Dataskyddsförordningen GDPR - General Data Protection Regulation

Relevanta dokument
Dataskyddsförordningen

Dataskyddsförordningen

GDPR- Seminarium 2017

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen

Dataskyddsförordningen (GDPR)

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Välkomna till kurs i den nya dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen GDPR

PuL och GDPR en översiktlig genomgång

EU:s dataskyddsförordning

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

GDPR. Dataskyddsförordningen

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

Dataskyddsförordningen

EU:s dataskyddsförordning

Dataskyddsförordningen

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

GDPR definition och hur utbildningen berör(t)s av förordningen

Vården och reglerna om dataskydd

Dataskyddsförordningen

GDPR. Ulrika Harnesk 17 oktober 2018

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Dataskyddsförordningen och kvalitetsregister

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

GDPR General data protection regulation Dataskyddsförordningen

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

EU:s nya dataskyddsförordning Lotta Wikman Öman

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Den nya dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen - GDPR

GDPR NYA DATASKYDDSFÖRORDNINGEN

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Dataskyddsförordningen för prefekter och administrativa chefer

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Dataskyddsförordningen i utbildningsverksamhet

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

GDPR Presentation Agenda

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

INTEGRITETSPOLICY för Webcap i Sverige AB

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Policy för behandling av personuppgifter

36. GDPR-sex månader kvar november 2017

Dataskyddsförordningen

INTEGRITETSLAGSTIFTNING

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Dataskydd och forskning i Europa och Sverige

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Skolan och Dataskyddsförordningen

GDPR UTBILDNINGSDAG SKKF

GDPR. General Data Protection Regulation. dataskyddsförordningen

Behandling av personuppgifter vid Göteborgs universitet

Personuppgiftsinformation för Svedala kommun

Kerstin Wardman, 25 april 2018

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

När en konsekvensbedömning ska genomföras

GDPR- Vad är det? Frukostmöte hösten Advokatfirman VICI

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Riktlinjer för dataskydd

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Koncernkontoret Enheten för juridik

GDPR och annat om personlig integritet som man bör tänka på

Välkomna Dataskyddsförordningen med fokus på den offentliga sektorn

GDPR- Vad har hänt och hur ser tillämpningen ut?

Information om behandling av personuppgifter

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

BlueStep Banks AB (publ) Integritetspolicy

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Vad är en personuppgift och vad är en behandling av personuppgifter? Vilka personuppgifter samlar vi in om dig och varför?

INFORMATIONSSÄKERHET OCH DATASKYDD

Dataskyddspolicy för Svensk Hypotekspension AB i enlighet med dataskyddsförordningen (EU (2016/679)

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Att hantera personuppgifter

Lathund Dataskydd för krögare

Nya dataskyddsförordningen GDPR

GDPR - Riktlinjer för hantering av personuppgifter

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Lindesbergs kommuns arbete med dataskyddsförordningen

PUL OCH DATASKYDDSFÖRORDNINGEN

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Transkript:

Dataskyddsförordningen GDPR - General Data Protection Regulation September 2017 Cecilia Frank

Bakgrund Dataskyddsdirektivet (95/46) 1995 Digital utveckling Olikheter i nationell implementering Harmonisering och modernisering Dataskyddsförordningen (2016/679) 25 maj 2018 2

Vad innebär GDPR? Ökat skydd för individer Ökade krav för företag Risk för höga sanktionsavgifter (upp till 4 % av årsomsättningen eller 20 000 000 EUR) Riskbaserat förhållningssätt Skärpta krav Nya krav Lokal lagstiftning är fortfarande relevant Nuvarande krav GDPR 3

Definitioner Art 4 Personuppgifter = varje upplysning som avser en identifierad eller identifierbar (direkt eller indirekt) fysisk person (t.ex. personnummer, telefonnummer, kontonummer) Personuppgiftsbehandling = alla åtgärder beträffande personuppgifter, t.ex. insamling, registrering, lagring, bearbetning, framtagning, användning, utlämning, överföring Registrerad = den identifierade eller identifierbara fysiska personen som behandlingen avser Personuppgiftsansvarig = den som bestämmer ändamålen och medlen för behandling av av personuppgifter (t.ex. en bank) Personuppgiftsbiträde = den som behandlar personuppgifter för den personuppgiftsansvariges räkning (t.ex. inkassobolag, tryckeri) 4

Tillämpningsområde Art 2-3 Materiellt: - Behandling av personuppgifter som företas på automatisk väg - Annan behandling än automatisk om uppgifterna ingår i eller kommer att ingå i ett register Detta innebär att: det svenska undantaget för ostrukturerade uppgifter försvinner (jfr 5a PUL) manuell ostrukturerad behandling ligger fortfarande utanför tillämpningsområdet Territoriellt: - Företag som är etablerade inom EU - Företag som är etablerade utanför EU, om de erbjuder varor och tjänster till registrerade inom EU eller övervakar beteenden inom EU 5

GDPR - innehåll Personuppgiftsansvarigs skyldigheter Laglig behandling Registrerades rättigheter 6

Laglig behandling Art 5-6 Personuppgiftsansvarigs skyldigheter Laglig behandling Grundläggande principer: Laglighet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Laglig grund (ej uttömmande): Registrerades rättigheter Samtycke Avtal Rättslig förpliktelse Berättigat intresse (intresseavvägning) 7

Laglig behandling (forts) Art 7-10 Mer strikta villkor för giltigt samtycke: Klart och tydligt särskiljas från andra frågor - begriplig och lättillgänglig form Frivilligt, specifikt, informerat och otvedydigt medgivande Lika lätt att återkalla som att ge ett samtycke Särskilda krav för samtycke gällande informationstjänster till barn Särskilt känsliga personuppgifter: Särskilda krav för särskilda kategorier av personuppgifter redan i nuvarande lagstiftning (etnicitet, politiska åsikter, religion, fackföreningstillhörighet, hälsa, sexuell läggning) Nytt är att även genetiska och biometriska uppgifter läggs till de särskilda kategorierna. Särskilda krav för uppgifter om fällande domar i brottmål och överträdelser krävs att behandlingen sker under kontroll av myndighet eller att det finns särskilt lagstöd. 8

Laglig behandling (forts) Art 44-49 Överföring till tredjeland (utanför EU/EES) kräver särskild laglig grund: Landet omfattas av beslut av EU-kommissionen avseende adekvat skyddsnivå (t.ex. Schweiz, Nya Zeeland och USA - om mottagaren är ansluten till Privacy Shield), eller Överföringen omfattas av specifika skyddsåtgärder, t.ex. bindande företagsbestämmelser eller standardavtalsklausuler Undantag för vissa särkilda situationer i art 49 9

Registrerades rättigheter Art 12-22 Personuppgiftsansvarigs skyldigheter Laglig behandling Full transparens klart och tydligt språk Detaljerade krav på information i samband med att uppgifter samlas in Rätt till tillgång Rätt till rättelse och radering ( right to be forgotten ) Rätt till begränsning av behandling Registrerades rättigheter Rätt till dataportabilitet Rätt att invända mot behandling Rätt till icke-automatiserade beslut 10

Registrerades rättigheter (forts) Möjlighet till nationella begränsningar av rättigheterna - art 23 Rätt till tillgång (jfr registerutdrag enl 26 PUL) art 15 Mer detaljerade krav på vad som ska ingå i utdraget Omfattar all behandling, dock inte uppgifter som inte får lämnas ut enl lag Informationen ska kunna lämnas elektroniskt Rätt till dataportabilitet art 20: Rätt att få uppgifterna i strukturerat, allmänt använt och maskinläsbart format Omfattar endast sådana uppgifter som den registrerade har tillhandahållit Omfattar endast automatiserad behandling som grundar sig på samtycke eller avtal. 11

Personuppgiftsansvarigs skyldigheter Ansvarsskyldighet - art 24, art 5 p. 2 Anmälningsskyldighet avseende rättelse, radering, begränsning - art 19 Personuppgiftsansvarigs skyldigheter Laglig behandling Inbyggt dataskydd och dataskydd som standard, t.ex. pseudonymisering - art 25 Biträdesavtal - art 28 Register över behandling - art 30 Samarbeta med tillsynsmyndighet - art 31 Registrerades rättigheter Säkerhet - art 32 Anmäla personuppgiftsincident - art 33-34 Konsekvensbedömning - art 35 Dataskyddsombud - art 37-39 12

Personuppgiftsansvarigs skyldigheter (forts) Säkerhet art 32: Lämpliga tekniska och organisatoriska säkerhetsåtgärder ska vidtas för att uppnå lämplig säkerhetsnivå Beakta risken utifrån typ av uppgifter och behandlingens art, omfattning etc. Beakta standarder, tillgänglig teknik och kostnader Kontroll över personuppgiftsbiträden art 24, 28: Säkerställa att biträden implementerar lämpliga tekniska och organisatoriska skyddsåtgärder (biträden har även självständigt ansvar) Bedömning innan avtalet ingås och löpande, kontroll på underleverantörer Särskilda krav vid överföring utanför EU/EES (tredjelandsöverföring) - art 44-49 13

Personuppgiftsansvarigs skyldigheter (forts) Personuppgiftsincident art 33-34: Ska anmälas till Datainspektionen inom 72 timmar, såvida inte osannolikt att det inneburit en risk för den registrerades rättigheter och friheter. Ska även anmälas till den registrerade utan onödigt dröjsmål, om det är sannolikt att incidenten leder till hög risk för den registrerades rättigheter och friheter. Konsekvensbedömning art 35 Ska göras om en ny typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Finns vägledning för vilka faktorer som ska beaktas. Dataskyddsombud art 37-39: Obligatoriskt för företag där kärnverksamheten består av a) behandling som kräver regelbunden och systematisk övervakning av registrerade i stor omfattning, eller b) behandling i stor omfattning av särskilt känsliga personuppgifter 14

Tillsynsmyndighetens befogenheter Art 58,83 Både personuppgiftsansvarig och personuppgiftsbiträde kan bli föremål för: Varning/reprimand Föreläggande Begränsning av behandling Förbud mot behandling Administrativa sanktionsavgifter Max 4 % av globala årsomsättningen eller 20 000 000 EUR (max 20 000 000 SEK för myndigheter) Nivån bestäms av omständigheterna i det enskilda fallet (karaktär, omfattning, varaktighet, antal berörda, faktisk skada etc) med beaktande av förmildrande och försvårande omständigheter såsom tidigare överträdelser, graden av samarbete med myndigheten, ekonomisk vinst/undvikande av förlust pga överträdelsen. 15

GDPR - vad behöver göras? Kartlägga och bedöma all personuppgiftsbehandling Säkerställa tillräcklig information till registrerade Säkerställa tillräckligt skydd för personuppgifter tekniska och organisatoriska åtgärder Säkerställa möjlighet att hantera begäran från registrerade, t.ex. begäran om tillgång (registerutdrag), portabilitet, rättelse, radering Dokumentera för att påvisa regelefterlevnad Kartlägga Informera Skydda Hantera Dokumentera 16

Publicerade vägledningar (EU) Guidelines on the right to data portability, WP 242 rev.01 Guidelines on Data Protection Officers ( DPOs ), WP 243 Guidelines for identifying a controller or processor s lead supervisory authority, WP 244 Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is likely to result in a high risk for the purposes of Regulation 2016/679, WP 248 Kommande vägledningar Samtycke oktober Profilering december Rapportering av personuppgiftsincident - december 17

Kompletterande reglering Sverige: SOU 2017:39 Ny dataskyddslag - ny lag och förordning med kompletterande bestämmelser till EU:s dataskyddsförordning Ds 2017:26 En anpassning till dataskyddsförordningen kreditupplysningslagen och några andra författningar SOU 2016:65 Ett samlat ansvar för tillsyn över den personliga integriteten EU: Direktiv (EU) 2016/680 personuppgiftsbehandling som utförs av brottsbekämpande verksamheter Ny e-privacy-förordning ny förordning om integritet och elektronisk kommunikation föreslås träda i kraft samtidigt som GDPR. Kommer att ersätta nuvarande e-privacydirektiv (2002/58) och innebära ändringar i lagen (2003:389) om elektronisk kommunikation. 18

Tack!

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss