SÅ FÖRBEREDER NI ER INFÖR DATASKYDDSLAGEN (GDPR)

Relevanta dokument
GDPR NYA DATASKYDDSFÖRORDNINGEN

Information om dataskyddsförordningen

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

MED ISO KAN TEAMENGINE MÖTA ÖKADE KUNDKRAV OCH EFTERLEVA GDPR

SENTORS 3-FASMETODIK HJÄLPER INSPLANET ATT EFTERLEVA GDPR

GDPR (General Data Protection Regulation) Dataskyddsförordningen

WHITE PAPER. Dataskyddsförordningen

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Den nya dataskyddsförordningen - GDPR

Ett eller flera dataskyddsombud?

NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG?

Översikt av GDPR och förberedelser inför 25/5-2018

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

GDPR UTBILDNINGSDAG SKKF

GDPR. General Data Protection Regulation

Allmänna råd. Datainspektionen informerar. Nr 2/2016

GDPR Presentation Agenda

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Sex månader med GDPR. 8 november 2018

Dataskyddsförordningen

GDPR ur verksamhetsperspektiv

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Dataskyddsförordningen

En guide om GDPR och vad du behöver tänka på

GDPR. General Data Protection Regulation. dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

EU:s dataskyddsförordning

Dataskyddsombud, organisation och finansiering

Dataskyddsförordningen

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Dataskyddsförordningen

DATASKYDD (GDPR) Del 2: Förvaltningsledning

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

STOCKHOLMS FOTBOLLFÖRBUND

Dataskyddsförordningen

Dataskyddsförordningen

PuL. Inför nya PuL Allmän dataskyddsförordning, GDPR

GDPR och hantering av personuppgifter

Acando Simplifying GDPR. ACANDO CAPABLE BUSINESS GDPR Från ord till handling

PwC Digital Trust Introduktion till GDPR. GRC-dagarna oktober 2017

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Information till personuppgiftsansvarig om dataskyddsombud

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

Dataskyddsförordningen

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Dataskyddsförordningen (GDPR)

Policy för integritet vid hantering av personuppgifter

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Ny dataskyddsförordning En vägledning genom processen

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Lindesbergs kommuns arbete med dataskyddsförordningen

PERSONUPPGIFTS- BITRÄDESAVTAL

Olingo Consulting & Advokatfirman Vinge

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

IT-konsekvensanalys dataskyddsförordning

Status panik? GDPR-update! Disposition

Riktlinjer för personuppgiftshantering

GDPR. Dataskyddsförordningen

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Integritetspolicy för webbplats

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Handlingsplan för persondataskydd

Code of Conduct. Senast uppdaterad Utgivare: Johnny Gunnarsson

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

De nya EU-reglernas krav på molnsäkerhet

Ny dataskyddsförordning (GDPR) - Projektdirektiv för anpassning i

Informationsblad om vissa juridiska aspekter på systematisk uppföljning i socialtjänsten och EU:s dataskyddsförordning

Dataskyddsförordningen

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen 2018

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

Dataskyddsförordningen GDPR

Dataskyddsförordningen 2018

Vad finns det för stöd kommunerna? Pål Resare, Förbundsjurist Sveriges Kommuner och Landsting

Riktlinjer för hantering av personuppgifter

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen i utbildningsverksamhet

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Denna integritetspolicy ( Integritetspolicyn ) har tre syften:

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Transkript:

SÅ FÖRBEREDER NI ER INFÖR DATASKYDDSLAGEN (GDPR)

Dataskyddslagen (GDPR) Det har sedan en lång tid tillbaka pågått diskussioner kring en uppdatering av EU:s dataskyddslag som i grunden inte har uppdaterats sedan 1995. Efter tuffa förhandlingar enades parterna om en ny förordning (en förordning inom EU kan åberopas inför en nationell domstol likt en nationell lag) som publicerades i maj 2016 och träder i kraft i alla EU-länder från 25:e maj 2018. Det är med andra ord bråda dagar för de organisationer som måste efterleva den nya lagen. Den nya lagen General Data Protection Regulation (GDPR) kommer ersätta den tidigare personuppgiftslagen som baseras på det tidigare EU-direktivet Data Protection Directive (DPD). Målsättningen med GDPR är att modernisera dataskyddsreglerna i de 28 medlemsländerna inom EU. Den nya lagen tydliggör för företag och organisationer vilka regler som gäller och vad som händer ifall man inte följer dem. Till skillnad mot den tidigare lagen kan bristande efterlevnad av den nya lagstiftningen bli mycket kostsam. Vilka omfattas av den nya dataskyddslagen? GDPR kommer att påverka de organisationer som behandlar (samlar in, lagrar, bearbetar osv.) personuppgifter vilket i praktiken omfattar alla organisationer som har anställda eller kunder. Lagen påverkar inte bara de som är verksamma inom EU utan även de organisationer som behandlar EU-medborgares personuppgifter oavsett var de befinner sig fysiskt. Det är också värt att notera är att det inte spelar någon roll om man erbjuder en tjänst mot betalning eller inte alla personuppgifter ska skyddas. Vad avses med personuppgift? Med personuppgift avses all information som entydigt går att koppla till en individ, en s.k. registrerad. Det kan vara uppenbara saker som exempelvis ett namn, men det kan också vara information som i kombination med andra uppgifter gör det möjligt att identifiera en specifik individ. Exempelvis kan information om antalet barn kombinerat med kön och bostadsort göra det möjligt att identifiera en person. Exempel på uppgifter som kan bedömas vara personuppgift: Tilltalsnamn i kombination med efternamn E-postadress Bankuppgifter Fotografier Uppdateringar på Facebook Medicinsk information IP-adress

Hur påverkar den nya dataskyddslagen din organisation? Den nya lagen kommer konkretisera regelverket kring skyddet av personuppgifter. I det gamla regelverket ingick inte ostrukturerad information såsom Word-dokument och pdf-filer; i den nya lagtexten ingår all information som verksamheten hanterar. Varje organisation kommer att behöva vidta lämpliga tekniska och organisatoriska åtgärder i syfte att uppfylla kraven. Vilka åtgärder som behövs beror exempelvis på uppgifternas art, omfattning, syfte med behandling samt vilka risker för individen som behandlingen kan innebära. Åtgärderna är flera, men det kan exempelvis röra sig om pseudonymisering som gör att uppgifterna inte går att koppla till en enskild individ utan en specifik nyckel som hålls avskild. Några nyckelkoncept i den nya lagstiftningen är dataminimering, privacy by design och privacy by default. Dataminimering innebär att organisationen upphör med att spara och behandla personuppgifter som saknar ett legalt syfte. Privacy by design och privacy by default innebär att integritetsfrågorna naturligt ska ingå i samtliga system, processer och organisationens löpande verksamhet med tillhörande kontroller. Istället för att granskas av en tillsynsmyndighet i varje land med egna regler kan idag organisationer dra nytta av att samma regelverk nu kommer att gälla för hela EU. En internationell organisation behöver alltså inte granskas av flera tillsynsmyndigheter utan endast av en som är ansvarig för översyn och tolkning av förordningen. Detta kallas för one-stop-shop och förväntas skapa bättre förutsägbarhet inom unionen. GDPR kommer också på ett tydligare sätt avgöra ansvaret för organisationer kring de uppgifter de hanterar. Det kommer underlätta för organisationer att följa reglerna och undvika påföljder. I Sverige kommer Datainspektionen ha uppdraget att kontrollera att regelverket följs och bestraffa de aktörer som bryter mot lagen. En organisation som är verksam i flera länder kommer att kontrolleras av den nationella tillsynsmyndighet där företaget har sin primära hemvist. Vad händer om man inte uppfyller kraven? Det är upp till varje enskild organisation att säkerställa att de uppnår de krav som ställs enligt den nya lagen. Det spelar ingen roll om organisationen i fråga använder sig av en molntjänstleverantör eller anlitar en IT-partner för sitt databehov. En organisation som inte uppfyller förordningens krav kan bestraffas med böter på upp till 4 % av den konsoliderade, globala årsomsättningen hos hela koncernen eller 20 miljoner euro beroende på vilket belopp som är störst. Det är med andra ord extremt tuffa bestraffningar som väntar den som inte sköter sina kort rätt. Dessutom ställer GDPR krav på att en organisation som utsatts för ett dataintrång inom 72 timmar ska meddela detta till berörda intressenter och dess tillsynsmyndighet. Bara processerna för att kommunicera den typen av information till berörda individer kan innebära ett omfattande arbete och en stor förändring.

5 tips inför den nya dataskyddslagen Först och främst måste en organisation som strävar efter att uppfylla kraven i GDPR sätta sig in i vilken information man samlar in, lagrar osv. och för vilket syfte man gör det. Det är också viktigt att man tidigt ser över vilka risker organisationen som helhet står inför och vilka konsekvenser som dessa risker skulle kunna få. 1. Utbildning För att underlätta inventeringen av personuppgifter och det fortsatta arbetet med att efterleva GDPR är det viktigt med utbildningsinsatser i syfte att förbättra kunskapen internt. Sannolikt hanteras och sparas vissa personuppgifter på rutin utan tydligt syfte, något som behöver förändras för att kunna efterleva den nya lagen. Detta innebär att utbildningsinsatser regelbundet behöver genomföras i stora delar av verksamheten. 2. Gör en inventering av de personuppgifter som behandlas Varje organisation behöver identifiera och inventera befintliga personuppgifter som behandlas enligt artikel 30 i GDPR. Beroende på antal system, integrationspunkter, samarbetspartner och leverantörer som är inblandade kan arbetet bli en komplex och tidskrävande process. Om det inte finns ett juridiskt gångbart syfte att hantera denna information får den helt enkelt inte hanteras. Frågeställningar som ingår i detta steg är var och varför hanteras personuppgifterna samt hur länge ska de sparas. Inventeringen utgör grunden i efterlevnadsarbetet då det är denna information som ska skyddas. Rekommendationen är att genomföra aktiviteten minst två gånger innan lagen träder i kraft för att säkerställa att alla personuppgifter identifierats och att verksamheten har stöd i lagen att hantera dem. 3. Genomför en konsekvensanalys (Data Protection Impact Assessment) I den nya lagen ställs krav på att organisationer ska genomföra en konsekvensanalys kring användandet av personlig information och de risker detta kan innebära för individerna. Riskanalysen identifierar de känsligaste personuppgifterna för att kunna definiera relevanta kontroller som säkerställer att organisationen hanterar personuppgifter på rätt sätt. 4. Utse en Dataskyddsansvarig / Data Protection Officer Alla organisationer behöver någon som ansvarar för frågorna som rör dataskydd. För viss verksamhet kräver lagen dessutom en Data Protection Officer som får en mycket viktig roll inom organisationen för att löpande säkerställa att verksamheten efterlever lagen. Rollen innebär också ett personligt ansvar, vilket sannolikt innebär att det kan bli en utmaning att fylla denna position. 5. Inför kontroller i verksamheten I och med att kraven är strängare och straffen hårda är det otroligt viktigt att vara bra förberedd och ha processerna på plats ifall en incident sker. Det är med andra ord läge att uppdatera er incidenthanteringsplan och säkerställa att ni kan agera snabbt och på rätt sätt i enlighet med GDPR. GDPR ställer helt andra krav på att organisationen i fråga ska kunna kommunicera med berörda intressenter ifall en person önskar att få ta del av informationen som finns lagrad om en. En berörd person har också ett antal rättigheter som exempelvis berör vidarebefordring av data, korrigering av data och rätten att få bli glömd. Det gäller med andra ord att se till att ens system kan samagera på att ett bra sätt och att det finns riktlinjer för hur man ska kommunicera med motparten och tillgodose eventuella krav.

Det är även viktigt att uppdatera kontrakt med leverantörer och andra intressenter för att säkerställa att alla krav i GDPR uppfylls. Säkerställ sedan löpande att kontrollerna verkligen fungerar. Sentor kan ta er närmare GDPR compliance Sentor hjälper så väl stora multinationella företag som mindre bolag att uppnå efterlevnad enligt rådande personlagstiftning. Vi har flera specialister på området som kan stötta organisationer i arbetet med datainventering, utbildning, riskanalys och införandet av kontroller i verksamheten. Sentor har också ett nära samarbete med Advokatfirman Delphi för frågor av mer juridisk karaktär. Besök oss på eller ring för mer information!

Huvudkontoret Regionkontor Syd Sentor MSS AB Björn Trädgårdsgränd 1 116 21 Stockholm +46 (0)8 545 333 00 Sentor MSS AB Adelgatan 21 211 22 Malmö +46 (0)8 545 333 00

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss