Disposition. Big data? 2015-11-30. Legala utmaningar med Big Data Surveyföreningen



Relevanta dokument
HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Dataskyddsförordningen GDPR

Personuppgiftsbiträdesavtal

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Personuppgiftsbehandling i forskning

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Riktlinjer för hantering av personuppgifter

PERSONUPPGIFTSBITRÄDESAVTAL

GDPR NYA DATASKYDDSFÖRORDNINGEN

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Personuppgiftsbiträdesavtal

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

PuL och GDPR en översiktlig genomgång

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Personuppgiftsbiträdesavtal

Att hantera personuppgifter

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

Personuppgiftsansvar och ändamålsprövning enligt fastighetsregisterlagen

Status panik? GDPR-update! Disposition

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Personuppgiftsbehandling för forskningsändamål

PERSONUPPGIFTSBITRÄDESAVTAL

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Omfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter.

Regler för behandling av personuppgifter vid Högskolan Dalarna

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Personuppgiftspolicy. Dokument: Personuppgiftspolicy för Åda Ab Version: 1.0 Fastställd av Åda Ab:s styrelse Version datum:

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

BILAGA Personuppgiftsbiträdesavtal

GDPR. Dataskyddsförordningen 27 april Emil Lechner

INTEGRITETSPOLICY Tikkurila Sverige AB

INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA

Policy för behandling av personuppgifter

Personuppgiftsbiträdesavtal

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Integritetspolicy Våra Gårdar

Denna policy gäller för Fordonsmäklarna (kallad Fordonsmäklarna eller "vi") behandling av kunders personuppgifter.

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Personuppgiftsbiträdesavtal

Integritetspolicy. AriVislanda AB

Styrdokument RIKTLINJER FÖR KAMERAÖVERVAKNING. 1. Inledning 1.1 Ändamål 1.2 Säkerhet kontra personlig integritet

EU:s dataskyddsförordning

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

Södertörns brandförsvarsförbund

Dataskyddsförordningen

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg

Behandling av personuppgifter vid Göteborgs universitet

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

De nya EU-reglernas krav på molnsäkerhet

GDPR UTBILDNINGSDAG SKKF

Dataskyddsförordningen för prefekter och administrativa chefer

Personuppgiftspolicy för Hallmans Skomakeri & Skor AB. Vilken information samlar vi in?

Bilaga Personuppgiftsbiträdesavtal

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

Regeringskansliet Faktapromemoria 2016/17:FPM64. Dataskyddsförordning för EU:s institutioner. Dokumentbeteckning. Sammanfattning.

Svenska Röda Korsets riktlinjer för skydd av personuppgifter. Fastställda av generalsekreteraren

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftspolicy

Vården och reglerna om dataskydd

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Integritetspolicy Din integritet är av yttersta vikt för oss. I följande integritetspolicy förklaras på ett lättförståeligt sätt hur Cyklos AB, org.

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

AMF Fastigheters integritetspolicy

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Lantmännens integritetspolicy och information om cookies

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Svensk författningssamling

PuL och ny dataskyddsförordning. Nätverksträff Informationssäkerhet i fokus 4 maj 2015

Dataskyddspolicy. Parter och ansvar för behandlingen av dina personuppgifter. 1. Vilken information samlar vi in?

Med "Personuppgifter" avses varje upplysning som är hänförlig till en identifierbar eller identifierad fysisk person.

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

Kerstin Wardman, 25 april 2018

PERSONUPPGIFTSLAGEN (PUL)

FÖRBEREDELSER INFÖR GDPR

Denna policy skapades av och för organisationens behandling av personuppgifter.

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

Välkomna till kurs i den nya dataskyddsförordningen

Nya dataskyddsförordningen GDPR

Transkript:

Legala utmaningar med Big Data Surveyföreningen Advokat Daniel Tornberg daniel.tornberg@marlaw.se Advokat Alexander Jute alexander.jute@marlaw.se 2015-11-30 Advokatfirman MarLaw AB Sveavägen 31 P.O. Box 3079 SE-103 61 Stockholm, Sweden Phone +46 8 23 07 35 Fax +46 8 796 75 33 www.marlaw.se mail@marlaw.se Reg.No. 556358-3508 Disposition 1. Big Data? 2. Nedslag i centrala regelverk Dataskyddsdirektivet Personuppgiftslagen Riktlinjer 3. På gång: Dataskyddsförordning EDPS strategi 2015-2019 4. Att tänka på Big data? EU kommissionen (The EU Data protection Reform and Big Data): Med termen Big Data avses stora mängder data som produceras från olika typer av källor, maskiner eller sensorer. Dessa data kan vara klimatinformation, satellitbilder, digitala bilder och video, överförda poster eller GPS-signaler. Big Data kan innehålla personuppgifter - det vill säga varje upplysning som avser en individ, och kan vara allt från ett namn, ett foto, en e-postadress, bankuppgifter, inlägg på sociala nätverk webbplatser, medicinsk information, eller en dators IP-adress. 1

EUROPEISKA UNIONENS STADGA OM DE GRUNDLÄGGANDE RÄTTIGHETERNA (2010/C 83/02) Artikel 8 Skydd av personuppgifter 1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. 2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. 3. En oberoende myndighet ska kontrollera att dessa regler efterlevs Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter EG:s dataskyddsdirektiv (95/46) antogs 1995 I direktivet inrättas en lagstiftningsram som syftar till att uppnå balans mellan ett gott integritetsskydd och fri rörlighet för personuppgifter inom EU. I direktivet fastställs strikta begränsningar för insamling och användning av personuppgifter. Varje medlemsstat ska inrätta ett oberoende nationellt organ med ansvar för att övervaka all verksamhet som förknippas med behandling av personuppgifter. Direktiv 95/46 Artikel 7 Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast om a) den registrerade otvetydigt har lämnat sitt samtycke 2

Personuppgiftslag (1998:204) 1 Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Tillsynsmyndighet Datainspektionen Vad är en personuppgift? 3 Definition All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Behandling av personuppgift? 3 Definition Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte. t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. 3

När är personuppgiftsbehandling tillåten? Huvudregel: 10 Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke Samtycke till behandling? 3 Definition Varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Esomar Data Protection Checklist 5.2 Notice and consent Do you obtain consent from every participant whose personal data are to be collected? Under the OECD Privacy Principles any personal data should be obtained by lawful and fair means and, where appropriate, with the knowledge or consent of the research participant. Generally, national laws provide a number of lawful and fair grounds, but in most instances researchers will be obliged to rely on consent. There are instances in which the responsibility to obtain consent rests with others. Common examples include the use of third-party panels or the use of a client database. Under these and similar circumstances, the researcher must obtain assurances that consent was properly obtained. Consent must be: free (voluntary and able to be withdrawn at any time); specific (relating to one or more identified purposes); and informed (in full awareness of all relevant consequences of giving consent). 4

Överföring till tredje land T.ex. sociala medier, molntjänster, etc. 33 PuL: Det är förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Safe Harbour DOM EUD C-362/14 Kommissionsbeslut från 2000 om at USA har en adekvat skyddsnivå (Safe harbour-reglerna). Alltså tillåtet att föra över personuppgifter från EU till organisationer i USA som anslutit sig till reglerna (över 4000). Men EUD konstaterar att amerikanska myndigheter kunde erhålla åtkomst till personuppgifter som överförts från medlemsstaterna till USA och behandla dessa uppgifter på ett sätt som är oförenligt med, bland annat, syftena med deras överföring och som gick utöver vad som var strängt nödvändigt och proportionerligt för att skydda den nationella säkerheten. Sammanfattat: Inte en adekvat skyddsnivå och reglerna ogiltigförklarades. Special Eurobarometer 431 Myndigheter och privata företag som innehar information om dig kan Hur bland mycket annat, kontroll utan att känner informera du att dig, du använda har över den den i information ett annat syfte du än lämnar det den ut insamlades online, har för du (t.ex. t.ex. för möjlighet direktmarknadsföring, att korrigera, ändra riktad eller radera information? onlinereklam, profilering). Hur orolig är du över att din information används på detta sätt? 5

Dataskyddsförordningen Vilka är de stora förändringarna när det gäller behandling av personuppgifter? - fler och mer preciserade definitioner av olika begrepp såsom samtycke, genetiska uppgifter, biometriska uppgifter, med mera, - tydligare rättigheter för enskilda; rätten att begära att personuppgifter raderas, rätten att få åtkomst till sina personuppgifter för att föra över dem till en annan leverantör av elektroniska tjänster för kommunikation, med mera, - tydligare regler om ansvar hos de som behandlar personuppgifter, främst personuppgiftsansvariga men också personuppgiftsbiträden. Det finns krav på så kallade konsekvensanalyser (privacy impact assessments), inbyggda dataskyddsgarantier (inbyggd integritet/privacy by design) samt skyldighet att anmäla eventuella incidenter till tillsynsmyndigheten. - regler om förstärkt samarbete mellan de olika EU-medlemsstaternas dataskyddsmyndigheter och en så kallad one-stop-shop-mekanism. Denna mekanism ska underlätta för sådana personuppgiftsansvariga som är verksamma i flera medlemsstater (till exempel internationella företagskoncerner) genom att de endast ska behöva vara i kontakt med en av de olika nationella tillsynsmyndigheterna, nämligen den i det land där koncernen har sitt huvudsakliga verksamhetsställe. EDPS strategi 2015-2019 Big data = big accountability EDPS strategi 2015-2019 Big data som hanterar stora mängder personuppgifter innebär större ansvar gentemot de personer vars uppgifter man behandlar. För att man ska förstå hur och varför uppgifter behandlas ska följande information ges om: - Vem som är ansvarig för insamling och användning av information - Ändamålet med behandlingen - Vilket information som behandlas - Hur informationen behandlas (inklusive vilken logik som algoritmerna bygger sina antaganden och prognoser på) - Hur länge informationen ska lagras. 6

Att tänka på - Hårdare reglering - Följ lagstiftningsutvecklingen - Kontrollera datakällan - Ta fram egen policy - Bör innehålla en compliance rutin Frågor? Daniel Tornberg Partner/Advokat Kontaktinformation Telefon: + 46 70 618 88 28 daniel.tornberg@marlaw.se Alexander Jute Advokat Kontaktinformation Telefon: +46 70 755 42 51 alexander.jute@marlaw.se Advokatfirman MarLaw AB Sveavägen 31 P.O. Box 3079 103 61 Stockholm Tel: +46 8 23 07 35 Fax: +46 8 796 75 33 7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss