GDPR. Dataskyddsförordningen 27 april 2017 Emil Lechner
Advokatfirman EdmarLaw Hjälper främst IT-bolag och teknikintensiva bolag. Specialistkompetens inom IT-rätt, avtalsrätt, immaterialrätt och e-handel. Arbetat med personuppgiftsfrågor sedan 1996. Biträder flera amerikanska multinationella bolag. 2
Var är vi idag? Personuppgiftslagen PUL från 1998. Bygger på ett EU direktiv från 1995 som har implementerats i alla EU:s medlemsstater, dock lite olika. Personuppgift: All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. 3
Vart är vi på väg? Ny dataskyddsförordning som börjar gälla från 25 maj 2018 och ersätter då PUL Sv: Allmän dataskyddsförordning Eng: General Data Protection Regulation GDPR Samma regler, samma definitioner och samma tillämpning i alla EU:s medlemsländer 4
Mycket nytt, men Många av dataskyddsförordningens begrepp och principer är samma som i personuppgiftslagen. Har ni idag god ordning på de behandlingar som er organisation gör samt rutin och processer på plats för att säkerställa att PUL följs så har ni en bra grund att utgå ifrån. 5
Nyheter i dataskyddsförordningen Följande punkter ska vi titta närmare på: Nya krav på personuppgiftsbiträdet Utökad informationsskyldighet Incidenthantering Privacy by design Dataskyddsombud 6
Olika roller Personuppgiftsansvarig Den som bestämmer ändamålen och medlen för behandling av personuppgifter Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning Dataskyddsombud (PUL: personuppgiftsombud) Ett ombud som måste ha tillräcklig kunskap om dataskydd. Krav för vissa organisationer. 7
Informationsskyldighet enligt GDPR Väsentligt utökade krav på information som ska lämnas till den registrerade: personuppgiftsansvariges identitet och kontaktuppgifter ändamålen med behandlingen den rättsliga grunden för behandlingen vilka mottagare som ska ta del av personuppgifterna (underleverantörer, partners m.fl.) hur länge uppgifterna sparas utökade rättigheter för de registrerade behöver kommuniceras Allt detta måste in i en personuppgiftspolicy. 8
Ändamålet med behandlingen Ändamålet för behandlingen måste bestämmas i förväg Kraven på ett system måste utgå från ändamålet Exempel: 9 Privacy by Design
Rättigheter för den registrerade Informera om: rätten att kunna begära tillgång till och rättelse eller radering av personuppgifter rätten att begära begränsning av behandling som rör den registrerade rätten att invända mot behandling rätten till dataportabilitet om behandlingen grundar sig på samtycke, att den registrerade när som helst kan återkalla sitt samtycke rätten att inge klagomål till en tillsynsmyndighet (och ange vilken - med kontaktinfo) 10
Rättigheter för den registrerade Rätt att inom 30 dagar från begäran få ut information om: vilka uppgifter som samlats in om den registrerade vad syftet med insamlingen är vilka organisationer/juridiska personer som tagit del av informationen hur länge informationen ska lagras och övriga rättigheter den registrerade har 11
Rättigheter för den registrerade Rätt att få sina personuppgifter raderade när t.ex. lagringsperioden gått ut eller när den registrerade inte längre vill att de lagras, liksom även radera personuppgifter i sökresultat hos sökmotorleverantörer ( right to be forgotten ) Rätt att få åtkomst till sina personuppgifter på ett strukturerat, standardiserat och lättolkat sätt, liksom även för att föra över dem till en annan leverantör (dataportabilitet) Rätt att motsätta sig eller begränsa insamlingen eller behandlingen av personuppgifter, t.ex. i direktmarknadsföringssyften Rätt att få felaktig information korrigerad 12
Radering av personuppgifter När den personuppgiftsansvarige bedömer att personuppgifter inte längre behövs för ändamålet och inte behöver bevaras ska de tas bort Uppgifter som har raderats av den personuppgiftsansvarige får då inte heller bevaras eller behandlas hos personuppgiftsbiträdet (molntjänstleverantören) 13
Personuppgiftsincident ( Data Breach ) En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats 14
Incidentrapportering Krav på rutiner och processer för att upptäcka, rapportera och utreda incidenter. Vid personuppgiftsincidenter ska den personuppgiftsansvarige inom 72 timmar anmäla upptäckt incident till tillsynsmyndigheten. Personuppgiftsbiträdet ska utan dröjsmål underrätta den personuppgiftsansvarige vid en personuppgiftsincident. 15
Incidentrapportering För det fall att man har haft en incident så kommer Datainspektionen och ev. andra myndigheter att granska de åtgärder man hade på plats innan en incident. Storleken på en eventuell sanktionsavgift kommer att påverkas av de åtgärder man hade vidtagit innan incidenten. 16
Sanktioner 2-4 % av företagets totala omsättning i böter om den personuppgiftsansvariga inte följer dataskyddsförordningens hanteringsregler eller Datainspektionens beslut. Sanktionsnivån beror på hur allvarligt regelbrott man gör sig skyldig till. Den absolut högsta nivån är det högsta beloppet av 20 miljoner Euro eller 4% av företagets/organisationens globala omsättning. Drabbade personer har också rätt till ersättning för skador såsom upplevda kränkningar eller bedrägeri. 17
Privacy by design På svenska översätts det till inbyggd integritet. Inbyggda mekanismer för skydd av den personliga integriteten. Den som bestämmer över hanteringen av personuppgifter är ansvarig. Integritetsaspekter ska påverka hela livscykeln av en produkt eller tjänst, från förstudie och kravställning, via design och utveckling till användning och avveckling. 18 Privacy by Design
Grundläggande privacy by design Inte samla in mer information än vad som behövs. Inte använda den till något annat än vad man samlade in den för. Inte ha den kvar längre än man behöver. Informera om hur uppgifterna ska behandlas. Begära samtycke för behandlingen. Möjliggöra insyn i behandlingen. 19 Privacy by Design
Inte samla in mer uppgifter än vad som behövs Samla in så få personuppgifter som möjligt. Begränsa till uppgifter som endast indirekt pekar ut en individ. Begränsa sig till uppgifter som är mindre känsliga. Ersätt namn och andra direkt identifierbara uppgifter (pseudonymisering). Inte rutinmässigt ha med personnummer som fält. 20 Privacy by Design
Inte ha kvar uppgifterna längre än man behöver. När personuppgifter inte längre behövs ska de tas bort. Ändamålet med behandlingen styr. Exempel: Om en användare säger upp sitt konto. Om ett företag lägger ner en tjänst. Om en vara levererats och köpet är fullgjort. 21 Privacy by Design
Begränsa åtkomsten till uppgifterna Begränsa åtkomsten till endast de som behöver arbeta med och ta del av personuppgifterna Identifierade användare ska komma åt rätt information enkelt men hindras att komma åt fel information (dvs. personuppgifter som inte behövs för att lösa ens arbetsuppgift) 22 Privacy by Design
Skydda uppgifterna Tekniska skydd där personuppgifter behandlas eller lagras (skyddets nivå i förhållande till risken med behandlingen av uppgifterna). Funktioner för autentisering, minst lösenord, med tillhörande rutiner och funktioner för säker hantering. Möjlighet att använda kryptering vid kommunikation över Internet, i databaser, på mobila enheter. Rutiner och tydlig information, både till användare och internt. Logga användning för att kunna utreda felaktig åtkomst till personuppgifter. Säker radering av personuppgifter. 23 Privacy by Design
Dataskyddsombud Nytt krav på att vissa typer av organisationer måste tillsätta ett dataskyddsombud: Offentliga verksamheter, företag vars kärnverksamhet består i att hantera stora mängder personuppgifter, och företag som hanterar större mängder av känsliga personuppgifter. 24
Dataskyddsombudets roll Den nya rollen som dataskyddsombud är bredare än dagens personuppgiftsombud. Det är styrelsens och ledningsgruppens ansvar att säkerställa att dataskyddsombudet har resurser och kan på ett objektivt sätt utföra sitt arbete. Detta arbete innefattar bland annat: Involveras i alla frågor som rör skyddet av personuppgifter. Samarbeta och samråda med tillsynsmyndigheter. Informera och utbilda anställda i dataskydd. 25
Dataskyddsombudets roll Dataskyddsombudet kan antingen vara en intern eller extern person Ska inneha yrkesmässiga kvalifikationer och i synnerhet sakkunskap om lagstiftning och praxis avseende dataskydd. 26
Sammanfattning GDPR träder i kraft 25 maj 2018. Kartlägg personuppgiftshanteringen Personuppgiftsbiträden garantier och avtal Informationsskyldigheten och registrerades rättigheter Personuppgiftsincidenter hantering och rapportering Privacy by design Dataskyddsombud 27
Kontaktinformation Emil Lechner T: +46 (0)73 943 14 22 emil.lechner@edmarlaw.se www.edmarlaw.se 28