Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

Relevanta dokument
Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Nya Dataskyddsförordningen. Agnes Hammarstrand

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

GDPR NYA DATASKYDDSFÖRORDNINGEN

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

EU:s dataskyddsförordning

Ny personuppgiftsförordning Försäkringsjuridiska Föreningen. Agnes A Hammarstrand / Advokat 3 mars 2016

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Dataskyddsförordningen

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Nya Dataskyddsförordningen. Agnes Hammarstrand

Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

GDPR Presentation Agenda

GDPR- Seminarium 2017

Välkomna till kurs i den nya dataskyddsförordningen

GDPR. Dataskyddsförordningen

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

PuL och GDPR en översiktlig genomgång

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Dataskyddsförordningen

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

GDPR General data protection regulation Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Dataskyddsförordningen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

GDPR viktiga nyheter jämfört med PuL

Dataskyddsförordningen ( GDPR ) Agnes Hammarstrand Advokatfirman Delphi 23 mars 2018

Dataskyddsförordningen ( GDPR ) Agnes Hammarstrand Advokatfirman Delphi

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

INFORMATIONSSÄKERHET OCH DATASKYDD

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Dataskyddsförordningen

EU:s dataskyddsförordning

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen GDPR

Översikt av GDPR och förberedelser inför 25/5-2018

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Riktlinjer för dataskydd

GDPR. General Data Protection Regulation. dataskyddsförordningen

GDPR och annat om personlig integritet som man bör tänka på

Dataskyddsförordningen

36. GDPR-sex månader kvar november 2017

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

GDPR de första månaderna. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Dataskyddsförordningen

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Status panik? GDPR-update! Disposition

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Kerstin Wardman, 25 april 2018

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Policy för behandling av personuppgifter

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Dataskyddsförordningen i utbildningsverksamhet

Regler för behandling av personuppgifter vid Högskolan Dalarna

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

BESKRIVNING AV PERSONUPPGIFTSHANTERING

Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Dataskyddsförordningen 2018

Riktlinjer för personuppgiftshantering

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Dataskyddsförordningen och kvalitetsregister

Acando Simplifying GDPR. ACANDO CAPABLE BUSINESS GDPR Från ord till handling

Dataskyddsförordningen 2018

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Information om dataskyddsförordningen

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Koncernkontoret Enheten för juridik

Lathund Dataskydd för krögare

Transkript:

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

Regler för personuppgifter Idag finns regler om hur personuppgifter får hanteras i PUL samt regler om hur marknadsföring får göras enligt marknadsföringslagen Ny dataskyddsförordning ersätter PuL i hela EES De nya reglerna gäller från och med 25 maj 2018 Företag som bryter mot lagen riskerar böter upp till det högre beloppet av 20 000 000 euro eller 4 % av koncernens globala omsättning

Förordningen i korthet Principerna bygger på nuvarande lag, men också ett stort antal nyheter Gäller alla personuppgifter allt som går att koppla till en individ, t.ex. namn, kunddata, köphistorik, adress, kontonummer, osv. Krav på när och hur personuppgifter får behandlas

Personuppgiftsansvarig Den som själv eller tillsammans med andra bestämmer ändamål och medel med behandlingen är personuppgiftsansvarig Ni ansvarar alltid självständigt för att lagen uppfylls vad gäller era Kundregister Anställningsregister och kandidatdatabaser Leverantörsregister Register över de som registrerat nyhetsbrev, kundklubb, osv. Eventuella andra registrerade Krav på avtal med den som behandlar uppgifter för er (personuppgiftsbiträdesavtal)

Ökat eget ansvar Ska kunna visa att lagen följs (accountability) Genomföra lämpliga organisatoriska och tekniska åtgärder för att följa lagen Krav på att ha olika rutiner, dokumentation och policys på plats Ordning och reda Krav att arbeta aktivt med lagen, utbildningar m.m.

Ökat eget ansvar Skyldighet för personuppgiftsansvariga (och biträden) att föra register över behandlingen I nya projekt som innebär behandling som sannolikt leder till hög risk för personers rättigheter och friheter Krav att göra konsekvensbedömning (Data Protection Impact Assessment) och dokumentera Förhandssamråd med myndigheten

Förbud mot överföring utanför EES (PuL) Lagstiftningen ska inte kunna kringgås genom att flytta ut data Behöver ha koll på var data behandlas Innebär viss tjänst eller support överföring till länder som inte är tillåtna? Molntjänster? Överföring till land utanför EES får bara ske om vissa krav är uppfyllda, t.ex. specialavtal ingånget eller land godkänt

När är behandling tillåten?

Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgifterna får bara behandlas med hänsyn till vissa särskilda, uttryckligt angivna och berättigade ändamål Inte senare behandlas på sätt som oförenligt med detta ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i relation till ändamålet Korrekthet Uppgifter ska vara korrekta, annars raderas Lagringsminimering Uppgifter får inte sparas länge tid än nödvändigt Integritet och konfidentialitet Krav på säkerhet, inkl. skydd mot obehörig förlust

När är behandling tillåten? För varje åtgärd, register, etc. som innebär behandling av personuppgifter behöver en juridisk bedömning göras Behandlingen behöver vara tillåten enligt samtycke nödvändigt för att ett avtal med den registrerade ska kunna fullgöras nödvändigt fullgöra rättslig förpliktelse skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person en arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning intresseavvägning

Laglighetsbedömning Vad är ändamålet med en viss behandling? Finns laglig grund enligt förordningen? Laglig skyldighet att utföra behandling Arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning Nödvändigt p.g.a. avtal med den registrerade Intresseavvägning Annars behövs samtycke! Är samtycke en rimlig och proportionell åtgärd eller ska vi låta bli att utföra behandlingen? Hur samlar vi in samtycket?

Andra krav

Utökade säkerhetskrav Företag ska vidta tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå Kan inbegripa t.ex. kryptering av personuppgifter fortlöpande kontroll av de system som behandlar uppgifterna och system för att testa effektiviteten hos åtgärder som ska säkerställa behandlingens säkerhet Att följa en uppförandekod kan användas för att visa att följer kraven Uttryckliga krav på att skydda personuppgifter från att förstöras och röjas

Privacy by design Säkerhets- och integritetsaspekter ska tas hänsyn till redan vid planering och utveckling av IT-system Anpassas beroende på vilka krav ni har, men även grundläggande principerna t.ex. inte spara uppgifter längre än nödvändigt Den som är personuppgiftsansvarig ska ställa kraven Åtgärder: Inför rutiner för att ställa krav vid ITupphandlingar samt utbilda eventuella arkitekter

Informationskrav vid personuppgiftsincident Informera om personuppgiftsincident utan oskäligt dröjsmål Informera tillsynsmyndigheten Som huvudregel: Inom 72 timmar efter vetskap om intrånget Informera varje registrerad individ Om sannolikt leder till hög risk för enskildas rättigheter Undantag, t.ex. om system finns för att bevisa att de förlorade uppgifterna gjorts oläsbara för utomstående, t.ex. kryptering Oproportionerlig ansträngning: istället informera allmänheten Ni behöver stärka era säkerhetsåtgärder och införa rutiner för att meddela registrerade individer!

Dataskyddsombud Får utses av alla Måste utses av alla offentliga organ och alla företag som har kärnverksamhet som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning behandling i stor omfattning består av känsliga uppgifter Speciell anställd eller konsult med ansvar för personuppgiftshantering Skapa medvetenhet, övervaka efterlevnad, m.m. Kriterier för utnämnande Yrkesmässiga kvalifikationer Expertkunnande om lagstiftning Förmågan att fullgöra sina uppgifter

Mer omfattande informationskrav Information ska lämnas självmant till alla registrerade Information på begäran (registerutdrag) inom en månad Mer omfattande information uppdatera information till registrerade (personuppgiftspolicy) Uppdatera information till anställda och andra registrerade samt rutiner och policys!

Rätten att bli bortglömd Minimera volymen av sparade personuppgifter Krav på att radera - om ingen legitim grund för fortsatt behandling finns Radera mina uppgifter NEJ Legitima grunder för att behålla uppgifterna? JA RADERA BEHÅLL

Konsekvenser och hur ska vi göra?

Konsekvenser av lagen Dataskydd blir en ledningsfråga Viktigare att följa lagen Integritetsfrågorna får mer uppmärksamhet och kräver resurser, organisation och budget Ökat fokus på förebyggande åtgärder och dokumentation System och databaser kan bli olagliga

Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policyer Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policyer för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder - rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv.

Hur kan vi förbereda oss? Skapa medvetande internt om de nya reglerna och den nya rollen informera och utbilda Ett projekt för att följa lagen behövs 1. Gör en nulägesanalys ( Gap analysis ) 2. Efterlevnadsprojekt

Tips för ett lyckat efterlevnadsprojekt Budgetera och avsätt resurser noga Ha en intern projektledare och ev. även en inhyrd Lägg mycket tid i början på att identifiera rätt personer som ska delta Lägg stor vikt vid planeringsstadiet Diskutera ambitionsnivå av compliance riskapproach

Nulägesanalys ( Gap analysis ) Identifiera behandlingar och system Laglig grund för behandlingen Identifiera tredjeparter Mappa vilka legala enheter i koncernen som är personuppgiftsansvariga och biträden Vilka juridiska dokument, rutiner och samtycken finns idag? Identifiera brister och områden att hantera inför att förordningen träder i kraft

Efterlevnadsprojekt Hur säkerställa ett effektivt efterlevnadssystem ( Data Protection Management System )? 1. Säkerställ att behandlingen är laglig 2. Sätt ansvar och organisation 3. Uppdatera juridiska dokument, avtal, samtycken och policyer 4. IT- och säkerhetsåtgärder 5. Organisatoriska åtgärder och rutiner accountability

Sätt ansvar och organisation Behöver vi ett dataskyddsombud? Vem är annars högst ansvarig? Olika kompetens informationssäkerhet, projektledning och juridik Vad är en lämplig organisering för er? Lands eller bolagsvis: Lokala kontaktpersoner Områdesvis: HR/Kunddata/Leverantörsdata/Marknad/Kundklubb Ansvar över olika system/behandlingar Rapportordningar och arbetsbeskrivningar Övervakning av efterlevnad (internt/externt)

Juridisk dokumentation/policyer (exempel) Personuppgiftsbiträdesavtal och ev. underbiträdesavtal Information till registrerade (personuppgiftspolicy) Samtyckestexter Interna policyer för behandlingen, lagrings- och gallringsrutiner Beroende på verksamhet/storlek: Mall och rutiner för konsekvensbedömning Dokumentation/avtal för överföring till tredje land Rutiner och dokumentation för incidenthantering Rutiner inför upphandling

IT- och säkerhetsåtgärder (exempel) Säkerhetskrav är de tillräckliga utifrån de krav som ställs i lag och med hänsyn till vilka uppgifter det rör sig om? Börja tillämpa inbyggd integritet (privacy by design) vid egen utveckling Tekniska rutiner för gallring, behörighetsstyrning, autentisering Tekniska rutiner för att undvika personuppgiftsincidenter

Organisatoriska åtgärder och rutiner Utbildningsrutiner (och rutiner för att övervaka att utbildning genomförts) Utelämnande av information Dokumentationsrutiner Samtycken checklistor Register över behandling Rutiner för anmälan av personuppgiftsincident Konsekvensbedömning vid ny behandling Rutiner vid upphandlingar Contract management Sekretessavtal Med mera..

Vilka är vi och vad gör vi?

Olika nivåer av stöd Utbildningar och workshops Efterlevnadsprojekt (de juridiska delarna) Bollplank i enstaka frågor Hjälp med juridiska texter, avtal och checklistor

Delphi om oss Delphi är en av Sveriges främsta affärsjuridiska byråer Modern och framtidsinriktad Specialister inom alla affärsjuridikens områden Stolt vinnare av Årets Advokatbyrå, Sveriges största klientstudie för advokatbyråer specialiserade på affärsjuridik Advokatbyråer 200+ mkr Stora klientpriset

Delphi IP/Tech - topprankade inom IT och dataskydd Topprankade av Chambers och Legal 500 inom IP och IT Stort fokus på personuppgifter och nya dataskyddsförordningen Stor arbetsgrupp på fem kontor som arbetar målinriktat med nya dataskyddsförordningen, maller, checklistor m.m. Specialister inom IT-juridik, online, digitala tjänster, Life Science och immaterialrätt

Caroline Sundberg / Senior Associate / Advokat Direkttelefon: +46 8 677 54 79 Mobiltelefon: +46 709 25 25 30 Caroline.Sundberg@delphi.se Advokatfirman Delphi / Mäster Samuelsgatan 17, 111 84 Stockholm Telefon: +46 8 677 54 00 / Fax: +46 8 20 18 84 / delphi.se 34

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss