Status panik? GDPR-update! Disposition

Relevanta dokument
Hur påverkar GDPR din marknadsföring?

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

GDPR. Dataskyddsförordningen

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

GDPR Presentation Agenda

GDPR- Vad är det? Frukostmöte hösten Advokatfirman VICI

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Dataskyddsförordningen och kvalitetsregister

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Dataskyddsförordningen

Dataskyddsförordningen GDPR

Dataskyddsförordningen GDPR - General Data Protection Regulation

Översikt av GDPR och förberedelser inför 25/5-2018

EU:s dataskyddsförordning

Dataskyddsförordningen (GDPR)

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

GDPR NYA DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen 2018

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen 2018

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Säkerhetspolicy rev. 0.1

Riktlinjer för dataskydd

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

PuL och GDPR en översiktlig genomgång

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

De nya EU-reglernas krav på molnsäkerhet

Välkomna till kurs i den nya dataskyddsförordningen

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Dataskyddsförordningen

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Dataskyddsförordningen

GDPR. General Data Protection Regulation. dataskyddsförordningen

Dataskyddsförordningen

Idrottens Uppförandekod

GDPR General data protection regulation Dataskyddsförordningen

Dataskyddsförordningen

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR ur verksamhetsperspektiv

BESKRIVNING AV PERSONUPPGIFTSHANTERING

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen

INTEGRITETSPOLICY för Webcap i Sverige AB

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Generell information Personuppgiftsansvarig Vilka personuppgifter samlar vi in? Varifrån har vi fått tillgång till uppgifterna?

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Behandling av personuppgifter vid Göteborgs universitet

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

Dataskyddsförordningen

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Integritetspolicy för personuppgiftshantering

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

När systemen inte får stanna

Information om dataskyddsförordningen

GDPR antiklimax eller tickande bomb? Advokat Katarina Ladenfors

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

36. GDPR-sex månader kvar november 2017

PERSONUPPGIFTSBITRÄDESAVTAL

Policy för personuppgiftshantering

GDPR viktiga nyheter jämfört med PuL

Policy GDPR för Innovatum AB, Innovatum Science Center AB, Innovatum Portfolio AB samt Innovatum Progress AB

Integritetspolicy. Vårt dataskyddsarbete

Torsdagen den 17 maj 2018 Advokat Fredrik Björklund och jur.kand. Dan Johansson DATASKYDDSFÖRORDNINGEN (GDPR) VAD BEHÖVER MAN TÄNKA PÅ?

Bilaga 1a Personuppgiftsbiträdesavtal

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Policy för behandling av personuppgifter

Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Personuppgiftsbiträdesavtal

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Upprätthållandet av korrekta och uppdaterade uppgifter. Skicka relevant information och erbjudanden

PERSONUPPGIFTSBITRÄDESAVTAL

Vården och reglerna om dataskydd

BOSTADSRÄTTSFÖRENINGEN MAGNETENS PERSONUPPGIFTSPOLICY

IDkollens Integritetspolicy

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Personuppgiftspolicy för Hallmans Skomakeri & Skor AB. Vilken information samlar vi in?

GDPR- Seminarium 2017

Salinity är personuppgiftsansvarig för behandlingen av personuppgifter inom verksamheten samt på denna och andra webbplatser som drivs av Salinity.

INFORMATIONSSÄKERHET OCH DATASKYDD

Transkript:

GDPR-update! Advokat Daniel Tornberg daniel.tornberg@marlaw.se Advokat Alexander Jute alexander.jute@marlaw.se 26 april 2018 Print Next Advokatfirman MarLaw AB Sveavägen 31 P.O. Box 3079 SE-103 61 Stockholm, Sweden Phone +46 8 23 07 35 Fax +46 8 796 75 33 www.marlaw.se mail@marlaw.se Reg.No. 556358-3508 Disposition Status panik? Vad handlar det om? Vad innebär egentligen GDPR? På vilka grunder kan man behandla personuppgifter? Vilken roll har din organisation i olika sammanhang? Så kartlägger du din organisations personuppgifter Vilken information behöver du lämna vid insamling av personuppgifter? Vilka verktyg behöver du för att ta ditt företag snabbt framåt? och förbereder dig inför GDPR! Status panik? Vad är viktigast? Gör grundarbetet Vägledning knapphändig Praxis saknas Viktigt att följa rättstillämpning och tillsynsarbete Grundläggande kunskap sunt förnuft 1

Bakgrund - översyn av (framförallt) digitala rättigheter inom EU Digital Single Market Personuppgifter Profilering, re-targeting Upphovsrätt Geo-blocking (telecom, tv, internettjänster etc.) Konsumentskydd M.fl. Personuppgiftsområdet präglas av Mycket snabb teknisk utveckling Omfattande av behandling av personuppgifter Omfattande gränsöverskridande flöden av personuppgifter Allt fler personer gör sina personuppgifter allmänt tillgängliga Kunskapsnivån låg? Nuvarande lagstiftningssituation Nuvarande personuppgiftsdirektiv har medfört bristande enighet inom EU Handelshinder Konkurrenssnedvridning Rättsosäkerhet Missuppfattningar särskilt på Internet Svag tillsyn Svaga sanktioner 2

Förordning ersätter direktiv för att åstadkomma balans Direktiv målen bindande Förordning direkt bindande Ersätter helt direktiv 95/46/EG om skydd för personuppgifter (samt nationella PUL) Stark legal ram (förordning) Kraftfullt tillsynssystem Kraftfulla sanktioner GDPR-systematik Omfatta alla ekonomiska aktörer: företag, myndigheter och organisationer (privat användning undantagen) etablerad inom EU eller inte Omfatta alla fysiska personer Teknikoberoende - Skapa tillit och en fri digital ekonomi på den inre marknaden Medför Stort omställningsarbete Skulle redan vara gjort? Nu del av central compliance Kundvård? 3

GDPR General Data Protection Regulation Generella drag Grundläggande förutsättningar för tillåten personuppgiftsbehandling Efterlevnad av principer för behandling av personuppgifter & Laglig grund för behandling GDPR - Principer för behandling Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet (personuppgifter) Lagringsminimering Integritet och konfidentialitet Den personuppgiftsansvarige ska ansvara för och kunna visa att detta efterlevs (ansvarsskyldighet) 4

Laglig grund för behandling Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt: Samtycke från registrerad Nödvändig för att fullgöra avtal Nödvändig för att fullgöra en rättslig förpliktelse Nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person Nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning Nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn Gäller inte behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter Internt Personuppgiftsansvariga och personuppgiftsbiträden Behandlar någon PU för er räkning? T.ex. samarbetspartner, underleverantör, systemleverantör m.m.? Behandlar ni PU för någon annans räkning? T.ex. på uppdrag av kunder, i anledning av samarbetsavtal m.m.? Krav på personuppgiftsbiträdesavtal! 5

Personuppgiftsbiträdesavtal Bindande skriftligt avtal mellan PuA och PuB som ska innehålla: föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, PuA:s skyldigheter och rättigheter (Art. 28.3) Uppgift om PuB har rätt att anlita ett annat personuppgiftsbiträde (underbiträde) (Art. 28.2) Register Art. 30.1 PuA ska föra register över den behandling som utförs under dennes ansvar. Ska innehålla Namn, kontaktuppgifter för PuA/gemensamt/DSO Ändamål med behandling Beskrivning av kategorier av R och kategorier uppgifter (!) Kategorier mottagare Tredjelandsöverföring Förutsedda raderingstidsfrister Allmän beskrivning av säkerhetsåtgärder (tekn. + org.) Register Art. 30.2 Även biträden! PuB ska föra register över den behandling som utförs för PuA:s räkning. Ska innehålla Namn, kontaktuppgifter för PuB/PuA/DSO Kategorier av behandling Tredjelandsöverföring Allmän beskrivning av säkerhetsåtgärder (tekn. + org.) 6

Säkerhetsåtgärder Tekniska Minimera uppgiftsbehandling Inbyggd dataskydd som standard (privacy-by-default) Pseudonymisering Brandvägg, antivirus, uppdaterad mjukvara, backup, kryptering, etc. Åtkomstlogg Tester Organisatoriska Minimera uppgiftsbehandling Behörighetsstyrning Utbildning/rutiner Säkerhetspolicy Kontroll, avstämning (även) Fysisk säkerhet Intern personuppgiftspolicy Internt styrdokument/instruktion till anställda (Organisatoriska (+tekniska) skyddsrutiner) Minimera uppgiftsbehandling Behörighetsstyrning per avdelning/arbetslag/arbetsuppgift Särskilda instruktioner per kategori personuppgifter och per behandling Utbildning vad förväntas anställda/konsulter veta? Rutiner avseende anställdas/konsulters hantering av uppgifter Rutin vid incident Instruktioner avseende tekniska skyddsåtgärder Instruktion avseende fysisk säkerhet Externt 7

Rättslig grund - på vilken grund samlas personuppgifterna in? Samtycke från registrerad Nödvändig för att fullgöra avtal Nödvändig för att fullgöra en rättslig förpliktelse Nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person Nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning Nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn Gäller inte behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter En personuppgiftsansvarigs berättigade intressen, inklusive intressena för en personuppgiftsansvarig till vilken personuppgifter får lämnas ut, eller för en tredje part, kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre, med beaktande av de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige. Sådan behandling av personuppgifter som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personuppgiftsansvarig. Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse (Skäl 47) Berättigat intresse? Informationskrav Långtgående informationskrav vid insamling av personuppgifter, varierar beroende på från vem uppgifterna fås Den registrerade ska när som helst kunna få information om behandlingen 8

Vad ska framgå av en extern personuppgiftspolicy? Nyckelord: Vem? Vad? Varför? Hur? Identitet, kontaktuppgifter, företrädare för PuA Ev. kontaktuppgift DSO Ändamål och rättslig grund för behandling Berättigade intressen (om intresseavvägning som grund) Mottagare av personuppgifter Överföring till annat land? Lagringsperiod alternativt kriterier för att fastställa sådan period Sammanfattning Gå igenom era olika leverantörer, samarbetspartners, kunder m.m. och red ut er roll (biträde/ansvarig?) Inventera och kartlägg er behandling Säkerhetsåtgärder? Upprätta/uppdatera rutiner Lämnar ni tydlig information om er behandling? Upprätta extern allmän PU-policy Dock ersätter inte anpassad PU-policy för varje enskilt fall Frågor? Daniel Tornberg Alexander Jute Partner / Advokat Partner / Advokat Kontaktinformation Kontaktinformation Telefon: + 46 70 618 88 28 Telefon: +46 70 755 42 51 daniel.tornberg@marlaw.se alexander.jute@marlaw.se Advokatfirman MarLaw AB Sveavägen 31 P.O. Box 3079 103 61 Stockholm Tel: +46 8 23 07 35 Fax: +46 8 796 75 33 9

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss