Dataskyddsförordningen (GDPR)

Relevanta dokument
GDPR- Seminarium 2017

EU:s allmänna dataskyddsförordning:

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Vården och reglerna om dataskydd

Dataskyddsförordningen

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

EU:s dataskyddsförordning

PERSONUPPGIFTSBITRÄDESAVTAL

Riktlinjer för dataskydd

Dataskyddsförordningen

Dataskyddsförordningen

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

PERSONUPPGIFTSBITRÄDESAVTAL

GDPR. Dataskyddsförordningen

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

EU:s dataskyddsförordning

Personuppgiftsbiträdesavtal

Dataskyddsförordningen (GDPR)

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

DATASKYDD (GDPR) Del 2: Förvaltningsledning

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

EU:s nya dataskyddsförordning Lotta Wikman Öman

Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Integritetsskyddsinformation konsumentkund pellets

Dataskyddsförordningen GDPR - General Data Protection Regulation

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

GDPR NYA DATASKYDDSFÖRORDNINGEN

Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen

Dataskyddsförordningen

GDPR. Ulrika Harnesk 17 oktober 2018

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

Skolan och Dataskyddsförordningen

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

GDPR Presentation Agenda

Dataskyddsförordningen

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Riktlinjer för behandling av personuppgifter i Årjängs kommun

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

PERSONUPPGIFTSBITRÄDESAVTAL

Dataskyddsförordningen i utbildningsverksamhet

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Behandling av personuppgifter vid Göteborgs universitet

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Att hantera personuppgifter

Information om behandling av personuppgifter

Information om dataskyddsförordningen

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Allmänna råd. Datainspektionen informerar. Nr 2/2016

L 127. officiella tidning. Europeiska unionens. Lagstiftning. sextioförsta årgången 23 maj Svensk utgåva. Innehållsförteckning.

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

Dataskyddsförordningen för prefekter och administrativa chefer

Integritetsskyddsinformation företagskund

Integritetsskyddsinformation leverantör

Instruktion till mall för registerförteckning

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Riktlinjer för hantering av personuppgifter

INTEGRITETSPOLICY för Webcap i Sverige AB

Integritetspolicy SYFTE & BAKGRUND PERSONUPPGIFTER VI BEHANDLAR. Örebro BEHANDLING AV PERSONUPPGIFTER

Denna policy har upprättats för Alfred Nobel Science Park AB (fortsättningsvis kallat ANSP).

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Datainspektionen informerar. Vägledningen ska tjäna som verktyg för att bedöma integritetsriskerna med ny eller ändrad lagstiftning.

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Policy för behandling av personuppgifter

Integritetspolicy för Helsingborgs Stängsel AB

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Nya dataskyddsförordningen GDPR

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

PERSONUPPGIFTSBITRÄDESAVTAL

Strand Kapitalförvaltning AB:s integritetspolicy

Förändringar för hälso- och sjukvården genom EU: s dataskyddsförordningen (förordningen) GDPR

Personuppgiftsbiträdesavtal

Bilaga till Skanovas Allmänna Villkor PERSONUPPGIFTSBITRÄDESAVTAL

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Underbiträdesavtal. Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

PERSONUPPGIFTSBITRÄDESAVTAL

Korpens integritetsskyddspolicy

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Riktlinjer för hantering av personuppgifter

GDPR och hantering av personuppgifter

Policy för behandling av personuppgifter

Tillägg om Zervants behandling av personuppgifter

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Vad är en personuppgift och vad är en behandling av personuppgifter? Vilka personuppgifter samlar vi in om dig och varför?

Transkript:

KTH ROYAL INSTITUTE OF TECHNOLOGY Dataskyddsförordningen (GDPR) Robin Roy Arkivarie/ utredare, personuppgiftsombud (fr.o.m. 25 maj: dataskyddsombud) rroy@kth.se 08-790 87 52

Upplägg 1) Den enskildes rättigheter 2) Principer för behandling av personuppgifter 3) Personuppgifter 4) Anonymisering och pseudonymisering 5) Uppförandekoder och certifiering 6) Frågestund 2

Enskildes rättigheter (inkl. barn) Personuppgifterna ska behandlats lagligt, korrekt och öppet sätt beta var, vad och varför Rättelse och radering Dataportabilitet Begränsning av behandling Invändning mot behandling Motsätta sig automatiserad behandling Kapitel III (Artikel 12-23) 3

Principer för behandling av personuppgifter Enskildes rättigheter upprätthålls Både följa och att visa att vi följer GDPR (dokumentation, revisioner) Rättslig grund Hanteringen av uppgifterna proportionerliga och i förväg bestämda ändamål Anmälan av personuppgiftsincidenter För ett register över personuppgiftsbehandlingar Säkert sätt både system och organisation. Proaktivt arbete (konsekvensbedömningar, inbyggd dataskydd. (Artikel 6) 4

Personuppgifter Definition Varje upplysning som avser en identifierad eller identifierbar fysisk person särskilt med hänvisning till en identifierare en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet Identifiering beakta alla hjälpmedel som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Om den registrerade inte eller inte längre är identifierbar: GDPR gäller inte. (Artikel 4.1, skäl 26) 5

Exempel personuppgifter 6

Pseudonymisering behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person... Metoder (urval): Substitutionsmetod Scrambling Maskering (Artikel 4.9) 7

Rättsfall på KTH Kammarrättens dom: ansluter sig till KTH:s bedömning och avslår yrkandet Beslut UF-2012/0588 8

Anonymisering information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. (Skäl 26) 9

Exempel Personuppgift Pseudonymiserad Anonymiserad 10

Uppförandekoder och certifiering Tillsynsmyndighet/ kommissionen uppmuntra utarbetandet. Branschorganisationer/ föreningar har en bättre kunskap om specifika behandlingar. Datainspektionen: bl.a. periodisk översyn (certifiering), offentliggörande kriterier för en ackreditering Visa att man följer GDPR, men man måste ändå följa GDPR Effektiverar regelefterlevnad, öppnare (lättare för den enskilde att bedöma skyddsnivån) (Artikel 40-42, skäl 98-100) 11

Uppförandekoder 1. Visa personuppgiftsansvar 2. Ger tillräckliga garantier för dataskydd 3. Adekvat dataskydd 4. Konsekvensbedömning (riskoch sårbarhetsanalys) 5. Överföring till tredje land (personuppgiftsbiträdesavtal måste ingås) 6. Administrativa straffsanktioner bedömningsgrund Riksidrottsförbundets uppförandekod: http://www.rf.se/globalassets/riksidrottsforbundet/dok ument/personuppgifter-ochgdpr/uppforandekod_personuppgifter-ochgdpr.pdf?w=900&h=900 Certifiering dataskydd 1. Visa personuppgiftsansvar 2. Ger tillräckliga garantier för dataskydd 3. Adekvat dataskydd 4. Konsekvensbedömning (riskoch sårbarhetsanalys) 5. Överföring till tredje land (personuppgiftsbiträdesavtal måste ingås) 6. Administrativa straffsanktioner bedömningsgrund 7. Inbyggt dataskydd och dataskydd som standard Datatilsynet. Vejledning om adfaedskodekser og certificeringsordninger. Januar 2018. 12

Uppförandekod process Branschorganisation/förening tar fram (helst även dialog med de registrerande) utkast, förslag till ändring eller utökning Skickas till Datainspektionen. Datainspektionen bedömning om den uppfyller GDPR, yttra sig och ev. godkänna: Nationell nivå: Datainspektionen registrerar och offentliggöra uppförandekoden Gemensamt flera medlemsländer: Datainspektionen lämnar till Europeiska dataskyddsstyrelsen(alla EU:s tillsynsmyndigheter avseende GDPR), EU kommissionen godkänner. Styrelsen ska offentliggöra koderna på ett offentlig sätt. (Artikel 40) 13

Certifiering Certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd Innehåll och räckvidd trolig skillnad mellan GDPR och ISO (Datatilsynet). Utförs av certifieringsorgan. Datainspektionens remissvar: nationella bestämmelser som förtydligar och specificerar förfarandet kring ackreditering https://www.datainspektionen.se/documents/remissvar/2017-09-08- kompletterande%20dataskyddslag.pdf (Artikel 42-43) 14

Läget idag Enligt uppgift från Datainspektionen: Artikel 29-gruppen ska komma med vägledning för uppförandekoder/certifiering. Skulle ha blivit klar i februari 2018 (enlig uppgift från Datainspektionens hemsida) Artikel 29- gruppen skrivelse till ISO om att låta ISO 17065 (Bedömning av överensstämmelse - Krav på organ som certifierar produkter, processer och tjänster ) bli allmänt tillgänglig http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=625011 15

Frågor? 16

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss