EU:s dataskyddsförordning. JD, VH Ida Sulin

Relevanta dokument
EU:s dataskyddsförordning. JD, VH Ida Sulin

Dataskyddsförordningen i utbildningsverksamhet

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

GDPR- Seminarium 2017

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

PERSONUPPGIFTSBITRÄDESAVTAL

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Riktlinjer för att tillvarata enskildas rättigheter

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

För att tillvarata medlemmarnas enskildas rättigheter

Dataskyddsförordningen GDPR

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

EU:s nya dataskyddsförordning Lotta Wikman Öman

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

Instruktion för att tillvarata enskildas rättigheter

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

GDPR - Riktlinjer för hantering av personuppgifter

Personuppgiftsbiträdesavtal

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Instruktion till mall för registerförteckning

GDPR NYA DATASKYDDSFÖRORDNINGEN

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Dataskyddsförordningen

GDPR definition och hur utbildningen berör(t)s av förordningen

Välkomna till kurs i den nya dataskyddsförordningen

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Dataskyddsförordningen

PuL och GDPR en översiktlig genomgång

Personuppgiftsbehandling Dataskydd

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Personuppgiftsinformation för Svedala kommun

Dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

GDPR. Dataskyddsförordningen

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Policy för behandling av personuppgifter

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

GDPR Presentation Agenda

Vården och reglerna om dataskydd

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Dataskyddsförordningen

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

GDPR. Anders Ahlström

Dataskyddsförordningen

Europeiska unionens L 119. officiella tidning ISSN Utdrag. Lagstiftning FÖRORDNINGAR

EU:s dataskyddsförordning

Behandling av personuppgifter vid Göteborgs universitet

B EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU)

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Dataskyddsförordningen för prefekter och administrativa chefer

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Information om behandling av personuppgifter

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Personuppgiftsbiträdesavtal

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Dataskyddsförordningen (GDPR)

Dataskydd och forskning i Europa och Sverige

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

JUHTA Delegationen för informationsförvaltningen inom den offentliga förvaltningen

PERSONUPPGIFTSBITRÄDESAVTAL

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

EU:s dataskyddsförordning

Koncernkontoret Enheten för juridik

Integritetspolicy för Judiska församlingen (JF) i Stockholm

PERSONUPPGIFTSBITRÄDESAVTAL

Integritetspolicy Upplev Norrköping

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Att hantera personuppgifter

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Personuppgiftsbiträdesavtal

Policy för personuppgiftsbehandling

Förändringar för hälso- och sjukvården genom EU: s dataskyddsförordningen (förordningen) GDPR

Underbiträdesavtal. Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.

Allmänna Dataskyddsförordningen

Lindesbergs kommuns arbete med dataskyddsförordningen

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

INTEGRITETSPOLICY för Webcap i Sverige AB

PUL OCH DATASKYDDSFÖRORDNINGEN

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Integritetspolicy leverantör

Transkript:

EU:s dataskyddsförordning JD, VH Ida Sulin 14.6.2017

Innehåll Vad handlar det om? Utgångspunkter Dataskyddsförordningen Detaljbestämmelser Nationell lagstiftning i riket 2

Vad handlar det om?

Digitalisering? Reformering av handlingssätt Digitalisering av interna processer Elektronifiering av tjänster Projekt» Handlingsprogrammet för nationella servicearkitekturen, KAPA» Programmet för påskyndande av elektronisk ärendehantering och demokrati, SADe» Programmet för öppen information 4

Varför nya regler Dataskyddsombudsmannen 5.4.2016: Vi behöver gedigna regler, som säkerställer att människornas rätt till skydd för sina personuppgifter som skyddas i EU:s grundrättsstadga upprätthålls också i en digital miljö. På samma gång är detta till gagn för utvecklandet av den digitala ekonomin. 5

Bakgrund Komissionens förslag 1/12» Allmän dataskyddsförordning (EU 679/2016)» Direktiv för behandling av personuppgifter vid utredning av brott (EU 680/2016) Förordning i kraft maj 2016, tillämpas från 25.5.2018» Ny lagstiftning: Förordning, dataskyddslag, ändrad speciallagstiftning» Direktivet implementeras före maj 2018 Officiellt dokument:» http://eur-lex.europa.eu/legalcontent/sv/txt/pdf/?uri=celex:32016r0679&qid=1475481924659&from=e N 6

Nationell aktivitet Lagberedning i arbetsgrupp under Justitieministeriet 1/16 9/18.» Ministeriet, Dataskyddsombudsmannen, Kommunförbundet, arbetsmarknadsparter, Finlands Näringsliv» Uppgifter: Allmän lag (betänkande 6/2017) Beslut om myndighetsorganisation Nationell flexibilitet, ramar för användning Koordinerar arbetet med speciallagstiftningen VAHTI (Ledningsgruppen för datasäkerheten inom statsförvaltningen): Projektgrupp 2/16 6/17» Rapport publicerad 2.6.2016» https://www.vahtiohje.fi/c/document_library/get_file?uuid=c97ee414-1fc0-4a91-969c- 2ef0657605d1&groupId=10128 Kommunförbundet, Hansel (staten enhet för samordnad upphandling) och KL Kuntahankinnat (kommunernas enhet för samordnad upphandling)» upphandlingsanvisning för upphandling av datasystem (översätts under sommaren 2017)» https://www.kuntaliitto.fi/asiantuntijapalvelut/laki/tietosuoja Kommunförbundets cirkulär och nyheter» https://www.kuntaliitto.fi/asiantuntijapalvelut/laki/tietosuoja» Cirkulär på två språk 7

Utgångspunkter

Definitioner En personuppgift» upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet» Till exempel Platsuppgift Bild IP-adress Användar-ID 9, lakimies

Definitioner Behandling av personuppgifter» en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring 10, lakimies

När får personuppgifter behandlas? (art 6) a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.» Till exempel kundernas eller kundens anställdas uppgifter» Behandling inom koncernen eller för marknadsföring i vissa fall 11, lakimies

Särskilda kategorier av personuppgifter, art 9 ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. 12, lakimies

Personuppgiftsregister en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden, 13, lakimies

Nya regler om dataskydd

Vad ändras? Vi får nya regler om hur personuppgifter skall behandlas I riket grundas en ny myndighet som övervakar hur företag, myndigheter, kommuner etc. behandlar personuppgifter De nya reglerna innehåller sanktioner, skadeståndsrätt osv. 15

Idé E-handeln en del av den interna marknaden Konsumentskydd i förhållande till egna uppgifter Utvecklingen av elektroniska verktyg och program Olika regler i olika länder 16

Tillvägagångssätt Förordning, utan implementering och med direkt effekt» Kommer att ersätta persupuppgiftsdirektivet från 1995 och lagstiftningen som getts på grund av den Personuppgiftslag (523/1999) Ålands personuppgiftslag Bred tillämpning, offentliga och privata sektorn» Inte privatliv» Tillämpning utanför EU:s kompetensområde 17

Paradigmskifte Compliance -> Ansvar att säkerställa» Från att följa regler till att på förhand planera och aktivt ta i beaktande, också datatekniskt Upphandlingar Dokumentering Kunskap Inbyggt dataskydd och dataskydd som standard» Dataskyddet sker inte manuellt och inte i efterhand» Dataskyddet integreras i programvaror, utformas individuellt efter behov och utgående från en riskbedömning» Bör alltså formas i planeringsskedet Uppgifternas livslängd, automatiserad pseudonymisering, tillträdesrätt etc.» Kräver kunskap och framåtblick Registeransvarig och registerbiträde skilda i lagstiftning med autonoma ansvar» Bestämning av avtalsinnhåll i förordningen» Ansvarsfördelning» JIT och JYSE motsvarar inte dessa krav idag 18

Klargör nuvarande Tillägg till nuvarande Helt nytt Översikt över innehåll Grundprinciper Definitioner Tillåten behandling Medgivande Rätt till insyn Rätt att bli glömd Riskbedömning DPO Rätten att behandla berättigade intressen Informationssky ldighet Roller ansvarig och biträde Överflytt till tredje land Profilering Inbyggt dataskydd och dataskydd som standard Ansvar att säkerställa Register över behandling Rätten till dataportabilitet Notifieringsskyldighet Förhandsavgöranden Påföljder: sanktioner och skadestånd Myndighetsorganisati on 19

Dataskyddsförordningens bestämmelser

Grundprinciper för behandling (art 5) a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet). b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning). 21

principer c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet). 22

principer e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet). Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet). 23

Registrerades rättigheter

Information och kommunikation samt klara och tydliga villkor, 12 art Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla information och kommunikation i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt. Information: registerbeskrivning, egna uppgifter, information om behandlingen av uppgifter, flytt, motsättelse av behandling, etc. 25

Den registrerades rätt till tillgång, 15 art Rätten till att granska egna uppgifter» Inklusive: ändamålen med behandlingen, de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer, om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.» Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling; Rätten att inge klagomål till en tillsynsmyndighet; Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer Art 15 (3): Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. För eventuella ytterligare kopior som den registrerade begär får den personuppgiftsansvarige ta ut en rimlig avgift på grundval av de administrativa kostnaderna. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.» Gratisprogram som är tillgängligt 26

Rätten att radera sina uppgifter, 17 art Egentligen inget nytt Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om de inte behövs för ändamålet med behandlingen. Art 17 (2)» Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter. 27

Rätt till begränsning av behandling, art 18 Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas» Exempelvis om oklart om behandlingen lagenlig, om personuppgifterna korrekta Art 18 (2):» Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat Teknisk karantän. 28

Digital portibilitet, art 20 Inte tillämpbart på myndighetsregister Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om» Enskilda uppgifter måste kunna plockas från registret i denna form» Överföring till andra register 29

Anmälan av en personuppgiftsincident 33; 34 art Anmälan av en personuppgiftsincident till tillsynsmyndigheten» Inom 72 timmar Förutom om incidenten inte medför risk för fysiska personers rättigheter och friheter Anmälningsskyldighet hos registeransvarig också för problem hos biträde Anmälans innehåll finns i förordningen Anmälan till registrerad Om incidenten innebär hög risk Anmälans innehåll i förordningen 30

Registeransvariges skyldigheter

Inbyggt dataskydd och dataskydd som standard Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder såsom pseudonymisering vilka är utformade för ett effektivt genomförande av dataskyddsprinciper såsom uppgiftsminimering och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades rättigheter skyddas. 32

Inbyggt dataskydd och dataskydd som standard Inbyggt dataskydd och dataskydd som standard i systemutveckling» Automatiserat tas enbart nödvändiga personuppgifter emot i systemet / registret» Uppgifter får inte insamlas, behandlas eller lagras utanför vad som är nödvändigt» Personuppgifter görs inte tillgängliga för ett obegränsat antal fysiska personer» Automatiserat garanteras de registrerades rättigheter» Automatiserad dataskydd» Dokumentation om alla steg 33

Inbyggt dataskydd och dataskydd som standard, exempel Organisatoriska åtgärder» Utbildning» Rekrytering, intern kunskap» Anvisningar» Rapportering och dokumentation Tekniska åtgärder» Automatiserade lösningar för minimering» Hur flyttas information?» Logguppgiftger» Användarinformation och begränsnings av användare» Testning och auditering 34

Säkerhet i samband med behandlingen, art 32 Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna Ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt» Ex. pseudonymisering, kryptering, konfidentialitet, integritet, motståndskraft hos system och tjänster, återställning av tillgänglighet och tilggång i rimlig tid, förfaranden för testning och utvärdering. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Dokumentation! 35

Avtalsfrågor och upphandling

Krav som påverkar avtal Vilka avtal påverkas? Alla avtal vars föremål antingen direkt eller indirekt avser personuppgifter. 37

Henkilötietojen käsittelyn ulkoistus Förordningen inverkar» Direkt på ansvarsfördelningen mellan registeransvarig och biträde» Självständiga krav på biträde» Art 28: Registernasvarig har ett ansvar för att använda ordentliga biträden» Registeransvarig helhetsansvarig Tillåtelse till underleverantörer (behandling) 38, lakimies

Avtalskrav Mellan registeransvarig och biträde måste det finnas ett avtal» Antingen särskilt avtal eller bilagor» Avtal; Bilaga 1 (Allmänna krav); Bilaga 2 (processkrav) Art 28.3: Avtalets innehåll reglerats» föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter Dessutom: rapportering, dokumentation osv. 39, lakimies

Ansvar (art 82) 1. Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. 2. Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ett personuppgiftsbiträde ska ansvara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar. 40, lakimies

Administrativa sanktioner, art 82 Bestämning om användning på myndigheter i regeringspropositionen Grad 1: administrativa sanktionsavgifter på upp till 10 000 000 EUR eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst: Grad 2: administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst:» De grundläggande principerna för behandling, inklusive villkoren för samtycke,» Registrerades rättigheter enligt artiklarna» Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationel orgaisation 41

Dataskyddsombud

Utnämning av dataskyddsombud, art 35 Den personuppgiftsansvarige och personuppgiftsbiträdet ska under alla omständigheter utnämna ett dataskyddsombud om behandlingen genomförs av en myndighet eller ett offentligt organ» Får vara gemensam för koncern» Får vara gemensam för flera myndigheter med hänsyn till organisationsstruktur 43

Dataskyddsombudets ställning, art 36 Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. Den personuppgiftsansvarige och personuppgiftsbiträdet ska stödja dataskyddsombudet genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap. Den personuppgiftsansvarige och personuppgiftsbiträdet ska säkerställa att uppgiftskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Han eller hon får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå. 44

Hur komma igång?

Vikten av datasekretess ökar Riskaspekten ökar och registeransvariges ansvar Datasekretessen och skyddet för privatliv måste beaktas systematiskt i utvecklingen av verksamhet, tjänster och produkter, samt programvaror och system» Upphandlingar och avtal» Organisering av verksamhet, ledning» Dokumentation, rapportering och skydd Nyttokalkyler riskkalkyler 46

Den registeransvariges to do lista 16-17 1. Vem är ansvarig för datasekretessen (DPO) 2. Analysera personuppgiftsmassan 3. Gör riskanalays, inkl. avtal och sanktioner 4. Gör anvisningar 5. Dataskyddet i skick 6. Utbildningsbehov 7. Övervaka nuvarande användning av personuppgifter 8. Var förutseende 9. Bygg förtroende 10.Följ med utvecklingen! 47

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss