EU:s nya dataskyddsreform (GDPR)

Relevanta dokument
Förvaltningslagen (2017:900) Förbundsjurist Staffan Wikell Sveriges Kommuner och Landsting

Svensk författningssamling

Förvaltningslagen. Ny från 1 juli 2018

FÖRVALTNINGS- OCH KOMMUNALRÄTT I FÖRÄNDRING

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen för prefekter och administrativa chefer

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen GDPR

Att hantera personuppgifter

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

GDPR- Seminarium 2017

Ny förvaltningslag vad innebär det? Carl Braunerhielm, verksjurist

GDPR. Ulrika Harnesk 17 oktober 2018

Nya förvaltningslagen. Sara Cronholm, Kommunjurist Helena Broberg, Förvaltningsjurist socialförvaltningen

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Personuppgiftsinformation för Svedala kommun

Ny förvaltningslag - den 30 maj Sven Boberg, stadsbyggnadskontoret Göteborg

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Dataskyddsförordningen

Behandling av personuppgifter vid Göteborgs universitet

Dataskyddsförordningen - GDPR

Förvaltningslagens regler om handläggning i skolan

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Lindesbergs kommuns arbete med dataskyddsförordningen

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Registrator Professor Olle Lundin Uppsala universitet

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen

Dataskyddsförordningen

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Nya dataskyddsförordningen GDPR

Dataskyddsförordningen

Instruktion till mall för registerförteckning

Registrator Professor Olle Lundin

Kerstin Wardman, 25 april 2018

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Dataskyddsförordningen GDPR - General Data Protection Regulation

Personuppgiftsbehandling i forskning

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

VÄLKOMNA. Genomgång av FÖRVALTNINGSLAGEN. och jämförelse med nya lagförslaget. Föreningen Sveriges Byggnadsinspektörer Malmö

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Den nya Dataskyddsförordningen

Dataskyddsförordningen i utbildningsverksamhet

Vården och reglerna om dataskydd

GDPR UTBILDNINGSDAG SKKF

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

GDPR. General Data Protection Regulation. dataskyddsförordningen

Nya Dataskyddsförordningen, GDPR. Advokat Josephine Borg

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

EU:s dataskyddsförordning

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Personuppgiftsbehandling för forskningsändamål

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

EU:s nya dataskyddsförordning Lotta Wikman Öman

Dataskyddsförordningen

GDPR och annat om personlig integritet som man bör tänka på

Introduktion till lagstiftningen som styr myndighetens verksamhet, organisation och ansvarsområden januari 2019

Juridiken kring förelägganden och förbud. Helena Emanuelson och Anneli Wejke

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Svensk författningssamling

PuL och GDPR en översiktlig genomgång

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Myndigheternas serviceskyldighet

Till dig som använder bildspelet för att presentera!

Mertzig Asset Management AB

Dataskyddsförordningen

Så behandlar vi dina personuppgifter

Instruktion för att tillvarata enskildas rättigheter

GDPR. Anders Ahlström

DATASKYDDSFÖRORDNINGEN. Webbinar den 26 april 2018

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Personuppgiftslagen (PuL) - En kort introduktion

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Information om behandling av personuppgifter

GDPR NYA DATASKYDDSFÖRORDNINGEN

För att tillvarata medlemmarnas enskildas rättigheter

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

GDPR- Vad har hänt och hur ser tillämpningen ut?

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Samtycke och dataskyddsförordningen (GDPR)

PUL OCH DATASKYDDSFÖRORDNINGEN

SKOLLAGEN (www. riksdagen.se - tillgänglig )

- att fullgöra ett avtal som den Registrerade är part i,- att fullgöra en rättslig förpliktelse som åvilar den Personuppgiftsansvarige,

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

Integritetspolicy Din integritet är av yttersta vikt för oss. I följande integritetspolicy förklaras på ett lättförståeligt sätt hur Cyklos AB, org.

Senior Associate på Jansson & Norin, a part of Fondia Juristexamen från London och Paris Varit verksam som jurist sedan 2009

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

GDPR General data protection regulation Dataskyddsförordningen

Välkomna till kurs i den nya dataskyddsförordningen

Ny Förvaltningslag och ny Kommunallag. Nämndsekreterarforum Professor Olle Lundin Uppsala universitet

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Dataskyddsförordningen

Transkript:

Sveriges Kommuner och Landsting Arbetsgivar- och intresseorganisation Medlemsorganisation för alla kommuner, landsting och regioner Politiskt styrd organisation med kansli i Stockholm Ca 440 personer på olika avdelningar EU:s nya dataskyddsreform (GDPR) Johan Nilsson Dataskyddförordningen Syfte Grundläggande begrepp De viktigaste förändringarna Syfte Skydda och stärka enskildas grundläggande rättigheter och friheter vid behandling av personuppgifter. Skapa enhetliga regler inom EU. Modernisera dataskyddsdirektivet från 1995. 1

Ersätter personuppgiftslagen (PuL) Gäller fullt ut från den 25 maj 2018 Gäller direkt som lag i Sverige (EU-rätten har företräde framför nationell rätt) Vad är en personuppgift? All slags information som direkt eller indirekt kan härledas till en fysisk person som är i livet Personnummer, kön, namn, adress, bild, kontouppgifter, IP-adress Känsliga personuppgifter Etniskt ursprung Politiska åsikter Religiös övertygelse Hälso-/genetisk data Sexualliv eller sexuell läggning Medlemskap i fackförening Genetisk och biometrisk data* Exempel Vilka av nedan uppgifter är en personuppgift? Maria Andersdotter 830309-3286 maria.andersdotter@gmail.com Sveavägen 10 Ett paket Lätta och tre kanelbullar 34 år kvinna 7 2

Vad är en behandling av personuppgift? Behandling omfattar varje åtgärd med personuppgifter oberoende av om de utförs automatiserat eller inte. Exempel: Insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring. Framtagning, läsning, användning, utlämning genom överföring eller spridning. Justering eller sammanförande. Begränsning, radering eller förstöring. När får personuppgifter samlas in? För särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med det ändamålet. Man måste ha en rättslig grund för att hantera personuppgifter. Ex. Avtal (anställningsavtal, kundavtal, leverantörsavtal) Samtycke (uttryckligt) Uppgift av allmänt intresse (myndigheten kan visa att allmänhetens intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till privatliv) Grundläggande aktörer Den registrerade Personuppgiftsansvarig/Dataskyddsombud Personuppgiftsbiträde (den som hanterar personuppgifterna) Tillsynsmyndighet (Datainspektionen) Syftet med GDPR är att stärka individens rätt till kontroll över hur dennes personuppgifter behandlas. Personuppgiftsansvarig måste därför säkerställa: Ändamål Laglig grund Transparens/insyn Uppfyllande av den registrerades rättigheter Att tekniska/organisatoriska skyddsåtgärder vidtas. 3

De viktigaste förändringarna Skärpta krav på informationsgivning och krav på samtycke Utökade skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden Den s.k. missbruksregeln försvinner Rätten att bli glömd och krav på dataportabilitet Bestämmelser om privacy by design 72-timmarsregeln Skärpta krav på informationsgivning och samtycke Den registrerade ska: - informeras om den rättsliga grunden för personuppgiftsbehandlingen och hur länge personuppgifterna kommer att lagras. - få information om att han eller hon har rätt att få felaktiga uppgifter rättade. Krav på uttryckligt* och aktivt samtycke. *Ordet uttryckligt används i PuL endast i relation till känsliga personuppgifter idag. Aktivt samtycke För ett giltigt samtycke krävs att det är en - frivillig, specifik, informerad och otvetydig viljeyttring, samt anges uttryckligen - Samtycket ska vara spårbart Utökade skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden - Personuppgiftsbehandlingen ska dokumenteras och den ansvarige ska kunna visa att behandlingen följer lagen - I praktiken ett krav på personuppgiftspolicy som klargör vilka personuppgifter som behandlas och på vilken rättslig grund. - Till skillnad från dagens regler kan även ett personuppgiftsbiträde bli skadeståndsskyldigt. 4

Missbruksregeln försvinner - Missbruksregeln har inneburit att ostrukturerat material t.ex. löpande text på internet eller e-post som kan härledas till en bestämd fysisk person inte ses som personuppgiftsbehandling. - Konsekvens: Samma regler gäller. Rutiner/policyer behöver inrättas för hur personuppgifter delas mellan kollegor, när mail ska raderas etc. Rätten att bli glömd Den registrerade har rätt att på begäran få sina personuppgifter raderade från samtliga system som behandlar personuppgifterna. Dataportabilitet Den registrerade har rätt att få ut sina personuppgifter i ett maskinläsbart format. Säkerhet - Alla IT-system där personuppgifter behandlas måste uppfylla kraven på s.k. privacy by design (inbyggd integritet). - Den personuppgiftsansvarige ska underrätta Datainspektionen om dataintrång inom 72 timmar. Skärpta sanktioner och tillsyn Datainspektionen fortsatt huvudansvarig för tillsynen. Kan tilldöma sanktioner, t.ex. skriftliga varningar, skadestånd och böter. Bötesbeloppen kan uppgå till 20 miljoner kronor eller 4 % av den globala omsättningen. Sanktionsavgifterna tillfaller staten. Fem års preskriptionstid. 5

Allmänt om bakgrunden En ny förvaltningslag Anna Marcusson En ny förvaltningslag SOU 2010:29 Prop. 2016/17:180 SFS 2017:900 I kraft 2018-07-01 Följdändringar prop. 2017/18:235 SKL:s Cirkulär 18:26 Viktiga undantag från tillämpning av förvaltningslagen Grunder för god förvaltning (gäller all förvaltningsverksamhet) Kommunala ärenden som överklagas genom laglighetsprövning (undantag från delar av lagen) (2 ) Ärenden hos vissa brottsbekämpande myndigheter (undantag i delar av lagen) (3 ) Speciallagstiftning tar över (4 ) Legalitet stöd i rättsordningen för åtgärd Objektivitet saklighet och opartiskhet 5 Proportionalitet Service Tillgänglighet 6-9 fanns även i ÄFL Samverkan nyheter/rf- 6

Proportionalitet (5 tredje stycket) Ingripande i ett enskilt intresse får endast ske om åtgärden kan antas leda till det avsedda resultatet. Åtgärden får inte vara mer långtgående än vad som krävs för att uppnå det avsedda resultatet och Får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot. Bestämmelser om långsam handläggning (11 12 och 49 ) (I) Om en myndighet bedömer att avgörandet i ett ärende som inletts av enskild part kommer att bli väsentligt försenat, ska myndigheten underrätta parten om detta. Anledningen till förseningen ska redovisas. Om ett ärende som inletts av enskild part inte har avgjorts i första instans senast inom sex månader, får parten skriftligen begära att myndigheten ska avgöra ärendet. Myndigheten ska inom fyra veckor från den dag då en sådan begäran kom in antingen avgöra ärendet eller besluta att avslå begäran. Bestämmelser om långsam handläggning (II) Ett beslut att avslå begäran om avgörande får överklagas till närmast högre instans. Om överinstansen bifaller överklagandet ska den besluta att förelägga den myndighet som har meddelat avslagsbeslutet att snarast eller inom den tid som överinstansen bestämmer avgöra ärendet. Överinstansens beslut får inte överklagas. Myndighetens prövning (första instans) får endast begäras av parten vid ett tillfälle under ärendets handläggning. Några andra nyheter (?) Tolkning och översättning (13 ) Oklart om det är en skärpning Ombud och biträde (14-15 ) Jäv (16 ) Jfr. kommunallagen 7

Allmänna regler om ärendens handläggning Hur ärenden inleds och åtgärder när handlingar ges in (19 20 ) Brister och bekräftelse (21 22 ) Utredningsansvaret (23 ) Muntliga uppgifter (24 ) Kommunikation (25 ) Remiss (26 ) Dokumentation (27 ) Hur inkomstdagen för handlingar bestäms (22 ) En handling har kommit in till en myndighet den dag som handlingen når myndigheten eller en behörig befattningshavare. Om en handling genom postförsändelse eller en avi om betald postförsändelse som innehåller handlingen når en befattningshavare en viss dag, ska handlingen anses ha kommit in närmast föregående arbetsdag, om det inte framstår som osannolikt att handlingen eller avin redan den föregående arbetsdagen skilts av för myndigheten på ett postkontor. En handling som finns i en myndighets postlåda när myndigheten tömmer den första gången en viss dag ska anses ha kommit in närmast föregående arbetsdag Kommunikation (25 ) I Ett ärende får inte avgöras utan att den som är sökande, klagande eller annan part har underrättats om en uppgift som har tillförts ärendet genom någon annan än honom eller henne själv och han Innan en myndighet fattar ett beslut i eller ett hon ärende har fått ska tillfälle den, att yttra om sig det över inte den, om ärendet avser myndighetsutövning mot någon enskild. Myndigheten får dock är uppenbart obehövligt, underrätta den som är avgöra part ärendet om allt utan material att så har skett om av betydelse för beslutet och ge parten tillfälle att inom en 1. Obehövligt bestämd tid yttra sig över materialet. Myndigheten får dock 2. avstå Svårare från att genomföra sådan beslutet 4. Avgörandet inte kan uppskjutas kommunikation, om 1. ärendet gäller anställning av någon och det inte är fråga om prövning i högre instans efter överklagande, 2. det kan befaras att det annars skulle bli avsevärt svårare att genomföra beslutet, eller 3. ett väsentligt allmänt eller enskilt intresse kräver att beslutet meddelas omedelbart. Kommunikation Myndigheten bestämmer hur underrättelse ska ske. Underrättelse får ske genom delgivning. Underrättelseskyldigheten gäller med de begränsningar som följer av 10 kap. 3 offentlighets- och sekretesslagen (2009:400). 8

Myndighets beslut Hur beslut fattas (28 ), befattningshavare ensam, flera gemensamt eller automatiserat. Omröstning (29 ) Reservation och avvikande mening (30 ) Dokumentation av beslut (31 ) Motivering av beslut (32 ) Underrättelse om innehållet i beslut och hur ett överklagande går till (33 och 34 ) När beslut får verkställas (35 ) När beslut får verkställas I (35 ) Ett beslut som får överklagas inom en viss tid får verkställas när överklagandetiden har gått ut, om beslutet inte har överklagats. Ett beslut får alltid verkställas omedelbart, om 1. beslutet gäller anställning av någon, 2. beslutet gäller endast tillfälligt, eller 3. kretsen av dem som har rätt att överklaga är så vid eller obestämd att det inte går att avgöra när överklagandetiden går ut. 22:28, 19:5 p 12 26:26 MB Möjlighet att förordna om omedelbart ianspråktagande verkställighet När beslut får verkställas II (35 ) Regler om att ändra beslut i nya FL En myndighet får även verkställa ett beslut omedelbart om ett väsentligt allmänt eller enskilt intresse kräver det. Myndigheten ska dock först noga överväga om det finns skäl att avvakta med att verkställa beslutet på grund av 1. att beslutet medför mycket ingripande verkningar för någon enskild, 2. att verkställigheten inte kan återgå om ett överklagande av beslutet leder till att det upphävs, eller 3. någon annan omständighet. 36 skrivfel 37 möjlighet att ändra beslut 38 skyldighet att ändra beslut 39 möjlighet att ändra överklagat beslut 9

Möjlighet att ändra beslut (37 ) Myndighet som är första instans kan ändra ett beslut om den anser att beslutet är felaktigt på grund av att det har tillkommit nya omständigheter eller av någon annan anledning (37 första stycket) Ändring av gynnande beslut får ändras till nackdel för den enskilde bara om: Det framgår av beslutet eller de föreskrifter som det har grundats på att beslutet under vissa förutsättningar får återkallas, Tvingande säkerhetsskäl kräver att beslutet ändras omedelbart, eller Felaktigheten beror på att parten har lämnat oriktiga eller vilseledande uppgifter. Skyldighet att ändra ett beslut (38 ) Myndighet som är första instans är skyldig att ändra ett beslut om Den anser att beslutet är uppenbart felaktigt i något väsentligt hänseende på grund av att det har tillkommit nya omständigheter eller av någon annan anledning, och Beslutet kan ändras snabbt och enkelt och utan att det blir till nackdel för någon enskild part. Möjlighet att ändra överklagat beslut (39 ) Endast myndigheter i första instans och i sådana fall som avses i 38 och bara om överklagandet och övriga handlingar i ärendet ännu inte överlämnats till överinstansen. Regler om överklagande Till vilken myndighet överklagas beslut (40 ) Vilka beslut får överklagas (41 ) Vem får överklaga ett beslut (42 ) Hur överklagar man ett beslut (43 ) Överklagandetiden (44 ) Beslutsmyndighetens åtgärder (45 46 ) Överinstansens åtgärder (47 48 ) 10

Beslutsmyndighetens åtgärder (45 ) Rättidsprövning Avvisning Tack för uppmärksamheten! Avd. för digitalisering Avdelningen för juridik johan.nilsson@skl.se anna.marcusson@skl.se 08-452 73 25 08-452 75 49 Skyndsamt överlämnande, inklusive det eventuellt ändrade beslutet Överklagandet ska anses omfatta det nya beslutet Kontaktcenter SKL info@skl.se 08-452 70 00 11