GDPR. Dataskyddsförordningen

Relevanta dokument
GDPR- Seminarium 2017

Dataskyddsförordningen GDPR

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

EU:s dataskyddsförordning

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

GDPR NYA DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen

EU:s dataskyddsförordning

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Dataskyddsförordningen och kvalitetsregister

Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

GDPR Presentation Agenda

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen

PuL och GDPR en översiktlig genomgång

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Dataskyddsförordningen

GDPR - Riktlinjer för hantering av personuppgifter

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

EU:s nya dataskyddsförordning Lotta Wikman Öman

Dataskyddsförordningen

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Policy för behandling av personuppgifter

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

Idrottens Uppförandekod

Dataskyddsförordningen

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Vården och reglerna om dataskydd

Personuppgiftsbehandling Dataskydd

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Riktlinjer för att tillvarata enskildas rättigheter

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

GDPR General data protection regulation Dataskyddsförordningen

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Personuppgiftsinformation för Svedala kommun

Policy GDPR för Innovatum AB, Innovatum Science Center AB, Innovatum Portfolio AB samt Innovatum Progress AB

För att tillvarata medlemmarnas enskildas rättigheter

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Dataskyddsförordningen, GDPR

Dataskyddsförordningen

GDPR. General Data Protection Regulation. dataskyddsförordningen

Svensk författningssamling

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

PERSONUPPGIFTSBITRÄDESAVTAL

INTEGRITETSPOLICY för Webcap i Sverige AB

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

INFORMATIONSSÄKERHET OCH DATASKYDD

Lathund Dataskydd för krögare

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Policy för behandling av personuppgifter

Personuppgiftsbiträdesavtal

LANDAHL ADVOKATBYRÅS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Integritetspolicy, Agenta Investment Management

GDPR- Vad är det? Frukostmöte hösten Advokatfirman VICI

Riktlinjer för behandling av personuppgifter i Årjängs kommun

INTEGRITETSLAGSTIFTNING

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Riktlinjer för dataskydd

Behandling av personuppgifter vid Göteborgs universitet

Upprätthållandet av korrekta och uppdaterade uppgifter. Skicka relevant information och erbjudanden

Integritetspolicy Monitor ERP System AB

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Koncernkontoret Enheten för juridik

Säkerhetspolicy rev. 0.1

Dataskyddspolicy. Tillämplig lagstiftning. Dataförvaltare

Instruktion för att tillvarata enskildas rättigheter

INTEGRITETSPOLICY Behandling av personuppgifter

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

GDPR UTBILDNINGSDAG SKKF

Integritetspolicy Rinkaby Rör

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Integritetsbeskrivning

Axholmen:s Integritetspolicy

Status panik? GDPR-update! Disposition

Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Underbiträdesavtal. Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

Transkript:

GDPR Dataskyddsförordningen torsdagen den 29 mars 2018

Innehåll» Inledning» Integritetskontroll?» Centrala begrepp» Grundläggande krav» Laglig grund» Den registrerades rättigheter» Känsliga personuppgifter» Säkerhetsåtgärder» Nödvändiga dokument» Integritetskontroll!» Sanktioner och skadestånd» Kort om anpassningsprojekt 2

General data protection regulation - Dataskyddsförordningen» Träder i kraft den 25 maj 2018» Gäller som lag i Sverige» Ersätter Dataskyddsdirektivet och därmed Personuppgiftslagen (1998:204)» Syfte att skydda fysiska personer grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter» 99 artiklar och 173 beaktandesatser som tolkningsstöd 3

Integritetskontroll?» Är GDPR tillämplig?» Är behandlingen förenlig med de grundläggande principerna?» Finns laglig grund (för vanliga personuppgifter/särskilda kategorier)?» Iakttas den registrerades rättigheter?» Har den registrerade informerats?» Finns lämpliga säkerhetsåtgärder på plats?» Personuppgiftsbiträden?» Har instruktioner lämnats till personuppgiftsbiträdet?» Vid överföring till tredje land finns laglig grund för överföringen?» Anmälan, förteckning och/eller dataskyddsombud? 4

Centrala begrepp» Personuppgift 5

Centrala begrepp» Behandling 6

Centrala begrepp» Register

Centrala begrepp» Personuppgiftsansvarig 8

Centrala begrepp» Personuppgiftsbiträde 9

Centrala begrepp» Samtycke 10

Grundläggande krav» Laglighet, korrekthet och öppenhet» Ändamålsbegränsning» Uppgiftsminimering» Korrekthet» Lagringsminimering» Integritet och konfidentialitet» Ansvarsskyldighet ska genomsyra all personuppgiftsbehandling! 11

Laglig grund för behandling Utgångspunkt: personuppgifter får inte behandlas! Om inte» Samtycke» Fullgörande av avtal» Fullgörande av rättslig förpliktelse» Skydda enskilds grundläggande intressen» Utföra uppgift av allmänt intresse» Intresseavvägning 12

Laglig grund för behandling» Samtycke Stora krav på hur det är utformat Vad händer om det återkallas? Styrkeförhållandet - beroendet Måste vara välinformerat 13

Laglig grund för behandling» Fullgörande av avtal Ofta den lämpligaste grunden Den registrerade har störst förståelse för den anledningen En början och ett slut 14

Laglig grund för behandling» Fullgörande av rättslig förpliktelse, t ex bokföringslagen, kollektivavtal, penningtvättslagen, patientdatalagen, förelägganden från domstol och skattelagstiftning. 15

Laglig grund för behandling» Intresseavvägning/berättigat intresse Den personuppgiftsansvariges intresse ska väga tyngre än den registrerades rättigheter och friheter. Svår bedömning, ledning får sökas i Datainspektionens praxis. Några exempel: marknadsföring, publicering på intranät, säkerhet. Om den enskilde motsätter sig behandling väger det tungt till dennes fördel. 16

Registrerades rättigheter» Rätt till information, art 13-14» Rätt till registerutdrag, art 15» Rätt till rättelse, art 16» Rätt att bli bortglömd, art 17» Rätt till begränsning av behandling, art 18» Rätt till dataportabilitet, art 20» Rätt att göra invändningar, art 21 17

Känsliga uppgifter» Huvudregel: Förbjudet, men med en mängd undantag.» Ställer alltid högre krav.» Endast i undantagsfall och då endast med stöd av samtycke eller nödvändigt för att» Utöver de vanliga känsliga uppgift om brott, personnummer, integritetskänsliga uppgifter Vanliga uppgifter Personnummer Integritetskänsliga uppgifter Uppgifter om brott Skyddade uppgifter Känsliga uppgifter 18

Tekniska och organisatoriska säkerhetsåtgärder» Risk- och konsekvensbedömning» Riskbedömning bör alltid göras» Värdera risk/inverkan» Bestäm säkerhetsåtgärder Risk» Om hög risk formell konsekvensbedömning ska göras Inverkan 19

Tekniska och organisatoriska säkerhetsåtgärder Virusskydd Brandvägg Behörighet Säkerhetskopior Tekniska åtgärder Pseudonymisering Loggning Kryptering Uppföljning Skalskydd Organisation Organisatoriska åtgärder Policies Rutiner Utbildning 20

Nödvändiga dokument» Information till den registrerade Initial, vid insamlandet Mall för registerutdrag» Registerförteckning» Personuppgiftsbiträdesavtal inklusive instruktion» Policies/Styrdokument 21

Obligatorisk information till den registrerade» Vem som är personuppgiftsansvarig,» Varifrån uppgifterna hämtats,» Kontaktuppgifter till eventuellt dataskyddsombud,» Ändamål med och rättslig grund för behandlingen,» Vilka eventuella berättigade intressen baseras behandlingen på,» Eventuella mottagare av uppgifterna,» Rätt att begära tillgång, rättelse, begränsning och radering,» Rätt att återkalla samtycke,» Rätt att klaga hos tillsynsmyndigheten,» Huruvida lämnandet av uppgifterna är nödvändigt för lag eller avtal,» Förekomst av automatiserat beslutsfattande och profilering.» Hur länge uppgifterna kommer att sparas, 22

Registerförteckning» Varje personuppgiftsansvarig ska föra ett register över behandling som utförs under dess ansvar.» Förteckningen ska innehålla alla uppgifter om vad, var, varför, vart, hur länge, säkerhet m.m.» Sannolikt ett av de första sakerna Datainspektionen ber om. 23

Personuppgiftsbiträdesavtal ( DPA )» Ska alltid ingås mellan personuppgiftsansvarig och personuppgiftsbiträde» Lagkrav på innehåll kan ofta standardiseras» Instruktioner!» Löpande dialog 24

Personuppgiftsincident» En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.» Anmälan till Datainspektionen ska ske inom 72 h, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter.» Information till berörda registrerade vid hög risk för för fysiska personer rättigheter och friheter.» Personuppgiftsbiträdet ska utan onödigt dröjsmål informera personuppgiftsansvarige efter att ha fått vetskap om incidenten.» Alla incidenter ska dokumenteras. 25

Integritetskontroll» Är GDPR tillämplig?» Är behandlingen förenlig med de grundläggande principerna?» Finns laglig grund (för vanliga personuppgifter/särskilda kategorier)?» Iakttas den registrerades rättigheter?» Har den registrerade informerats?» Finns lämpliga säkerhetsåtgärder på plats?» Personuppgiftsbiträden?» Har instruktioner lämnats till personuppgiftsbiträdet?» Anmälan, förteckning och/eller dataskyddsombud? 26

Sanktioner» Upp till 20 miljoner euro eller 4 % av koncernens globala årsomsättning, beroende på: Svårigheten och omfattningen av överträdelsen: typ av personuppgifter Uppsåt eller oaktsamhet Vad har man vidtagit för åtgärder Tidigare överträdelser och påpekanden från tillsynsmyndigheten Samarbete med tillsynsmyndigheten Uppförandekoder och certifieringar Vinning för bolaget 27

Skadestånd och rätt att klaga» Den registrerade har rätt att klaga hos Datainspektionen» Den registrerade kan stämma den personuppgiftsansvarige vid domstol och begära skadestånd. 28

Ansvar och kontroll» Personuppgiftsansvarige ytterst ansvarigt» Personuppgiftsbiträde ansvarigt för sin behandling och sitt underbiträde» Gemensamt ansvar ofta svår gränsdragning» Skyldighet att visa att lagen följs» DPO Datainspektionens förlängda arm» Skyldighet att samarbeta med tillsynsmyndigheten (DI) 29

Kort om anpassningsprojekt» Vilka personuppgifter behandlar vi? Varför?» Inventering: identifiera ansvar ansvarig/biträde. Hur flödar personuppgifter?» Besluta om prioriteringar» Nödvändiga avtal» Nödvändig information» Dokumentation av behandling» Nödvändiga processer registerutdrag, incidenthantering» Metod och utbildning privacy by design och privacy by default» Dataskyddsombud?» Tredjeland?» Tekniska och organisatoriska säkerhetsåtgärder 30

Johan Sædén johan@saedenadvisory.se 0733-699 656

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss