmskifte Compliance -> Ansvar att säkerställa» Från att följa regler till att på förhand planera och aktivt ta i beaktande, också datatekniskt Upphandlingar Dokumentering Kunskap Inbyggt dataskydd och dataskydd som standard» Dataskyddet sker inte manuellt och inte i efterhand» Dataskyddet integreras i programvaror, utformas individuellt efter behov och utgående från en riskbedömning» Bör alltså formas i planeringsskedet Uppgifternas livslängd, automatiserad pseudonymisering, tillträdesrätt etc.» Kräver kunskap och framåtblick Registeransvarig och registerbiträde skilda i lagstiftning med autonoma ansvar» Bestämning av avtalsinnhåll i förordningen» Ansvarsfördelning» JIT och JYSE motsvarar inte dessa krav idag 12

Klargör nuvarande Tillägg till nuvarande Helt nytt Översikt över innehåll Grundprinciper Definitioner Tillåten behandling Medgivande Rätt till insyn Rätt att bli glömd Riskbedömning DPO Rätten att behandla berättigade intressen Informationssky ldighet Roller ansvarig och biträde Överflytt till tredje land Profilering Inbyggt dataskydd och dataskydd som standard Ansvar att säkerställa Register över behandling Rätten till dataportabilitet Notifieringsskyldighet Förhandsavgöranden Påföljder: sanktioner och skadestånd Myndighetsorganisati on 13

Dataskyddsförordningen

Inbyggt dataskydd och dataskydd som standard Inbyggt dataskydd och dataskydd som standard i systemutveckling» Automatiserat tas enbart nödvändiga personuppgifter emot i systemet / registret» Uppgifter får inte insamlas, behandlas eller lagras utanför vad som är nödvändigt» Personuppgifter görs inte tillgängliga för ett obegränsat antal fysiska personer» Automatiserat garanteras de registrerades rättigheter» Automatiserad dataskydd» Dokumentation om alla steg 15

Utnämning av dataskyddsombud, art 35 Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna ett dataskyddsombud om behandlingen genomförs av en myndighet eller ett offentligt organ» Får vara gemensam för koncern» Får vara gemensam för flera myndigheter med hänsyn till organisationsstruktur 16

Dataskyddsombudets ställning, art 36 Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå. 17

Information och kommunikation samt klara och tydliga villkor, 12 art Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla information och kommunikation i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt. Information: registerbeskrivning, egna uppgifter, information om behandlingen av uppgifter, flytt, motsättelse av behandling, etc. 18

Den registrerades rätt till tillgång, 15 art Rätten till att granska egna uppgifter» Inklusive: ändamålen med behandlingen, de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer, om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.» Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling; Rätten att inge klagomål till en tillsynsmyndighet; Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer Art 15 (3): Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.» Gratisprogram som är tillgängligt 19

Rätten att radera sina uppgifter, 17 art Egentligen inget nytt Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om de inte behövs för ändamålet med behandlingen. Art 17 (2)» Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter. 20

Rätt till begränsning av behandling, art 18 Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas» Exempelvis om oklart om behandlingen lagenlig, om personuppgifterna korrekta Art 18 (2):» Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat Teknisk karantän. 21

Anmälan av en personuppgiftsincident 33; 34 art Anmälan av en personuppgiftsincident till tillsynsmyndigheten» Inom 72 timmar Förutom om incidenten inte medför risk för fysiska personers rättigheter och friheter Anmälningsskyldighet hos registeransvarig också för problem hos biträde Anmälans innehåll finns i förordningen Anmälan till registrerad Om incidenten innebär hög risk Anmälans innehåll i förordningen 22

Säkerhet i samband med behandlingen, art 32 Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna Ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt» Ex. pseudonymisering, kryptering, konfidentialitet, integritet, motståndskraft hos system och tjänster, återställning av tillgänglighet och tilggång i rimlig tid, förfaranden för testning och utvärdering. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Dokumentation! 23

Digital portibilitet, art 20 Inte tillämpbart på myndighetsregister Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om» Enskilda uppgifter måste kunna plockas från registret i denna form» Överföring till andra register 24

Krav som påverkar avtal Vilka avtal påverkas? Alla avtal vars föremål antingen direkt eller indirekt avser personuppgifter. 25

Administrativa sanktioner, art 82 Bestämning om användning på myndigheter i regeringspropositionen Grad 1: administrativa sanktionsavgifter på upp till 10 000 000 EUR eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst: Grad 2: administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:» De grundläggande principerna för behandling, inklusive villkoren för samtycke,» Registrerades rättigheter enligt artiklarna» Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationel orgaisation 26

Hur komma igång?

Vikten av datasekretess ökar Riskaspekten ökar och registeransvariges ansvar Datasekretessen och skyddet för privatliv måste beaktas systematiskt i utvecklingen av verksamhet, tjänster och produkter, samt programvaror och system» Upphandlingar och avtal» Organisering av verksamhet, ledning» Dokumentation, rapportering och skydd Nyttokalkyler riskkalkyler 28

Den registeransvariges to do lista 16-17 1. Vem är ansvarig för datasekretessen (DPO) 2. Analysera personuppgiftsmassan 3. Gör riskanalays, inkl. avtal och sanktioner 4. Gör anvisningar 5. Dataskyddet i skick 6. Utbildningsbehov 7. Övervaka nuvarande användning av personuppgifter 8. Var förutseende 9. Bygg förtroende 10.Följ med utvecklingen! 29

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss