Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Relevanta dokument
Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

GDPR NYA DATASKYDDSFÖRORDNINGEN

GDPR General data protection regulation Dataskyddsförordningen

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Den nya dataskyddsförordningen

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Dataskyddsförordningen

Nya Dataskyddsförordningen. Agnes Hammarstrand

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

GDPR- Seminarium 2017

Dataskyddsförordningen

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Kerstin Wardman, 25 april 2018

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

GDPR UTBILDNINGSDAG SKKF

Dataskyddsförordningen

Dataskyddsförordningen och kvalitetsregister

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Dataskyddsförordningen

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

GDPR. Ulrika Harnesk 17 oktober 2018

GDPR Presentation Agenda

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

PuL och GDPR en översiktlig genomgång

GDPR och annat om personlig integritet som man bör tänka på

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

GDPR. General Data Protection Regulation. dataskyddsförordningen

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen i utbildningsverksamhet

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

EU:s dataskyddsförordning

Vården och reglerna om dataskydd

Behandling av personuppgifter vid Göteborgs universitet

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

GDPR. Dataskyddsförordningen

Dataskyddsförordningen GDPR

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen - GDPR

Nya dataskyddsförordningen - i ett HR-perspektiv Emma Bädicker Advokatfirman Delphi

Dataskyddsförordningen

Information om dataskyddsförordningen

Riktlinjer för behandling av personuppgifter i Årjängs kommun

GDPR Utbildning Varför görs denna förändring? När börjar den nya lagen gälla? Individens rätt Likformighet Uppdatering Kostnadsbesparingar

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Att hantera personuppgifter

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Dataskyddsförordningen GDPR - General Data Protection Regulation

GDPR ur verksamhetsperspektiv

Dataskyddsförordningen för prefekter och administrativa chefer

Översikt av GDPR och förberedelser inför 25/5-2018

EU:s nya dataskyddsförordning Lotta Wikman Öman

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Policy för behandling av personuppgifter

Personuppgiftsinformation för Svedala kommun

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Lathund Dataskydd för krögare

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

PUL OCH DATASKYDDSFÖRORDNINGEN

Riktlinjer för hantering av personuppgifter

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

36. GDPR-sex månader kvar november 2017

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Status panik? GDPR-update! Disposition

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Dataskyddsförordningen

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Lathund Personuppgiftslagen (PuL)

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Nya dataskyddsförordningen GDPR

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Lindesbergs kommuns arbete med dataskyddsförordningen

Senior Associate på Jansson & Norin, a part of Fondia Juristexamen från London och Paris Varit verksam som jurist sedan 2009

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen, GDPR

Nya Dataskyddsförordningen, GDPR. Advokat Josephine Borg

Personuppgiftsbehandling för forskningsändamål

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Transkript:

Big data Legala svårigheter och möjligheter Johan Hübner, Advokat / Partner

Agenda Big data: vad, varför och hur (från en advokats synvinkel? Vem äger datan? Integritetsskydd - PuL och Dataskyddsförordningen (GDPR) 2

Big data ur en advokats perspektiv Stora mängder av olika slags information som produceras genom flera olika källor. Allt människor gör lämnar digitala spår - informationen skapas antingen genom individer eller genereras av maskiner (IoT, AI). Big data rör särskilt vår förmåga att ta tillvara på och använda stora mängder av information. Skillnaden mot vanliga databaser: mängden data kräver nya tillvägagångssätt. Sekundär användning 3

Vilka regler bör man (främst) beakta? Vem äger data? Upphovsrättslagen? Avtal mellan användare och insamlare Integritetsskydd Personuppgiftslagen (nu) Dataskyddsförordningen (från maj 2018)

Vem äger datan? 5

Juridik om äganderätt till data/system Skilj på rättigheterna till a) produkten (hårdvara, IoT-enhet) b) systemet och c) information/data IPR till produkten och systemet: patent, upphovsrätt, design eller avtal

Vem äger datan? Har man en äganderätt till data eller enbart en rätt att kontrollera eller använda denna?? Immateriella rättigheter (t ex upphovsrätt) oftast inte knutna till datan i sig - Ingen äger data i sig Men någon kan ha rättigheter i själva databasen? Skydd för skapade uppgifter? Reglera ägande och rätt till användning av data i avtal med samarbetspartners! 7

Integritetsskydd 8

Idag: Personuppgiftslagen ( PuL ) och motsvarande nationella lagar i EU Syfte att skydda mot att personlig integritet kränks genom behandling av personuppgifter I praktiken få sanktioner vid brott mot lagen Många bryter idag mot lagen Nationell lag baserad på EU-direktiv Annan lagstiftning gäller före 9

Ny EU-förordning Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 Regulation on the protection of individuals with regard to the processing of personal data and on the free movement of such data Direkt gällande förordning som ersätter PuL och motsvarande lagar i hela EU (EES) Syfte Möta teknikens förändringar Stärka integritetsskyddet Harmonisering, underlätta handel/fritt flöde inom EU De nya reglerna gäller från och med den 25 maj 2018 10

Förordningen i korthet Principerna bygger på nuvarande lag, men också ett stort antal nyheter Tydlig strävan efter enhetlighet, men finns vissa möjligheter till nationella avvikelser. 11

Sanktioner Företag riskerar böter upp till det högre beloppet av 20 MEUR eller 4 % av koncernens globala omsättning Även risk för skadestånd, straff m.m. 12

När gäller lagen? Gäller för ansvarig eller biträde etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte Även om inte etablerade i unionen Avser registrerade som befinner sig i unionen; och Behandlingen har anknytning till utbjudande av varor eller tjänster till sådana registrerade i unionen Gäller all behandling av personuppgifter 13

Vad är en behandling? Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter Exempel Insamling Registrering Lagring Spridning Samkörning Radering Undantag för bl.a. rent personligt bruk 14

Vad är en personuppgift? Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras Är detta en personuppgift? johan.hubner@delphi.se 83.248.106.125 (en IP-adress) En adressuppgift Köphistorik En bild GPS-data OBS! Oavsett kryptering 15

Möjlighet anonymisera? Kan informationen anonymiseras? Då gäller inte PuL/dataskyddsförordningen När är data anonymiserat? Informationen hänförs inte längre direkt eller indirekt till en individ. Utvärdera om det finns lämpliga tekniska lösningar Pseudonymisering? 16

Integritetens vägval big data Fullständig anonymisering Fullständig Personuppgiftscompliance Är fullständig anonymisering ens möjlig?

Ok, det finns personuppgifter i vår data lake... Now what? 18

Personuppgiftsansvarig En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter Ansvarar alltid självständigt för att lagen uppfylls och ska kunna visa att lagen följs Det är alltså ni som ansvarar för att t.ex. era IT-system uppfyller lagens krav (inte leverantören) Ska genomföra lämpliga organisatoriska och tekniska åtgärder för att följa lagen när lämpligt anta policyer. Jfr. personuppgiftsombud (nu dataskyddsombud) en fysisk person 19

Personuppgiftsbiträde En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Finns alltid utanför den personuppgiftsansvariges organisation Exempel på vanliga biträden IT-leverantörer Rekryteringsbyråer Reklambyråer Molntjänstleverantörer IT-support Utökade direkta skyldigheter Självständigt ansvar 20

Krav på personuppgiftsbiträdesavtal Utökade krav på biträden - formkrav Viktigt att tänka på vid alla samarbeten som innebär utbyte av personuppgifter Inte längre ett standardavtal viktigt anpassa till situationen förhandla! Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ 21

När är behandling tillåten? Uppgifter ska bara hanteras i den mån det är nödvändigt med hänsyn till ett lagligt ändamål Behandlingen behöver vara tillåten enligt samtycke nödvändigt för att ett avtal med den registrerade ska kunna fullgöras nödvändigt fullgöra rättslig förpliktelse skydda intressen av grundläggande betydelse för registrerade en arbetsuppgift av allmänt intresse ska kunna utföras eller intresseavvägning 22

Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse

Undantag för ostrukturerat material försvinner Enligt PuL finns ett undantag för uppgifter som inte strukturerats för att påtagligt underlätta sökning Löpande text i ordbehandlings-program, text eller e-mail, inlägg på sociala medier e I vissa fall utrymme för att göra en risknivåbedömning och anpassa åtgärderna efter om risknivån är låg eller hög 24

Särskilda kategorier (ökade krav) Känsliga personuppgifter Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Biometriska och genetiska uppgifter Hälsa Sexuell läggning/sexualliv Får fortfarande bara behandlas i undantagsfall, exempelvis Uttryckligt samtycke Nödvändig behandling för vissa syften inom arbetsrätten och angivna syften enligt nationell lag, t.ex. omsorg, socialt skydd 25

Privacy by design Anpassa systemen efter vilka dataskyddskrav som gäller för just ert företag och varje situation Behörighet Uppgiftsminimering Anonymisera om möjligt, undvik peka ut individer Begränsa åtkomsten till uppgifterna Hög säkerhet Möjligheter till kryptering, säkerhetskopiering och loggar, säker utplåning Funktioner för autentisering Enkel möjlighet till gallring, automatisk och enkel radering av uppgifter som inte behövs Möjliggöra utelämnande av information till registrerade 26

Ett stort antal andra krav Ökat ansvar för företag att visa att reglerna följs Ökade krav på efterlevnadskontroll från myndigheterna Ny typ av information till registrerade uppdatera personuppgiftspolicy Nya rutiner för hur information ska ges I vissa fall krav på att ha ett Dataskyddsombud speciell anställd med ansvar för frågorna Certifieringsmöjligheter Dataportabilitet Notifieringskrav data breach Förbud mot överföring till tredje land Säkerhetskrav 27

Vad gör vi? 28

Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policys Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policys för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder - rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv. 29

Praktiska tips Big data Analysera dataflöden Vilken typ av personuppgifter behandlas och för vilka ändamål? Ta fram policys och rutiner För bl.a. gallring, inhämtande av giltiga samtycken, dataportabilitet, rätten att bli glömd och agerande vid personuppgiftsincident. 30

Johan Hübner Advokat / Partner Mobil +46 (0)709 25 25 04 johan.hubner@delphi.se Advokatfirman Delphi Mäster Samuelsgatan 17 / Box 1432 / 111 84 Stockholm / Sweden Tel: +46 8 677 54 00 / www.delphi.se 31

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss