PuL och GDPR en översiktlig genomgång

Relevanta dokument
GDPR- Seminarium 2017

GDPR NYA DATASKYDDSFÖRORDNINGEN

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Kerstin Wardman, 25 april 2018

Dataskyddsförordningen

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Dataskyddsförordningen

GDPR. Dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Behandling av personuppgifter vid Göteborgs universitet

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen GDPR

Dataskyddsförordningen

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Dataskyddsförordningen

Dataskyddsförordningen 2018

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen 2018

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

GDPR General data protection regulation Dataskyddsförordningen

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Dataskyddsförordningen i utbildningsverksamhet

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

EU:s dataskyddsförordning

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Riktlinjer för hantering av personuppgifter

PERSONUPPGIFTSBITRÄDESAVTAL

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Personuppgiftsbiträdesavtal

Välkomna till kurs i den nya dataskyddsförordningen

Personuppgiftsbehandling i forskning

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Personuppgiftsinformation för Svedala kommun

Dataskyddsförordningen

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

GDPR Presentation Agenda

INTEGRITETSPOLICY för Webcap i Sverige AB

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Dataskyddsförordningen och kvalitetsregister

GDPR. General Data Protection Regulation. dataskyddsförordningen

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Dataskyddsförordningen

GDPR ur verksamhetsperspektiv

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Dataskyddsförordningen

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Information om behandling av personuppgifter

PERSONUPPGIFTSBITRÄDESAVTAL

Idrottens Uppförandekod

EU:s dataskyddsförordning

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

Dataskyddsförordningen

Dataskyddsförordningen, GDPR

Riktlinjer för dataskydd

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

INFORMATIONSSÄKERHET OCH DATASKYDD

Policy för personuppgiftsbehandling

GDPR definition och hur utbildningen berör(t)s av förordningen

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Strand Kapitalförvaltning AB:s integritetspolicy

Senior Associate på Jansson & Norin, a part of Fondia Juristexamen från London och Paris Varit verksam som jurist sedan 2009

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Dataskyddsförordningen

Policy för personuppgiftshantering

Föreningen Norden Personuppgiftspolicy

REV Informerar. GDPR-Dataskyddsförordningen. Riktlinjer för enskilda väghållare RIKSFÖRBUNDET ENSKILDA VÄGARS INFORMATIONSHÄFTE.

Så behandlar vi dina personuppgifter

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

GDPR - Riktlinjer för hantering av personuppgifter

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Transkript:

PuL och GDPR en översiktlig genomgång

Innehåll: Allmänt om nuvarande PuL Definitioner Allmänna bestämmelser Grundläggande krav Roller Säkerhet GDPR Skillnader mot dagens bestämmelser Checklista

Personuppgiftslagen (PuL) - Syfte och tillämplighet Syfte skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter bakomliggande EG-direktivet syftar ytterst till att åstadkomma ett fritt flöde av personuppgifter mellan medlemsstaterna Tillämpningsområde Personuppgiftsansvariga som är etablerade i Sverige, eller Använder utrustning i Sverige Subsidiär finns bestämmelser i annan lagstiftning som avviker så viker sig PuL för denna

PuL gäller för Strukturerad behandling av personuppgifter, d.v.s. helt eller delvis automatiserad, eller annan behandling om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning (t.ex. kartotek) men inte för ostrukturerat material (löpande text, ljud och bild) manuell eller rent privat behandling där lagen skulle strida mot bestämmelserna om tryck- och yttrandefrihet, journalistiska ändamål eller konstnärligt eller litterärt skapande dock får behandlingen inte vara kränkande (hur känsliga uppgifter är det, vilket sammanhang, syftet, spridningen och vad behandlingen kan leda till?)

Vad är en personuppgift? Personuppgift (enligt GDPR): Varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Alltså - all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet ( den registrerade ), exempelvis: Fred Smith fred_smith@hotmail.com shark_123@hotmail.com bilder (foton) och ljudupptagningar krypterade uppgifter olika slags elektroniska identiteter, som exempelvis IP-nummer och telefonnummer, om de kan kopplas till fysiska personer

Behandling Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter. Exempel: insamling registrering lagring användning återvinning utplåning förstöring

Personuppgiftsansvarig och personuppgiftsbiträde Personuppgiftsansvarig (data controller): Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifterna Personuppgiftsbiträde (data processor): Den som behandlar personuppgifter för den personuppgiftsansvariges räkning Ska finnas skriftligt avtal om att: Bara får behandla i enlighet med instruktioner Skyldig att vidta säkerhetsåtgärder

Grundläggande krav PuL 9 Behandlingen måste vara laglig, korrekt och i enlighet med god sed inte oförenlig med syftet = finalitetsprincipen Ändamålen särskilda, uttryckligt angivna och berättigade Uppgifterna adekvata, relevanta, riktiga och aktuella rätta, blockera eller utplåna felaktiga eller ofullständiga uppgifter inte fler än nödvändigt får ej bevaras längre än nödvändigt

Tillåten behandling PuL 10 Samtycke, eller nödvändigt till följd av a) avtal b) rättslig skyldighet c) skydd av vitala intressen för den registrerade d) arbetsuppgift av allmänt intresse e) myndighetsutövning eller efter en f) intresseavvägning

Samtycke Frivillig, särskild (specifikt ändamål, inte generellt) och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne Hypotetisk nej Tyst nej Konkludent ja, normalt dock inte för behandling av känsliga uppgifter Individuellt (av den registrerade själv) Återkallelse Inga formkrav, bevisbördan ligger på den registrerade Förhindrar insamling av ytterligare uppgifter, gamla uppgifter får inte uppdateras eller kompletteras Personuppgiftsansvarige har bevisbördan för att samtycke har erhållits = bör dokumenteras

Nya dataskyddsförordningen 1995 Dataskyddsdirektivet och Personuppgiftslagen December 2015 politisk överenskommelse om dataskyddsförordning Våren 2016 - formellt beslut ny General Data Protection Regulation Maj 2018 förordningen träder i kraft Förordningen gäller direkt inom hela EU, nationell tolkning

GDPRs grundläggande principer 1. Laglighet - Identifiera laglig grund 2. Ändamålsbegränsning - Bestäm ändamålet med behandlingen 3. Öppenhet - Informera de registrerade 4. Uppgiftsminimering - Samla enbart in uppgifter som behövs för ändamålet 5. Korrekthet - Uppdatera felaktiga uppgifter 6. Integritet och konfidentialitet - Skydda uppgifterna mot obehörig åtkomst 7. Lagringsminimering - Radera uppgifterna när de inte längre behövs för ändamålet 8. Ansvarsskyldighet - Visa att ni gör rätt genom att dokumentera

GDPR skillnader mot idag Information till individen lättförståeligt och tydligt, dessutom ange: Dataskyddsombud (Data Protection Officer) Beskrivning av legitimt syfte Hur länge uppgifterna lagras Kontaktuppgifter tillsynsmyndighet Varifrån informationen är hämtad Individens rättigheter Individens rättigheter och kontroll Utökad (obegränsad) rätt att begära utdrag Rätt till radering ( rätten att bli bortglömd ) även i nästa led (om uppgifterna inte längre behövs, olaglig behandling, saknas berättigat intresse eller tar tillbaka samtycke enl. 6.1.a och 9.2.a) Portabilitet (om behandling grundas på samtycke eller avtal och uppgifterna har tillhandahållits av den registrerade) Omfattning: Nu också för ostrukturerat material (löpande text, ljud och bild)! Gäller ALL automatiserad behandling.

GDPR skillnader mot idag forts. Krav på informationssäkerhet Uttryckligt krav på privacy by design/default Utökade krav på konsekvensanalys (data protection impact assessment) innan behandlingen påbörjas Krav på incidentrapportering Till personuppgiftsansvarig snarast (för biträden) Till tillsynsmyndigheten inom 72 tim Till enskilda drabbade personer snarast om inte. genomfört lämpliga tekniska och organisatoriska skyddsåtgärder på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering. vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades rättigheter och friheter.. inte längre kommer att uppstå. oproportionell ansträngning. i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.

GDPR skillnader mot idag forts. Personuppgiftsbiträdet (processor) har eget straff- och skadeståndsansvar (om man brister i sina åtaganden) samt skyldighet att samarbeta med tillsynsmyndigheten. Biträdesavtal med ökade krav på: att säkerställa intern sekretess att bistå personuppgiftsansvarig Direkta lagkrav på personuppgiftsbiträdet Dataskyddsombud ska finnas (om kärnverksamhet kräver regelbunden övervakning av registrerade) Dokumentationskrav över behandlingarna (register över alla behandlingar) Eget ansvar att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder (delat ansvar med ansvarig)

GDPR skillnader mot idag forts. Påföljder och sanktioner Skadeståndsansvar även för personuppgiftsbiträde Administrativa sanktionsavgifter: högsta av 20 miljoner Euro alt. 4% av globala koncernårsom-sättningen Överträdelsens karaktär, svårighetsgrad och varaktighet samt antalet berörda registrerade och den skada de lidit Uppsåt eller oaktsamhet De åtgärder som vidtagits för att lindra skadan Graden av ansvar med beaktande av de tekniska och organisatoriska åtgärder som genomförts Eventuella relevanta tidigare överträdelser Graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen De kategorier av personuppgifter som påverkas av överträdelsen Det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom Om åtgärder tidigare har förordnats, efterlevnaden av dessa Tillämpande av godkända uppförandekoder Eventuell annan försvårande eller förmildrande faktor

GDPR sammanfattning skillnader mot idag

GDPR checklista Skapa medvetenhet inom styrelsen Bestäm vad personuppgifterna ska användas till och använd inte för annat Upprätta ett register över personuppgiftsbehandlingar Samla in och hantera endast personuppgifter om ni har en laglig grund Informera de personer vars uppgifter du samlar in Samla inte in fler personuppgifter än vad som behövs för ändamålet Fastställ styrdokument och riktlinjer för de registrerades rättigheter och säkerheten kring behandlingen Se till att personuppgifterna är korrekta och uppdaterade Radera personuppgifter som inte längre behövs Skydda uppgifterna från otillåten användning och obehörig åtkomst Dokumentera hur ni tänkt avseende hanteringen av personuppgifter Informera Organisera Dokumentera Skydda Uppdatera Radera

Här kan Du hitta mer information: http://www.rf.se/personuppgifter

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss