GDPR. Dataskyddsförordningen 27 april Emil Lechner

Relevanta dokument
GDPR for testies med inslag av krav

Översikt av GDPR och förberedelser inför 25/5-2018

GDPR NYA DATASKYDDSFÖRORDNINGEN

GDPR. Dataskyddsförordningen

GDPR- Seminarium 2017

EU:s dataskyddsförordning

Dataskyddsförordningen

Dataskyddsförordningen GDPR

GDPR och hantering av personuppgifter

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

EU:s dataskyddsförordning

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Dataskyddsförordningen

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Dataskyddsförordningen

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Dataskyddsförordningen

Dataskyddsförordningen

En guide om GDPR och vad du behöver tänka på

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

GDPR. General Data Protection Regulation. dataskyddsförordningen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

PuL och GDPR en översiktlig genomgång

Integritetspolicy Rinkaby Rör

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen (GDPR)

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Information till personuppgiftsansvarig om dataskyddsombud

Integritetspolicy Upplev Norrköping

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Integritetspolicy Monitor ERP System AB

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Dataskyddsförordningen GDPR - General Data Protection Regulation

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen

Personuppgiftsinformation för Svedala kommun

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Top Fuel ABs integritetspolicy

Axholmen:s Integritetspolicy

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Riktlinjer för behandling av personuppgifter i Årjängs kommun

GDPR UTBILDNINGSDAG SKKF

Den nya dataskyddsförordningen - GDPR

EU:s nya dataskyddsförordning Lotta Wikman Öman

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Integritetspolicy Vilka personuppgifter behandlar vi? När behandlar vi personuppgifter? Vad använder vi personuppgifter till?

Ny dataskyddsförordning En vägledning genom processen

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

EU:s allmänna dataskyddsförordning:

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

JUHTA Delegationen för informationsförvaltningen inom den offentliga förvaltningen

Dataskyddsförordningen

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

WHITE PAPER. Dataskyddsförordningen

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

INTEGRITETSPOLICY för Webcap i Sverige AB

Lindesbergs kommuns arbete med dataskyddsförordningen

GDPR och annat om personlig integritet som man bör tänka på

Ett eller flera dataskyddsombud?

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Riktlinjer för dataskydd

Policy för behandling av personuppgifter

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Behandling av personuppgifter vid Göteborgs universitet

Information om behandling av personuppgifter

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

GDPR Presentation Agenda

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Riktlinjer för att tillvarata enskildas rättigheter

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Tegehalls revisionsbyrå och dataskyddsförordningen

Upprätthållandet av korrekta och uppdaterade uppgifter. Skicka relevant information och erbjudanden

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

GDPR ur verksamhetsperspektiv

INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA

Vi bryr oss om dina personuppgifter

Vilka personuppgifter behandlar vi, i vilket ändamål (varför) och på vilken laglig grund?

GDPR POLICY Behandling av personuppgifter

För att tillvarata medlemmarnas enskildas rättigheter

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Transkript:

GDPR. Dataskyddsförordningen 27 april 2017 Emil Lechner

Advokatfirman EdmarLaw Hjälper främst IT-bolag och teknikintensiva bolag. Specialistkompetens inom IT-rätt, avtalsrätt, immaterialrätt och e-handel. Arbetat med personuppgiftsfrågor sedan 1996. Biträder flera amerikanska multinationella bolag. 2

Var är vi idag? Personuppgiftslagen PUL från 1998. Bygger på ett EU direktiv från 1995 som har implementerats i alla EU:s medlemsstater, dock lite olika. Personuppgift: All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. 3

Vart är vi på väg? Ny dataskyddsförordning som börjar gälla från 25 maj 2018 och ersätter då PUL Sv: Allmän dataskyddsförordning Eng: General Data Protection Regulation GDPR Samma regler, samma definitioner och samma tillämpning i alla EU:s medlemsländer 4

Mycket nytt, men Många av dataskyddsförordningens begrepp och principer är samma som i personuppgiftslagen. Har ni idag god ordning på de behandlingar som er organisation gör samt rutin och processer på plats för att säkerställa att PUL följs så har ni en bra grund att utgå ifrån. 5

Nyheter i dataskyddsförordningen Följande punkter ska vi titta närmare på: Nya krav på personuppgiftsbiträdet Utökad informationsskyldighet Incidenthantering Privacy by design Dataskyddsombud 6

Olika roller Personuppgiftsansvarig Den som bestämmer ändamålen och medlen för behandling av personuppgifter Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning Dataskyddsombud (PUL: personuppgiftsombud) Ett ombud som måste ha tillräcklig kunskap om dataskydd. Krav för vissa organisationer. 7

Informationsskyldighet enligt GDPR Väsentligt utökade krav på information som ska lämnas till den registrerade: personuppgiftsansvariges identitet och kontaktuppgifter ändamålen med behandlingen den rättsliga grunden för behandlingen vilka mottagare som ska ta del av personuppgifterna (underleverantörer, partners m.fl.) hur länge uppgifterna sparas utökade rättigheter för de registrerade behöver kommuniceras Allt detta måste in i en personuppgiftspolicy. 8

Ändamålet med behandlingen Ändamålet för behandlingen måste bestämmas i förväg Kraven på ett system måste utgå från ändamålet Exempel: 9 Privacy by Design

Rättigheter för den registrerade Informera om: rätten att kunna begära tillgång till och rättelse eller radering av personuppgifter rätten att begära begränsning av behandling som rör den registrerade rätten att invända mot behandling rätten till dataportabilitet om behandlingen grundar sig på samtycke, att den registrerade när som helst kan återkalla sitt samtycke rätten att inge klagomål till en tillsynsmyndighet (och ange vilken - med kontaktinfo) 10

Rättigheter för den registrerade Rätt att inom 30 dagar från begäran få ut information om: vilka uppgifter som samlats in om den registrerade vad syftet med insamlingen är vilka organisationer/juridiska personer som tagit del av informationen hur länge informationen ska lagras och övriga rättigheter den registrerade har 11

Rättigheter för den registrerade Rätt att få sina personuppgifter raderade när t.ex. lagringsperioden gått ut eller när den registrerade inte längre vill att de lagras, liksom även radera personuppgifter i sökresultat hos sökmotorleverantörer ( right to be forgotten ) Rätt att få åtkomst till sina personuppgifter på ett strukturerat, standardiserat och lättolkat sätt, liksom även för att föra över dem till en annan leverantör (dataportabilitet) Rätt att motsätta sig eller begränsa insamlingen eller behandlingen av personuppgifter, t.ex. i direktmarknadsföringssyften Rätt att få felaktig information korrigerad 12

Radering av personuppgifter När den personuppgiftsansvarige bedömer att personuppgifter inte längre behövs för ändamålet och inte behöver bevaras ska de tas bort Uppgifter som har raderats av den personuppgiftsansvarige får då inte heller bevaras eller behandlas hos personuppgiftsbiträdet (molntjänstleverantören) 13

Personuppgiftsincident ( Data Breach ) En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats 14

Incidentrapportering Krav på rutiner och processer för att upptäcka, rapportera och utreda incidenter. Vid personuppgiftsincidenter ska den personuppgiftsansvarige inom 72 timmar anmäla upptäckt incident till tillsynsmyndigheten. Personuppgiftsbiträdet ska utan dröjsmål underrätta den personuppgiftsansvarige vid en personuppgiftsincident. 15

Incidentrapportering För det fall att man har haft en incident så kommer Datainspektionen och ev. andra myndigheter att granska de åtgärder man hade på plats innan en incident. Storleken på en eventuell sanktionsavgift kommer att påverkas av de åtgärder man hade vidtagit innan incidenten. 16

Sanktioner 2-4 % av företagets totala omsättning i böter om den personuppgiftsansvariga inte följer dataskyddsförordningens hanteringsregler eller Datainspektionens beslut. Sanktionsnivån beror på hur allvarligt regelbrott man gör sig skyldig till. Den absolut högsta nivån är det högsta beloppet av 20 miljoner Euro eller 4% av företagets/organisationens globala omsättning. Drabbade personer har också rätt till ersättning för skador såsom upplevda kränkningar eller bedrägeri. 17

Privacy by design På svenska översätts det till inbyggd integritet. Inbyggda mekanismer för skydd av den personliga integriteten. Den som bestämmer över hanteringen av personuppgifter är ansvarig. Integritetsaspekter ska påverka hela livscykeln av en produkt eller tjänst, från förstudie och kravställning, via design och utveckling till användning och avveckling. 18 Privacy by Design

Grundläggande privacy by design Inte samla in mer information än vad som behövs. Inte använda den till något annat än vad man samlade in den för. Inte ha den kvar längre än man behöver. Informera om hur uppgifterna ska behandlas. Begära samtycke för behandlingen. Möjliggöra insyn i behandlingen. 19 Privacy by Design

Inte samla in mer uppgifter än vad som behövs Samla in så få personuppgifter som möjligt. Begränsa till uppgifter som endast indirekt pekar ut en individ. Begränsa sig till uppgifter som är mindre känsliga. Ersätt namn och andra direkt identifierbara uppgifter (pseudonymisering). Inte rutinmässigt ha med personnummer som fält. 20 Privacy by Design

Inte ha kvar uppgifterna längre än man behöver. När personuppgifter inte längre behövs ska de tas bort. Ändamålet med behandlingen styr. Exempel: Om en användare säger upp sitt konto. Om ett företag lägger ner en tjänst. Om en vara levererats och köpet är fullgjort. 21 Privacy by Design

Begränsa åtkomsten till uppgifterna Begränsa åtkomsten till endast de som behöver arbeta med och ta del av personuppgifterna Identifierade användare ska komma åt rätt information enkelt men hindras att komma åt fel information (dvs. personuppgifter som inte behövs för att lösa ens arbetsuppgift) 22 Privacy by Design

Skydda uppgifterna Tekniska skydd där personuppgifter behandlas eller lagras (skyddets nivå i förhållande till risken med behandlingen av uppgifterna). Funktioner för autentisering, minst lösenord, med tillhörande rutiner och funktioner för säker hantering. Möjlighet att använda kryptering vid kommunikation över Internet, i databaser, på mobila enheter. Rutiner och tydlig information, både till användare och internt. Logga användning för att kunna utreda felaktig åtkomst till personuppgifter. Säker radering av personuppgifter. 23 Privacy by Design

Dataskyddsombud Nytt krav på att vissa typer av organisationer måste tillsätta ett dataskyddsombud: Offentliga verksamheter, företag vars kärnverksamhet består i att hantera stora mängder personuppgifter, och företag som hanterar större mängder av känsliga personuppgifter. 24

Dataskyddsombudets roll Den nya rollen som dataskyddsombud är bredare än dagens personuppgiftsombud. Det är styrelsens och ledningsgruppens ansvar att säkerställa att dataskyddsombudet har resurser och kan på ett objektivt sätt utföra sitt arbete. Detta arbete innefattar bland annat: Involveras i alla frågor som rör skyddet av personuppgifter. Samarbeta och samråda med tillsynsmyndigheter. Informera och utbilda anställda i dataskydd. 25

Dataskyddsombudets roll Dataskyddsombudet kan antingen vara en intern eller extern person Ska inneha yrkesmässiga kvalifikationer och i synnerhet sakkunskap om lagstiftning och praxis avseende dataskydd. 26

Sammanfattning GDPR träder i kraft 25 maj 2018. Kartlägg personuppgiftshanteringen Personuppgiftsbiträden garantier och avtal Informationsskyldigheten och registrerades rättigheter Personuppgiftsincidenter hantering och rapportering Privacy by design Dataskyddsombud 27

Kontaktinformation Emil Lechner T: +46 (0)73 943 14 22 emil.lechner@edmarlaw.se www.edmarlaw.se 28

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss