GDPR Presentation Agenda Start & välkommen Föreläsning - dataskyddsförordningen - principer - laglig behandling - den registrerades rättigheter - ansvarsskyldighet - GDPR Roadmap Föreläsning slut
Varför ny lagstiftning? Ökad digitalisering och ökat flöde av personuppgifter samt ökad internationalisering. Den allmänna dataskyddsförordningen ( GDPR ) ersätter PUL från den 25 maj 2018 I huvudsak samma regler i PUL och GDPR. GDPR gäller alla personuppgifter som innehas den 25 maj 2018. Samma regler i hela EU och de gäller framför svensk rätt.
Sanktioner och Risk Om ett företag misslyckas med att följa GDPR kan dataskyddsmyndigheter ålägga företaget att betala upp till det högsta av 4 % av koncernens årsomsättning eller 20 miljoner euro. Risk för renomméförlust. Om förstörelse, förlust, ändring, obehörigt röjande eller åtkomst ska anmälan till dataskyddsmyndigheten och den enskilde göras så snart som möjligt (senast inom 72 timmar). Registrerade har rätt att söka skadestånd för olaglig behandling.
Grundläggande definitioner Personuppgift: all information som direkt eller indirekt kan hänföras till en fysisk person som är i livet, t.ex. namn, personnummer, anställningsnummer, IP-adress, bankuppgifter, platsinformation, e-postadress, registreringsnummer på en bil etc. Behandling: alla åtgärder som vidtas i fråga om personuppgifter, såsom insamling, registrering, lagring, överföring etc. Ostrukturerat material undantas inte.
Utgångspunkt Företag äger inte personuppgifterna utan lånar dem endast av de enskilda
Konsekvenser Vi måste se över VARFÖR, HUR LÄNGE och PÅ VILKET SÄTT vi behandlar information samt vilken LAGLIG GRUND vi har för vår behandling. Sedan ska vi INFORMERA de registrerade och GÖRA DET VI HAR SAGT
Konsekvenser Vi måste se över VARFÖR, HUR LÄNGE och PÅ VILKET SÄTT vi behandlar information samt vilken LAGLIG GRUND vi har för vår behandling. Bara för uttryckligt angivna och berättigade ändamål. Informationen ska inte vara för omfattande i förhållande till ändamålen.
Konsekvenser Vi måste se över VARFÖR, HUR LÄNGE och PÅ VILKET SÄTT vi behandlar information samt vilken LAGLIG GRUND vi har för vår behandling. Inte längre tid än vad som är nödvändigt för att uppfylla ändamålen.
Konsekvenser Vi måste se över VARFÖR, HUR LÄNGE och PÅ VILKET SÄTT vi behandlar information samt vilken LAGLIG GRUND vi har för vår behandling. På ett säkert sätt (dvs konfidentiellt). Vi ska också se till att uppgifterna är korrekta och uppdaterade
Konsekvenser Vi måste se över VARFÖR, HUR LÄNGE och PÅ VILKET SÄTT vi behandlar information samt vilken LAGLIG GRUND vi har för vår behandling. Laglig grund för behandling - fullgöra avtal - intresseavvägning - fullgöra rättsliga förpliktelser - samtycke
Konsekvenser Sedan ska vi INFORMERA de registrerade och GÖRA DET VI HAR SAGT Vid insamlandet eller, om informationen kommer från annan än den registrerade, vid första kontakt inom rimlig tid (max en månad). Genom tillhandahållande av PUL-text.
Konsekvenser Sedan ska vi INFORMERA de registrerade och GÖRA DET VI HAR SAGT Bara använda informationen för de ändamål vi har angett, förvara den säkert, gallra osv.
Dataskyddsförordningen (GDPR) Kapitel I Kapitel II Kapitel III Kapitel IV Kapitel V Kapitel VI Kapitel VII Kapitel VIII Kapitel IX Kapitel X Kapitel XI Allmänna bestämmelser Principer Den registrerades rättigheter Personuppgiftsansvarig & Personuppgiftsbiträde Överföring av personuppgifter till tredjeländer eller internationella organisationer Oberoende tillsynsmyndigheter Samarbete och enhetlighet Rättsmedel, ansvar och sanktioner Bestämmelser om särskilda behandlingssituationer Delegerade akter och genomförandeakter Slutbestämmelser
Dataskyddsförordningen (GDPR) Kapitel I Kapitel II Kapitel III Kapitel IV Kapitel V Kapitel VI Kapitel VII Kapitel VIII Kapitel IX Kapitel X Kapitel XI Allmänna bestämmelser Principer Den registrerades rättigheter Personuppgiftsansvarig & Personuppgiftsbiträde Överföring av personuppgifter till tredjeländer eller internationella organisationer Oberoende tillsynsmyndigheter Samarbete och enhetlighet Kapitel VIII Rättsmedel, ansvar och sanktioner Bestämmelser om särskilda behandlingssituationer Delegerade akter och genomförandetakter Slutbestämmelser
Kapitel 2 Artikel 5.1 Principer Vid behandling av personuppgifter ska följande gälla: a) laglighet, korrekthet och öppenhet b) ändamålsbegränsning c) uppgiftsminimering d) korrekthet e) lagringsminimering f) integritet, konfidentialitet och tillgänglighet
Kapitel 2 Artikel 6.1 Laglig behandling av personuppgifter Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt: a) samtycke b) fullgöra ett avtal c) rättslig förpliktelse d) skydda den registrerades intressen e) allmänt samhällsintresse f) personuppgiftsansvariges berättigade intressen
Kapitel 3 Avsnitt 1-4 Den registrerades rättigheter Rätt att bli informerad Rätt till tillgång Rätt till rättelse Rätt till radering Rätt till begränsning av behandling Rätt till dataportabilitet Rätt att göra invändningar Rätt till individuellt beslutsfattande
Kapitel 2 Artikel 5.2 Ansvarsskyldighet Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 5.1 efterlevs (ansvarsskyldighet). Det betyder i praktiken att du måste: implementera lämpliga tekniska och organisatoriska åtgärder som säkerställer och påvisar efterlevnad av principerna för dataskydd. Detta inkluderar policys för internt dataskydd som personalutbildning, internrevisioner och översyn av HR policys. upprätta och underhålla dokumentation av dataskyddsåtgärder implementera åtgärder för inbyggt dataskydd och dataskydd som standard
Kapitel 2 Artikel 5.2 Ansvarsskyldighet Processer Människor Teknik Policys Processbeskrivningar Register Personuppgiftsbiträde Dataskyddsombud Personalutbildning Inbyggt dataskydd Dataskydd som standard Den registrerades rättigheter
Kapitel 3 Artikel 28 Personuppgiftsbiträde Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Den personuppgiftsansvarige skall se till att: biträdet uppfyller kraven i GDPR skriftligt avtal upprättas förse biträdet med dokumenterade instruktioner
Kapitel 4 Artikel 37 Dataskyddsombud Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll inkluderar att: informera och ge råd till den personuppgiftsansvarige övervaka efterlevnaden av GDPR fungera som kontaktpunkt för tillsynsmyndigheten
Dokumentation
Dokumentation 1.1 1.2 2.1 2.2 3.1 3.2 4.1 4.2
Kapitel 3 Artikel 30 Register över behandling Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar. Detta register ska innehålla samtliga följande uppgifter: a) Namn och kontaktuppgifter för den personuppgiftsansvarige b) Ändamålen med behandlingen c) Kategorier av personuppgifter och registrerade d) Kategorier av mottagare e) Överföringar av personuppgifter till ett tredjeland f) Livscykelhantering av personuppgifter g) Tekniska och organisatoriska säkerhetsåtgärder
Kapitel 4 Artikel 32 Säkerhet för personuppgifter Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet: a) pseudonymisering och kryptering b) säkerställa konfidentialitet, integritet, tillgänglighet c) förmågan att återställa tillgängligheten och tillgången till personuppgifter d) regelbundet testa, undersöka och utvärdera effektiviteten hos tekniska och organisatoriska åtgärder
GDPR-Roadmap Skapa GDPRprogram och Team Identifiera intressenter Tilldela resurser och budget Utse GDPRansvarig Skapa projektplan Analysera risk och skapa medvetenhet Inventera datakällor och dataflöden Genomför riskanalys och gapanalys Ta fram policyer och rutiner Informera och utbilda personal Utveckla och implementera åtgärder Implementera hantering av samtycke Implementera informationskrav Implementera hantering av rättigheter Upprätta biträdesavtal Hantera och förbättra åtgärder Genomför konsekvensanalyser Implementera livssykelhantering Implementera kontroller för dataskydd Skapa rutin för hantering av dataincidenter Påvisa efterlevnad Genomför internrevision Underhåll dokumentation och rapportering Övervaka och utvärdera efterlevnad Genomför ledningens översyn
Tack Mats Edvardsson Informationworker AB Kistagången 12 164 40 Kista 070-355 34 40 mats@informationworker.se www.iworker.se