Dataskyddsförordningen

Relevanta dokument
Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

GDPR- Seminarium 2017

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

EU:s dataskyddsförordning

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

GDPR. Dataskyddsförordningen

Dataskyddsförordningen

Riktlinjer för dataskydd

Information till personuppgiftsansvarig om dataskyddsombud

GDPR NYA DATASKYDDSFÖRORDNINGEN

EU:s dataskyddsförordning

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

EU:s allmänna dataskyddsförordning:

Ett eller flera dataskyddsombud?

Dataskyddsförordningen

Vården och reglerna om dataskydd

Skolan och Dataskyddsförordningen

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

GDPR Presentation Agenda

Dataskyddsförordningen

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Riktlinjer för personuppgiftshantering

Dataskyddsförordningen och kvalitetsregister

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen

GDPR ur verksamhetsperspektiv

Allmänna Råd. Datainspektionen informerar Nr 3/2017

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Dataskyddsförordningen GDPR

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Instruktion för att tillvarata enskildas rättigheter

Riktlinjer för att tillvarata enskildas rättigheter

Riktlinjer för hantering av personuppgifter

Välkomna Dataskyddsförordningen med fokus på den offentliga sektorn

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Personuppgiftsbehandling Dataskydd

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

INFORMATIONSSÄKERHET OCH DATASKYDD

Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen för prefekter och administrativa chefer

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Information om behandling av personuppgifter

Personuppgiftsinformation för Svedala kommun

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

För att tillvarata medlemmarnas enskildas rättigheter

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

GDPR definition och hur utbildningen berör(t)s av förordningen

Dataskyddsförordningen

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

PERSONUPPGIFTSBITRÄDESAVTAL

PUL OCH DATASKYDDSFÖRORDNINGEN

Dataskyddsombud för miljö- och hälsoskyddsnämnden

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

PuL och GDPR en översiktlig genomgång

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

GDPR- Vad är det? Frukostmöte hösten Advokatfirman VICI

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Svensk författningssamling

Dataskyddsförordningen

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Samarbetsavtal behandling av personuppgifter 1. Bakgrund och syfte 2. Samarbetsavtalets giltighetstid

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Policy för behandling av personuppgifter

Disposition. Stockholm den 31 maj 2017 Lisa Johansson, Salli Fanaei, Tove Fors och Mattias Sandström

Regler för behandling av personuppgifter vid Högskolan Dalarna

GDPR. General Data Protection Regulation. dataskyddsförordningen

INTEGRITETSLAGSTIFTNING

BESKRIVNING AV PERSONUPPGIFTSHANTERING

Dataskyddsombud för arbetsmarknadsnämnden - arbetsmarknadsförvaltningen

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Information om dataskyddsförordningen

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Dataskyddsförordningen, privat sektor Välkomna Dataskyddsförordningen med fokus på den privata sektorn. Datainspektionen 1.

Instruktion för åtgärdsplan vid personuppgiftsincidenter

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg

Transkript:

Stadsledningskontoret Juridiska avdelningen Sida 1 (6) 2017-04-25 kommer den 25 maj 2018 att ersätta personuppgiftslagen (PuL). Förordningen behöver kompletteras med nationella regler. För närvarande pågår ett omfattande statligt utredningsarbete och utredningarna kommer att presentera sina förslag med början i april 2017. Många av dataskyddsförordningens begrepp och principer återfinns i PuL, men förordningen innebär även förändringar som är viktiga att känna till. Några tydliga förändringar är ökade krav på hantering av personuppgifter, ökat ansvar för personuppgiftsansvariga. ökat ansvar för personuppgiftsbiträden, dataskyddsombud stärkt roll, den registrerades rättigheter förstärks, och strängare sanktioner. I artikel 4 i dataskyddsförordningen förklaras både nya och gamla begrepp. I denna promemoria ges en kort sammanfattning av de största förändringarna. För den som vill fördjupa sig finns hänvisningar i respektive avsnitt och i slutet av dokumentet. Personuppgiftsansvaret Stadsledningskontoret Juridiska avdelningen Hantverkargatan 3 A 111 52 Stockholm hans.altsjo@stockholm.se stockholm.se Personuppgiftsansvarig Definitionen av personuppgiftsansvarig är densamma som i PuL (artikel 4.7). Personuppgiftsansavig ansvarar för att principerna för behandling av personuppgifter efterlevs, dvs. laglighet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering, integritet och konfidentialitet (artikel 5). Personuppgiftsansvarig ska

Sida 2 (6) med beaktande av behandlingens art och omfattning mm. genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen (artikel 24). Ett sätt att visa detta är att tillämpa godkända uppförandekoder eller godkända certifieringsmekanismer. Personuppgiftsansvarig kan bli skadeståndsskyldig och det utreds om administrativa sanktionsavgifter ska införas. Den personuppgiftsansvarige ska föra ett register över samtliga personuppgiftsbehandlingar (artikel 30). Säkerhet och skydd för personuppgifter ställer tydliga krav på inbyggt dataskydd (privacy by design) och dataskydd som standard (privacy by default) (artikel 25). Konsekvensbedömning och förhandssamråd Personuppgiftsansvarig ska göra en konsekvensbedömning innan behandling utförs som sannolikt medför hög risk för fysiska personers rättigheter och friheter. Bedömningen ska avse den planerade behandlingens konsekvenser för skyddet av personuppgifter. Vid en konsekvensbedömning ska dataskyddsombudet rådfrågas. Visar konsekvensbedömningen att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken ska förhandssamråd ske med tillsynsmyndigheten. (Artikel 35-36). Anmälan av personuppgiftsincident till tillsynsmyndigheten och information till den registrerade om sådan incident Personuppgiftsansvarig ska utan onödigt dröjsmål och om möjligt senast 72 timmar efter att ha fått vetskap anmäla en personuppgiftsincident till tillsynsmyndigheten om det inte är osannolikt att incidenten medför risk för personers rättigheter och friheter. Personuppgiftsincidenter ska dokumenteras, inklusive dess effekter och vilka åtgärder som vidtagits, i syfte att möjliggöra kontroll att bestämmelsen har följts. Om det är sannolikt att personuppgiftsincidenten leder till hög risk för personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade. (Artikel 33-34).

Sida 3 (6) Övrigt Mer information om vad de nya och förändrade kraven för personuppgiftsansvar och personuppgiftsansvariga innebär finns på Datainspektionens hemsida, se t.ex. Förberedelser för personuppgiftsansvariga. Personuppgiftsbiträde Personuppgiftsansvarig får endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder så att dataskyddsförordningens krav uppfylls. Vidare innehåller förordningen utförliga krav på vad ett biträdesavtal ska innehålla. Personuppgiftsbiträdesavtalen måste därför ses över. Personuppgiftsbiträden har ett eget ansvar för att vidta erforderliga säkerhetsåtgärder. De ska anmäla dataskyddsincidenter till den personuppgiftsansvarige. Även personuppgiftsbiträden kan bli skadeståndsansvariga. (Artikel 28-29). Se vidare information på Datainspektionens hemsida, t.ex. Förberedelser för personuppgiftsbiträden. Dataskyddsombud När en myndighet behandlar personuppgifter ska personuppgiftsansvarig utse ett dataskyddsombud (jfr. nuvarande personuppgiftsombud). Dataskyddsombudet ska utses utifrån yrkesmässiga kvalifikationer och sakkunskap om lagstiftning och praxis samt förmåga att utföra ett dataskyddsombuds uppgifter. Ombudet får ingå i den personuppgiftsansvariges ordinarie personal eller utföra uppgifterna enligt särskilt tjänsteavtal. Ett dataskyddsombud får utses för flera myndigheter med hänsyn till organisationsstruktur och storlek. Personuppgiftsansvarig ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela tillsynsmyndigheten. Personuppgiftsansvarig ska säkerställa att dataskyddsombudet deltar i alla frågor som rör skyddet av personuppgifter, och tillhandahålla de resurser ombudet behöver för sina uppgifter och för upprätthållande av sin sakkunskap. Dataskyddsombudet ska informera och ge råd till personuppgiftsansvarig, personuppgiftsbiträdet och de anställda som behandlar personuppgifter om skyldigheter,

Sida 4 (6) övervaka efterlevnaden av dataskyddsförordningen och av den personuppgiftsansvariges strategi för dataskydd, inbegripet bland annat information, granskning och kontroller, ge råd till personuppgiftsansvarig om konsekvensbedömning enligt artikel 35, samarbeta med och vara kontaktpunkt för tillsynsmyndigheten, och vara kontaktperson mot registrerade. Dataskyddsombudet rapporterar direkt till den personppgiftsansvariges högsta förvaltningsnivå. Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner av personuppgiftsansvarig eller personuppgiftsbiträde för att ha utfört sina uppgifter. Dataskyddsombudet får fullgöra andra uppgifter, men personuppgiftsansvarig ansvarar för att det inte leder till intressekonflikt. (Artikel 37-39). Den registrerades rättigheter Information till den registrerade Enligt PuL ska viss information lämnas självmant till den registrerade när uppgifterna samlas in. Denna information ska även enligt dataskyddsförordningen lämnas till den registrerade. Därutöver ska även viss övrig information lämnas till den registrerade (artikel 12-13). Det är också tydligare reglerat hur informationen ska lämnas. När personuppgifter samlas in från någon annan källa än den registrerade själv ska enligt PuL den personuppgiftsansvarige självmant informera den registrerade när uppgifterna registreras. Motsvarande bestämmelser finns i dataskyddsförordningen (artikel 14) med vissa däri angivna tillägg avseende vilken information som ska lämnas. Rätten enligt PuL för den registrerade att efter ansökan få ta del av uppgifter som registreras om denne finns även i dataskyddsförordningen som innehåller en utökad rätt till information. Om sådan begäran görs elektronisk har den registrerade rätt att få ut informationen elektroniskt (artikel 15). Rättelse och radering Rätten att få uppgifter rättade motsvarar bestämmelserna i PuL. Den registrerade har enligt dataskyddsförordningen rätt att få personuppgifter raderade i vissa angivna situationer. I artikel 17 anges undantag från rätten till radering i de fall behandlingen är nödvändig av däri uppräknade skäl.

Sida 5 (6) Begränsning av behandling Den registrerade har rätt att i vissa fall kräva att behandlingen av personuppgifter begränsas då uppgifter, med undantag för lagring, endast får behandlas i vissa angivna fall (artikel 18). Rätten till dataportabilitet Denna rättighet finns inte reglerad i PuL. Enligt dataskyddsförordningen har den registrerade rätt att få ut de personuppgifter som rör hen och som hen har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig. Denna rätt ska inte gälla en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som led i myndighetsutövning. (Artikel 20). Missbruksregeln och intresseavvägning Den så kallade missbruksregeln (5 a PuL), är en svensk konstruktion som kommer att försvinna i och med införandet av dataskyddsförordningen. Missbruksregeln har inte varit tillämpbar på databaser eller register, utan har endast omfattat så kallat ostrukturerat material, såsom exempelvis personuppgifter som behandlas i löpande text på internet, i ordbehandlingssystem, korrespondens via e-post, ljud- och bildupptagningar eller i form av fotografier. Genom att hänvisa sin behandling av personuppgifter till missbruksregeln har man hittills undkommit tillämpningen av de flesta övriga regler i PuL, dock under förutsättning att behandlingen inte innebär en kränkning av den registrerades personliga integritet. Det är oklart hur missbruksregeln tillämpas inom staden idag. Det är därför osäkert vilken betydelse det kommer att få att missbruksregeln försvinner. Det kommer dock att ställas högre krav på att man innan behandlingen av personuppgifter undersöker och hittar stöd för behandlingen i förordningens bestämmelser. Det kommer därför behövas tydliga rutiner för till exempel publicering av personuppgifter på internet samt för att skicka personuppgifter i e-post. Det är alltså viktigt att i ett inledande skede se över personuppgiftshanteringen och särskilt undersöka om viss behandling stödjer sig på missbruksregeln och i sådant fall utreda om behandlingen är förenlig med dataskyddsförordningens bestämmelser. I detta sammanhang är det också viktigt att observera att den intresseavvägning som varit möjlig att grunda sin behandling på enligt 10 PuL inte längre kommer att vara möjlig att åberopa av myndigheter enligt de nya bestämmelserna. I dataskyddsförordningen (artikel 6) anges under vilka villkor behandling av personuppgifter är

Sida 6 (6) laglig. Fortfarande kan behandling vara tillåten då den rör ett berättigat intresse hos personuppgiftsansvarig som väger tyngre än den registrerades intresse av skydd. Denna grund gäller dock uttryckligen i de nya bestämmelserna inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Överföring av personuppgifter till tredje land I artikel 44-49 i dataskyddsförordningen finns bestämmelser om överföring av personuppgifter till tredjeländer eller internationella organisationer. Bestämmelserna blir tillämpliga bland annat vid publicering av personuppgifter på Internet. De kan också bli tilllämpliga vid användandet av molntjänster. Regleringen är i stort sett densamma som enligt PuL. Det principiella förbudet mot överföring av personuppgifter till tredje land behålls. Rättsmedel, ansvar och sanktioner Genom dataskyddsförordningen skärps sanktionerna och den registrerade ges ökade möjligheter att klaga hos tillsynsmyndigheten samt utökad rätt till ersättning, även i förhållande till personuppgiftsbiträden. Förordningen öppnar för kraftiga sanktionsavgifter, men det är ännu oklart om dessa kommer att gälla för myndigheter. (Artikel 77-84) Mer information För mer information se: http://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen https://skl.se/naringslivarbetedigitalisering/digitalisering/informationssakerhet/juridikochdataskydd/dataskyddsforordningen.9215.html

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss