GDPR-update! Advokat Daniel Tornberg daniel.tornberg@marlaw.se Advokat Alexander Jute alexander.jute@marlaw.se 26 april 2018 Print Next Advokatfirman MarLaw AB Sveavägen 31 P.O. Box 3079 SE-103 61 Stockholm, Sweden Phone +46 8 23 07 35 Fax +46 8 796 75 33 www.marlaw.se mail@marlaw.se Reg.No. 556358-3508 Disposition Status panik? Vad handlar det om? Vad innebär egentligen GDPR? På vilka grunder kan man behandla personuppgifter? Vilken roll har din organisation i olika sammanhang? Så kartlägger du din organisations personuppgifter Vilken information behöver du lämna vid insamling av personuppgifter? Vilka verktyg behöver du för att ta ditt företag snabbt framåt? och förbereder dig inför GDPR! Status panik? Vad är viktigast? Gör grundarbetet Vägledning knapphändig Praxis saknas Viktigt att följa rättstillämpning och tillsynsarbete Grundläggande kunskap sunt förnuft 1
Bakgrund - översyn av (framförallt) digitala rättigheter inom EU Digital Single Market Personuppgifter Profilering, re-targeting Upphovsrätt Geo-blocking (telecom, tv, internettjänster etc.) Konsumentskydd M.fl. Personuppgiftsområdet präglas av Mycket snabb teknisk utveckling Omfattande av behandling av personuppgifter Omfattande gränsöverskridande flöden av personuppgifter Allt fler personer gör sina personuppgifter allmänt tillgängliga Kunskapsnivån låg? Nuvarande lagstiftningssituation Nuvarande personuppgiftsdirektiv har medfört bristande enighet inom EU Handelshinder Konkurrenssnedvridning Rättsosäkerhet Missuppfattningar särskilt på Internet Svag tillsyn Svaga sanktioner 2
Förordning ersätter direktiv för att åstadkomma balans Direktiv målen bindande Förordning direkt bindande Ersätter helt direktiv 95/46/EG om skydd för personuppgifter (samt nationella PUL) Stark legal ram (förordning) Kraftfullt tillsynssystem Kraftfulla sanktioner GDPR-systematik Omfatta alla ekonomiska aktörer: företag, myndigheter och organisationer (privat användning undantagen) etablerad inom EU eller inte Omfatta alla fysiska personer Teknikoberoende - Skapa tillit och en fri digital ekonomi på den inre marknaden Medför Stort omställningsarbete Skulle redan vara gjort? Nu del av central compliance Kundvård? 3
GDPR General Data Protection Regulation Generella drag Grundläggande förutsättningar för tillåten personuppgiftsbehandling Efterlevnad av principer för behandling av personuppgifter & Laglig grund för behandling GDPR - Principer för behandling Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet (personuppgifter) Lagringsminimering Integritet och konfidentialitet Den personuppgiftsansvarige ska ansvara för och kunna visa att detta efterlevs (ansvarsskyldighet) 4
Laglig grund för behandling Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt: Samtycke från registrerad Nödvändig för att fullgöra avtal Nödvändig för att fullgöra en rättslig förpliktelse Nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person Nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning Nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn Gäller inte behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter Internt Personuppgiftsansvariga och personuppgiftsbiträden Behandlar någon PU för er räkning? T.ex. samarbetspartner, underleverantör, systemleverantör m.m.? Behandlar ni PU för någon annans räkning? T.ex. på uppdrag av kunder, i anledning av samarbetsavtal m.m.? Krav på personuppgiftsbiträdesavtal! 5
Personuppgiftsbiträdesavtal Bindande skriftligt avtal mellan PuA och PuB som ska innehålla: föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, PuA:s skyldigheter och rättigheter (Art. 28.3) Uppgift om PuB har rätt att anlita ett annat personuppgiftsbiträde (underbiträde) (Art. 28.2) Register Art. 30.1 PuA ska föra register över den behandling som utförs under dennes ansvar. Ska innehålla Namn, kontaktuppgifter för PuA/gemensamt/DSO Ändamål med behandling Beskrivning av kategorier av R och kategorier uppgifter (!) Kategorier mottagare Tredjelandsöverföring Förutsedda raderingstidsfrister Allmän beskrivning av säkerhetsåtgärder (tekn. + org.) Register Art. 30.2 Även biträden! PuB ska föra register över den behandling som utförs för PuA:s räkning. Ska innehålla Namn, kontaktuppgifter för PuB/PuA/DSO Kategorier av behandling Tredjelandsöverföring Allmän beskrivning av säkerhetsåtgärder (tekn. + org.) 6
Säkerhetsåtgärder Tekniska Minimera uppgiftsbehandling Inbyggd dataskydd som standard (privacy-by-default) Pseudonymisering Brandvägg, antivirus, uppdaterad mjukvara, backup, kryptering, etc. Åtkomstlogg Tester Organisatoriska Minimera uppgiftsbehandling Behörighetsstyrning Utbildning/rutiner Säkerhetspolicy Kontroll, avstämning (även) Fysisk säkerhet Intern personuppgiftspolicy Internt styrdokument/instruktion till anställda (Organisatoriska (+tekniska) skyddsrutiner) Minimera uppgiftsbehandling Behörighetsstyrning per avdelning/arbetslag/arbetsuppgift Särskilda instruktioner per kategori personuppgifter och per behandling Utbildning vad förväntas anställda/konsulter veta? Rutiner avseende anställdas/konsulters hantering av uppgifter Rutin vid incident Instruktioner avseende tekniska skyddsåtgärder Instruktion avseende fysisk säkerhet Externt 7
Rättslig grund - på vilken grund samlas personuppgifterna in? Samtycke från registrerad Nödvändig för att fullgöra avtal Nödvändig för att fullgöra en rättslig förpliktelse Nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person Nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning Nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn Gäller inte behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter En personuppgiftsansvarigs berättigade intressen, inklusive intressena för en personuppgiftsansvarig till vilken personuppgifter får lämnas ut, eller för en tredje part, kan utgöra rättslig grund för behandling, på villkor att de registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre, med beaktande av de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige. Sådan behandling av personuppgifter som är absolut nödvändig för att förhindra bedrägerier utgör också ett berättigat intresse för berörd personuppgiftsansvarig. Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse (Skäl 47) Berättigat intresse? Informationskrav Långtgående informationskrav vid insamling av personuppgifter, varierar beroende på från vem uppgifterna fås Den registrerade ska när som helst kunna få information om behandlingen 8
Vad ska framgå av en extern personuppgiftspolicy? Nyckelord: Vem? Vad? Varför? Hur? Identitet, kontaktuppgifter, företrädare för PuA Ev. kontaktuppgift DSO Ändamål och rättslig grund för behandling Berättigade intressen (om intresseavvägning som grund) Mottagare av personuppgifter Överföring till annat land? Lagringsperiod alternativt kriterier för att fastställa sådan period Sammanfattning Gå igenom era olika leverantörer, samarbetspartners, kunder m.m. och red ut er roll (biträde/ansvarig?) Inventera och kartlägg er behandling Säkerhetsåtgärder? Upprätta/uppdatera rutiner Lämnar ni tydlig information om er behandling? Upprätta extern allmän PU-policy Dock ersätter inte anpassad PU-policy för varje enskilt fall Frågor? Daniel Tornberg Alexander Jute Partner / Advokat Partner / Advokat Kontaktinformation Kontaktinformation Telefon: + 46 70 618 88 28 Telefon: +46 70 755 42 51 daniel.tornberg@marlaw.se alexander.jute@marlaw.se Advokatfirman MarLaw AB Sveavägen 31 P.O. Box 3079 103 61 Stockholm Tel: +46 8 23 07 35 Fax: +46 8 796 75 33 9