Sveriges Kommuner och Landsting Arbetsgivar- och intresseorganisation Medlemsorganisation för alla kommuner, landsting och regioner Politiskt styrd organisation med kansli i Stockholm Ca 440 personer på olika avdelningar EU:s nya dataskyddsreform (GDPR) Johan Nilsson Dataskyddförordningen Syfte Grundläggande begrepp De viktigaste förändringarna Syfte Skydda och stärka enskildas grundläggande rättigheter och friheter vid behandling av personuppgifter. Skapa enhetliga regler inom EU. Modernisera dataskyddsdirektivet från 1995. 1
Ersätter personuppgiftslagen (PuL) Gäller fullt ut från den 25 maj 2018 Gäller direkt som lag i Sverige (EU-rätten har företräde framför nationell rätt) Vad är en personuppgift? All slags information som direkt eller indirekt kan härledas till en fysisk person som är i livet Personnummer, kön, namn, adress, bild, kontouppgifter, IP-adress Känsliga personuppgifter Etniskt ursprung Politiska åsikter Religiös övertygelse Hälso-/genetisk data Sexualliv eller sexuell läggning Medlemskap i fackförening Genetisk och biometrisk data* Exempel Vilka av nedan uppgifter är en personuppgift? Maria Andersdotter 830309-3286 maria.andersdotter@gmail.com Sveavägen 10 Ett paket Lätta och tre kanelbullar 34 år kvinna 7 2
Vad är en behandling av personuppgift? Behandling omfattar varje åtgärd med personuppgifter oberoende av om de utförs automatiserat eller inte. Exempel: Insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring. Framtagning, läsning, användning, utlämning genom överföring eller spridning. Justering eller sammanförande. Begränsning, radering eller förstöring. När får personuppgifter samlas in? För särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med det ändamålet. Man måste ha en rättslig grund för att hantera personuppgifter. Ex. Avtal (anställningsavtal, kundavtal, leverantörsavtal) Samtycke (uttryckligt) Uppgift av allmänt intresse (myndigheten kan visa att allmänhetens intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till privatliv) Grundläggande aktörer Den registrerade Personuppgiftsansvarig/Dataskyddsombud Personuppgiftsbiträde (den som hanterar personuppgifterna) Tillsynsmyndighet (Datainspektionen) Syftet med GDPR är att stärka individens rätt till kontroll över hur dennes personuppgifter behandlas. Personuppgiftsansvarig måste därför säkerställa: Ändamål Laglig grund Transparens/insyn Uppfyllande av den registrerades rättigheter Att tekniska/organisatoriska skyddsåtgärder vidtas. 3
De viktigaste förändringarna Skärpta krav på informationsgivning och krav på samtycke Utökade skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden Den s.k. missbruksregeln försvinner Rätten att bli glömd och krav på dataportabilitet Bestämmelser om privacy by design 72-timmarsregeln Skärpta krav på informationsgivning och samtycke Den registrerade ska: - informeras om den rättsliga grunden för personuppgiftsbehandlingen och hur länge personuppgifterna kommer att lagras. - få information om att han eller hon har rätt att få felaktiga uppgifter rättade. Krav på uttryckligt* och aktivt samtycke. *Ordet uttryckligt används i PuL endast i relation till känsliga personuppgifter idag. Aktivt samtycke För ett giltigt samtycke krävs att det är en - frivillig, specifik, informerad och otvetydig viljeyttring, samt anges uttryckligen - Samtycket ska vara spårbart Utökade skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden - Personuppgiftsbehandlingen ska dokumenteras och den ansvarige ska kunna visa att behandlingen följer lagen - I praktiken ett krav på personuppgiftspolicy som klargör vilka personuppgifter som behandlas och på vilken rättslig grund. - Till skillnad från dagens regler kan även ett personuppgiftsbiträde bli skadeståndsskyldigt. 4
Missbruksregeln försvinner - Missbruksregeln har inneburit att ostrukturerat material t.ex. löpande text på internet eller e-post som kan härledas till en bestämd fysisk person inte ses som personuppgiftsbehandling. - Konsekvens: Samma regler gäller. Rutiner/policyer behöver inrättas för hur personuppgifter delas mellan kollegor, när mail ska raderas etc. Rätten att bli glömd Den registrerade har rätt att på begäran få sina personuppgifter raderade från samtliga system som behandlar personuppgifterna. Dataportabilitet Den registrerade har rätt att få ut sina personuppgifter i ett maskinläsbart format. Säkerhet - Alla IT-system där personuppgifter behandlas måste uppfylla kraven på s.k. privacy by design (inbyggd integritet). - Den personuppgiftsansvarige ska underrätta Datainspektionen om dataintrång inom 72 timmar. Skärpta sanktioner och tillsyn Datainspektionen fortsatt huvudansvarig för tillsynen. Kan tilldöma sanktioner, t.ex. skriftliga varningar, skadestånd och böter. Bötesbeloppen kan uppgå till 20 miljoner kronor eller 4 % av den globala omsättningen. Sanktionsavgifterna tillfaller staten. Fem års preskriptionstid. 5
Allmänt om bakgrunden En ny förvaltningslag Anna Marcusson En ny förvaltningslag SOU 2010:29 Prop. 2016/17:180 SFS 2017:900 I kraft 2018-07-01 Följdändringar prop. 2017/18:235 SKL:s Cirkulär 18:26 Viktiga undantag från tillämpning av förvaltningslagen Grunder för god förvaltning (gäller all förvaltningsverksamhet) Kommunala ärenden som överklagas genom laglighetsprövning (undantag från delar av lagen) (2 ) Ärenden hos vissa brottsbekämpande myndigheter (undantag i delar av lagen) (3 ) Speciallagstiftning tar över (4 ) Legalitet stöd i rättsordningen för åtgärd Objektivitet saklighet och opartiskhet 5 Proportionalitet Service Tillgänglighet 6-9 fanns även i ÄFL Samverkan nyheter/rf- 6
Proportionalitet (5 tredje stycket) Ingripande i ett enskilt intresse får endast ske om åtgärden kan antas leda till det avsedda resultatet. Åtgärden får inte vara mer långtgående än vad som krävs för att uppnå det avsedda resultatet och Får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot. Bestämmelser om långsam handläggning (11 12 och 49 ) (I) Om en myndighet bedömer att avgörandet i ett ärende som inletts av enskild part kommer att bli väsentligt försenat, ska myndigheten underrätta parten om detta. Anledningen till förseningen ska redovisas. Om ett ärende som inletts av enskild part inte har avgjorts i första instans senast inom sex månader, får parten skriftligen begära att myndigheten ska avgöra ärendet. Myndigheten ska inom fyra veckor från den dag då en sådan begäran kom in antingen avgöra ärendet eller besluta att avslå begäran. Bestämmelser om långsam handläggning (II) Ett beslut att avslå begäran om avgörande får överklagas till närmast högre instans. Om överinstansen bifaller överklagandet ska den besluta att förelägga den myndighet som har meddelat avslagsbeslutet att snarast eller inom den tid som överinstansen bestämmer avgöra ärendet. Överinstansens beslut får inte överklagas. Myndighetens prövning (första instans) får endast begäras av parten vid ett tillfälle under ärendets handläggning. Några andra nyheter (?) Tolkning och översättning (13 ) Oklart om det är en skärpning Ombud och biträde (14-15 ) Jäv (16 ) Jfr. kommunallagen 7
Allmänna regler om ärendens handläggning Hur ärenden inleds och åtgärder när handlingar ges in (19 20 ) Brister och bekräftelse (21 22 ) Utredningsansvaret (23 ) Muntliga uppgifter (24 ) Kommunikation (25 ) Remiss (26 ) Dokumentation (27 ) Hur inkomstdagen för handlingar bestäms (22 ) En handling har kommit in till en myndighet den dag som handlingen når myndigheten eller en behörig befattningshavare. Om en handling genom postförsändelse eller en avi om betald postförsändelse som innehåller handlingen når en befattningshavare en viss dag, ska handlingen anses ha kommit in närmast föregående arbetsdag, om det inte framstår som osannolikt att handlingen eller avin redan den föregående arbetsdagen skilts av för myndigheten på ett postkontor. En handling som finns i en myndighets postlåda när myndigheten tömmer den första gången en viss dag ska anses ha kommit in närmast föregående arbetsdag Kommunikation (25 ) I Ett ärende får inte avgöras utan att den som är sökande, klagande eller annan part har underrättats om en uppgift som har tillförts ärendet genom någon annan än honom eller henne själv och han Innan en myndighet fattar ett beslut i eller ett hon ärende har fått ska tillfälle den, att yttra om sig det över inte den, om ärendet avser myndighetsutövning mot någon enskild. Myndigheten får dock är uppenbart obehövligt, underrätta den som är avgöra part ärendet om allt utan material att så har skett om av betydelse för beslutet och ge parten tillfälle att inom en 1. Obehövligt bestämd tid yttra sig över materialet. Myndigheten får dock 2. avstå Svårare från att genomföra sådan beslutet 4. Avgörandet inte kan uppskjutas kommunikation, om 1. ärendet gäller anställning av någon och det inte är fråga om prövning i högre instans efter överklagande, 2. det kan befaras att det annars skulle bli avsevärt svårare att genomföra beslutet, eller 3. ett väsentligt allmänt eller enskilt intresse kräver att beslutet meddelas omedelbart. Kommunikation Myndigheten bestämmer hur underrättelse ska ske. Underrättelse får ske genom delgivning. Underrättelseskyldigheten gäller med de begränsningar som följer av 10 kap. 3 offentlighets- och sekretesslagen (2009:400). 8
Myndighets beslut Hur beslut fattas (28 ), befattningshavare ensam, flera gemensamt eller automatiserat. Omröstning (29 ) Reservation och avvikande mening (30 ) Dokumentation av beslut (31 ) Motivering av beslut (32 ) Underrättelse om innehållet i beslut och hur ett överklagande går till (33 och 34 ) När beslut får verkställas (35 ) När beslut får verkställas I (35 ) Ett beslut som får överklagas inom en viss tid får verkställas när överklagandetiden har gått ut, om beslutet inte har överklagats. Ett beslut får alltid verkställas omedelbart, om 1. beslutet gäller anställning av någon, 2. beslutet gäller endast tillfälligt, eller 3. kretsen av dem som har rätt att överklaga är så vid eller obestämd att det inte går att avgöra när överklagandetiden går ut. 22:28, 19:5 p 12 26:26 MB Möjlighet att förordna om omedelbart ianspråktagande verkställighet När beslut får verkställas II (35 ) Regler om att ändra beslut i nya FL En myndighet får även verkställa ett beslut omedelbart om ett väsentligt allmänt eller enskilt intresse kräver det. Myndigheten ska dock först noga överväga om det finns skäl att avvakta med att verkställa beslutet på grund av 1. att beslutet medför mycket ingripande verkningar för någon enskild, 2. att verkställigheten inte kan återgå om ett överklagande av beslutet leder till att det upphävs, eller 3. någon annan omständighet. 36 skrivfel 37 möjlighet att ändra beslut 38 skyldighet att ändra beslut 39 möjlighet att ändra överklagat beslut 9
Möjlighet att ändra beslut (37 ) Myndighet som är första instans kan ändra ett beslut om den anser att beslutet är felaktigt på grund av att det har tillkommit nya omständigheter eller av någon annan anledning (37 första stycket) Ändring av gynnande beslut får ändras till nackdel för den enskilde bara om: Det framgår av beslutet eller de föreskrifter som det har grundats på att beslutet under vissa förutsättningar får återkallas, Tvingande säkerhetsskäl kräver att beslutet ändras omedelbart, eller Felaktigheten beror på att parten har lämnat oriktiga eller vilseledande uppgifter. Skyldighet att ändra ett beslut (38 ) Myndighet som är första instans är skyldig att ändra ett beslut om Den anser att beslutet är uppenbart felaktigt i något väsentligt hänseende på grund av att det har tillkommit nya omständigheter eller av någon annan anledning, och Beslutet kan ändras snabbt och enkelt och utan att det blir till nackdel för någon enskild part. Möjlighet att ändra överklagat beslut (39 ) Endast myndigheter i första instans och i sådana fall som avses i 38 och bara om överklagandet och övriga handlingar i ärendet ännu inte överlämnats till överinstansen. Regler om överklagande Till vilken myndighet överklagas beslut (40 ) Vilka beslut får överklagas (41 ) Vem får överklaga ett beslut (42 ) Hur överklagar man ett beslut (43 ) Överklagandetiden (44 ) Beslutsmyndighetens åtgärder (45 46 ) Överinstansens åtgärder (47 48 ) 10
Beslutsmyndighetens åtgärder (45 ) Rättidsprövning Avvisning Tack för uppmärksamheten! Avd. för digitalisering Avdelningen för juridik johan.nilsson@skl.se anna.marcusson@skl.se 08-452 73 25 08-452 75 49 Skyndsamt överlämnande, inklusive det eventuellt ändrade beslutet Överklagandet ska anses omfatta det nya beslutet Kontaktcenter SKL info@skl.se 08-452 70 00 11