GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Relevanta dokument
Vården och reglerna om dataskydd

Dataskyddsförordningen och kvalitetsregister

Koncernkontoret Enheten för juridik

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

PERSONUPPGIFTS- BITRÄDESAVTAL

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

EU:s dataskyddsförordning

Regler för behandling av personuppgifter vid Högskolan Dalarna

Information om dataskyddsförordningen

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Riktlinjer för dataskydd

Personuppgiftsinformation för Svedala kommun

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Dataskyddsförordningen (GDPR)

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Dataskyddsförordningen GDPR - General Data Protection Regulation

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Behandling av personuppgifter vid Göteborgs universitet

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Kerstin Wardman, 25 april 2018

GDPR. Dataskyddsförordningen

GDPR- Seminarium 2017

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

EU:s dataskyddsförordning

Södertörns brandförsvarsförbund

Dataskyddsförordningen GDPR

PUL OCH DATASKYDDSFÖRORDNINGEN

Personuppgiftsbiträdesavtal

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Dataskyddsförordningen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

GDPR. Ulrika Harnesk 17 oktober 2018

Dataskyddsförordningen för prefekter och administrativa chefer

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Dataskyddsförordningen

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Dataskyddsförordningen - GDPR

Dataskyddsförordningen

EU:s dataskyddsförordning, dataskyddslagen och myndigheters arkiv

GDPR. General Data Protection Regulation. dataskyddsförordningen

GDPR NYA DATASKYDDSFÖRORDNINGEN

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

INFORMATIONSSÄKERHET OCH DATASKYDD

Molntjänster och integritet vad gäller enligt PuL?

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

GDPR UTBILDNINGSDAG SKKF

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Personuppgiftsbehandling Dataskydd

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Dataskyddsförordningen

Instruktion för personuppgiftsbiträdesavtal

Nya dataskyddsförordningen GDPR

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

PERSONUPPGIFTER SOM BEHANDLAS

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Policy för personuppgiftsbehandling

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Välkomna till kurs i den nya dataskyddsförordningen

Personuppgiftsbiträde

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Datskyddsförordningen Gymnasieantagning

INTEGRITETSPOLICY för Webcap i Sverige AB

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

1. Vad är en personuppgift och vad är en behandling av personuppgifter?

Universitetet och Datainspektionen i Molnet

EU:s allmänna dataskyddsförordning:

De nya EU-reglernas krav på molnsäkerhet

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Idrottens Uppförandekod

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

Dataskyddsförordningen 2018

GDPR - Riktlinjer för hantering av personuppgifter

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

GDPR ur verksamhetsperspektiv

Dataskyddsförordningen 2018

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Vägledning om molntjänster i skolan

Dataskyddsförordningen

Riktlinjer för hantering av personuppgifter

Axholmen:s Integritetspolicy

GRABBARNA FLYTT SWEDEN AB PRIVACY POLICY

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Transkript:

GDPR och molnet Konferens SUNET Inkubator den 16 maj 2017

GDPR - Dataskyddsförordningen EU:s allmänna dataskyddsförordning ska börja tillämpas den 25 maj 2018. GDPR kommer att kompletteras av en nationell dataskyddslag och tillhörande förordning. (SOU 2017:39) Vissa myndigheter lyder dessutom under s.k. registerförfattningar. Dessa är fortfarande gällande och kan komma att justeras innehållsmässigt.

Varför integritetsskydd? Bland annat för att: De registrerade, dvs. du och jag och alla andra vars uppgifter behandlas, ska veta vem som behandlar våra uppgifter, var de behandlas och för vilka syften. Vi ska kunna få upprättelse om våra personuppgifter behandlas på ett otillåtet sätt. Vi ska i regel inte behöva utsättas för kartläggning och övervakning.

Vad vill vi uppnå? Ansvarsskyldighet den som ansvarar för en personuppgiftsbehandling följer regelverket och kan visa att så sker. Säkerhet - den som ansvarar för en personuppgiftsbehandling ser till att tillräckliga tekniska och organisatoriska säkerhetsåtgärder vidtas för att skydda uppgifterna som behandlas. Transparens den som ansvarar för en behandling, och den vars uppgifter behandlas, ska ha tillräcklig insyn i behandlingen för att kunna avgöra om den är tillåten eller inte.

ANSVARSSKYLDIGHET

Personuppgiftsansvarig Bestämmer ändamål och medel. Den som är personuppgiftsansvarig ska bl.a. se till att behandlingen av personuppgifter följer regelverket, att lämplig säkerhetsnivå skyddar uppgifterna som behandlas och att de registrerades rättigheter tillgodoses t.ex. information och rätt till registerutdrag, rättelse, radering, dataportabilitet etc. När en personuppgiftsansvarig t.ex. anlitar en molntjänstleverantör för att behandla personuppgifter måste den ansvarige se till att leverantören uppfyller ansvaret på samma sätt som den personuppgiftsansvarige skulle ha gjort.

Vilka uppgifter behandlas? Harmlösa Harmlösa men omfattande Integritetskänsliga t.ex. sekretessreglerade Känsliga t.ex. hälsa, politiska åsikter, medlemskap i fackförbund, religiös eller filosofisk övertygelse Ju känsligare uppgifter desto högre säkerhetskrav!

Hur får uppgifterna behandlas? Lagligt, korrekt, öppet Berättigade ändamål Uppgiftsminimering Lagringsminimering (OBS! undantag för arkiv, vetenskapliga eller historiska forskningsändamål eller statistik) Lämplig säkerhet Uppgifterna ska dessutom vara adekvata och relevanta korrekta och om nödvändigt uppdaterade

Lagligt stöd för behandling Vilket stöd finns för behandlingen? Samtycke (särskilt begränsat i förhållande till myndigheter) Avtal Allmänt intresse (kräver författningsstöd, kollektivavtal eller beslut som har meddelats med stöd av författning) Myndighetsutövning (kräver författningsstöd) m.fl.

Några förändringar med GDPR Den personuppgiftsansvarige måste kunna VISA att GDPR efterlevs. Ställer krav på transparens och ordning och reda i den egna verksamheten. (Jfr hur vi arbetar med informationssäkerhet). Den registrerades rättigheter stärks t.ex. rätten till information, radering, dataportabilitet m.m. Dock ej absoluta rättigheter. Privacy by design och privacy by default. Rapportering av personuppgiftsincidenter till Datainspektionen (information till registrerade i vissa fall). Sanktionsavgifter. Myndigheter måste ha ett dataskyddsombud.

ANSVARSSKYLDIGHET OCH TRANSPARENS

Personuppgiftsbiträde Ett personuppgiftsbiträde är en aktör t.ex. en molntjänstleverantör, som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige. Enligt GDPR kommer personuppgiftsbiträden få ett självständigt ansvar för t.ex. säkerhetsåtgärder.

Underleverantörer Om en leverantör (personuppgiftsbiträde) vill anlita underleverantörer måste detta föregås av ett skriftligt förhandstillstånd från den personuppgiftsansvarige. Har den personuppgiftsansvarige lämnat ett allmänt förhandstillstånd måste (huvud)leverantören informera om eventuella planer på att anlita ny underleverantör. Den personuppgiftsansvarige har rätt att göra invändningar. OBS! Underleverantörer är också personuppgiftsbiträden till den ansvarige. Samma krav gäller därför på avtal, villkor och regelefterlevnad.

Personuppgiftsbiträdesavtal Personuppgiftsbiträdesavtal måste ALLTID tecknas med en leverantör som behandlar personuppgifter. Utgå ifrån att molntjänstleverantörer kommer behandla personuppgifter. GDPR ställer högre krav på innehållet i biträdesavtal t.ex. ska det finnas instruktioner om hur biträdet får behandla personuppgifter överföring till tredje land är tillåtet lämpliga tekniska och organisatoriska säkerhetsåtgärder radering eller återlämning av uppgifter rapportering av personuppgiftsincidenter uppföljning/revision m.m.

Överföring till tredje land Om den personuppgiftsansvarige eller biträdet överför personuppgifter till tredje land, dvs. ett land utanför EU/EESområdet, krävs ett lagligt stöd eller annat rättsligt instrument t.ex. standardavtalsklausuler och/eller Privacy Shield (gäller enbart anslutna företag som är etablerade i USA). Molntjänstleverantörer använder/erbjuder ofta en mix av standardavtalsklausuler och Privacy Shield.

Vad innebär en global hantering av personuppgifter? Personuppgifter som överförs till ett annat land kommer att exponeras för rättsordningen i detta land. Det innebär t.ex. att det andra landets myndigheter har en potentiell möjlighet att få åtkomst till informationen ifråga. MEN, det är alltid tillåtet att överföra personuppgifter fritt inom EU/EES-området. För alla övriga länder måste man kontrollera att det antingen finns stöd i GDPR, standardavtalsklausuler, Privacy Shield eller annat.

HUR GÅR DET TILL I PRAKTIKEN?

Varför så komplicerat? Samma regelverk gäller vid anlitande av molntjänstleverantör som vid all annan typ av outsourcing. MEN När molntjänstleverantörer anlitas kan fler bestämmelser aktualiseras om uppgifterna behandlas utanför Sveriges gränser, och ett stort antal underleverantörer anlitas. Dessutom kan avtalstecknandet ta lång tid i anspråk och kräva särskild kompetens.

Tågordning för att anlita PuB Är den behandling av personuppgifter vi utför förenlig med det regelverk vi måste följa? (GDPR, registerförfattning, offentlighets- och sekretesslagen, arkivlagen etc.) Är den hantering som molntjänstleverantören utför förenlig med samma regelverk? Uppfyller villkoren i biträdesavtalet kraven i GDPR? Anlitar molntjänstleverantören underleverantörer? Överförs personuppgifter till tredje land? Riskanalys och rättslig analys Avtala!

Avtal Globala molntjänstleverantörer använder sig oftast av sina egna standardavtal. Personuppgiftsbiträdesavtal, standardavtalsklausuler m.m. ingår inte alltid automatiskt. Avtalsspråket är ofta engelska. Avtalspaketet kan vara omfattande och ibland är det svårt att få en överblick. Det kan vara svårt att avgöra vilken rättslig status ett avtalsdokument har t.ex. policy, white paper m.m. Vad gäller för länkar i elektroniska avtalsdokument? Om leverantören kräver att slutanvändarna (dvs. era medarbetare, studenter) ska acceptera användarvillkor måste ni fundera över vad det innebär.

Avtalsinnehållet Innehållet i avtalet ska stämmas av både mot regelverk och mot verksamhetens behov. Följande punkter kan vara av särskilt intresse. Hur behandlar leverantören uppgifterna (egna ändamål i regel ej tillåtet) Radering och/eller återlämnande av informationen (format, kostnader m.m.) Stäm av mot GDPR:s krav på biträdesavtal Ansvarsbegränsningar Force majeure Underleverantörer Rätt till uppföljning/revision

Standarder m.m. Det kan vara en kvalitetsstämpel att en leverantör är ansluten till olika standarder (t.ex. ISO), certifieringar eller uppförandekoder. Man bör dock ha en uppfattning om vad anslutningen innebär. Är det självcertifiering eller tredjepart som bedömer? Vad åtar sig leverantören att uppfylla och efterleva genom att ansluta sig till standarden, certifieringen eller uppförandekoden?

Vad är viktigast? Samarbeta tvärfunktionellt inköp, it, juridik, informationssäkerhet m.fl. Alla kompetenser är nödvändiga. Kravställ rätt! För att en leverantör ska kunna tillmötesgå era krav måste de veta vilka krav ni har. Tar er tid att gå igenom och förstå avtalen. Vad är reglerat, vad är inte reglerat? Hur tydliga är avtalsvillkoren? Uppfyller avtalsvillkoren det regelverk ni måste följa? Förhandla alltid om avtalsvillkoren! (Ja det går, även med de allra största leverantörerna)

Tips på vägen På Datainspektionens webbplats finns en sida om molntjänster och personuppgifter. Där hittar man vägledningar, information om Privacy Shield, länk till Pensionsmyndighetens rapport Molntjänster i staten och mycket mer. http://www.datainspektionen.se/lagar-ochregler/personuppgiftslagen/molntjanster/

Tack!

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss