GDPR antiklimax eller tickande bomb? Advokat Katarina Ladenfors

Relevanta dokument
Status panik? GDPR-update! Disposition

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen GDPR - General Data Protection Regulation

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskyddsförordningen

GDPR. Ulrika Harnesk 17 oktober 2018

Dataskyddsförordningen

Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen

PuL och GDPR en översiktlig genomgång

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

EU:s dataskyddsförordning

Dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

GDPR NYA DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen GDPR

Information om behandling av personuppgifter

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

GDPR ur verksamhetsperspektiv

Dataskyddsförordningen

GDPR- Seminarium 2017

WHITE PAPER. Dataskyddsförordningen

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

EU:s allmänna dataskyddsförordning:

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

EU:s nya dataskyddsförordning Lotta Wikman Öman

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

GDPR. General Data Protection Regulation. dataskyddsförordningen

GDPR och annat om personlig integritet som man bör tänka på

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Välkomna till kurs i den nya dataskyddsförordningen

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

GDPR de första månaderna. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

När systemen inte får stanna

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

EU:s dataskyddsförordning

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Nya dataskyddsförordningen GDPR

Dina rättigheter. Begära rättelse. Personuppgiftsansvarig är Novo Sweden Dental AB org.nr

GDPR General data protection regulation Dataskyddsförordningen

Senior Associate på Jansson & Norin, a part of Fondia Juristexamen från London och Paris Varit verksam som jurist sedan 2009

Den nya dataskyddsförordningen

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

GDPR. Dataskyddsförordningen

Information om dataskyddsförordningen

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Svenska Röda Korsets riktlinjer för skydd av personuppgifter. Fastställda av generalsekreteraren

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

GDPR Presentation Agenda

Dataskyddsförordningen och kvalitetsregister

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Vården och reglerna om dataskydd

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Hur påverkar GDPR din marknadsföring?

Behandling av personuppgifter vid Göteborgs universitet

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Dataskyddsförordningen i utbildningsverksamhet

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Dataskyddsförordningen

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

GDPR UTBILDNINGSDAG SKKF

GDPR- Vad är det? Frukostmöte hösten Advokatfirman VICI

GDPR efter 25e maj Vad händer nu? 28 november 2018

REV Informerar. GDPR-Dataskyddsförordningen. Riktlinjer för enskilda väghållare RIKSFÖRBUNDET ENSKILDA VÄGARS INFORMATIONSHÄFTE.

Lathund Dataskydd för krögare

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

GDPR. Dataskyddsförordningen 27 april Emil Lechner

GDPR. General Data Protection Regulation

Dataskyddsförordningen

Översikt av GDPR och förberedelser inför 25/5-2018

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Dataskyddsförordningen för prefekter och administrativa chefer

GDPR definition och hur utbildningen berör(t)s av förordningen

GDPR efter 25e maj Vad händer nu? 21 november 2018

Skolan och Dataskyddsförordningen

GDPR- Vad har hänt och hur ser tillämpningen ut?

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Dataskyddsförordningen

Integritetspolicy Torget Getupdated AB / Getupdated Sverige AB

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Dataskydd och forskning i Europa och Sverige

Transkript:

GDPR antiklimax eller tickande bomb? Advokat Katarina Ladenfors katarina.ladenfors@marlaw.se 1

Agenda Kort bakgrund GDPR Snabb återblick 25 maj 2018 Vad gör Datainspektionen? Tillsynsarbete (Sverige) Tillsyn utomlands (EU) Medskick hur arbeta fortsatt 2019 och framåt? 2

Bakgrund översyn av (framförallt) digitala rättigheter inom EU Digital Single Market Personuppgifter (GDPR) Profilering, re-targeting (e-integritetsförordningen) Upphovsrätt Geo-blocking (telecom, tv, internettjänster etc.) Konsumentskydd M.fl. 3

Vad handlar GDPR om? EU:s nya dataskyddsförordning General Data Protection Regulation, GDPR började tillämpas den 25:e maj 2018 Betydligt hårdare krav på hantering av personuppgifter Ställer krav på nya rutiner och processer för säker hantering av register samt krav på ansvarig ledningsnivå Intern dokumentation (för anställda och vid granskning) Extern dokumentation (för kunder, besökare på webbplatsen etc.) Nya dataskyddsförordningen gäller för alla organisationer, myndigheter och företag som sparar eller på något sätt hanterar personlig information om sina anställda eller sina kunder 4

Omfattning När tillämpas GDPR? Art. 4.1 Personuppgifter (PU): varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), Art 4.2 Behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering Registrerad (R): en identifierad eller identifierbar fysisk person som lever GDPR omfattar all behandling missbruksregeln har upphört! 5

Viktiga roller! Personuppgiftsansvar/personuppgiftsbiträde Art 4.7 Personuppgiftsansvarig (PuA)/ controller : den som bestämmer ändamålen och medlen för behandlingen av personuppgifter Genomföra lämpliga tekniska och organisatoriska åtgärder för att kunna visa att behandlingen utförs enligt GDPR säkerställ att information lämnas vid all insamling på webbplatsen säkerställ att samtliga avtal är uppdaterade utifrån GDPR (modellavtal mm) Art 4.8 Personuppgiftsbiträde/ processor : en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ansvar mellan PuA och PuB regleras genom avtal! 6

Grundläggande förutsättningar för tillåten personuppgiftsbehandling Efterlevnad av principer för behandling av personuppgifter Laglig grund för behandling 7

Deadline 25 maj 2018? 8

25 maj 2018 Vad hände egentligen? Personuppgiftslagen (PuL) GDPR * (direkt tillämplig, hela EU + ET) All personuppgiftsbehandling omfattad (även retroaktivt ) Artikel 29-gruppen EDPB * (Europeiska dataskyddsstyrelsen) Datainspektionen - ny hemsida inga omedelbara tillsynsärenden 9

Pådrivande faktorer? Risk (rädsla?) för sanktioner 20 000 000 EUR / 4% global årsomsättning Samtyckes-hysterin (opt-in för allt?) Flodvåg av uppdaterade villkor Personuppgiftbiträdesavtal 10

Pådrivande faktorer? Omedelbara anmälninger: None Of Your Business (noyb.eu) Google (Android) [Frankrike] (!) Instagram [Belgien] Whatsapp [Tyskland] Facebook [Österrike] Forced Consent ( take it or leave it approach) Gavs in 25 maj 11

European Data Protection Board Europeiska dataskyddsstyrelsen Tillsyn på EU-nivå Övervakande / samordnande Uppdrag: Tillse enhetlig tillämpning av GDPR i medlemsstaterna Hittills Yttrat sig över MS arbete, t.ex. DPIA Har antagit en rad WP29-riktlinjer Uttalanden (Brexit, eprivacy, Privacy shield, etc.) 12

13

Om Datainspektionen Förhöjt anslag - 85 miljoner kr. Namnbyte - Dataskyddsmyndigheten Ny hemsida - E-tjänster? Kameraövervakningslagen 14

Datainspektionens första granskning Bakgrund Inleddes den 7 juni 2018 Beräknades vara klar i slutet på augusti Avslutades 22 oktober 412 verksamheter granskades 66 tillsynsärenden inleddes 15

Datainspektionens första granskning Vad granskades? - Huruvida de aktörer som är skyldiga att utse dataskyddsombud gjort det. Art. 37 GDPR: - Myndigheter eller offentliga organ - Om kärnverksamheten består av behandling som på grund av sin karaktär, omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. - Om kärnverksamheten består av behandling i stor omfattning av särskilda kategorier av uppgifter enligt art. 9 och 10. 16

Datainspektionens första granskning Resultat 7 tillsynsärenden avslutades utan åtgärd 57 tillsynsärenden avslutades med att tillsynsobjektet tilldelades en reprimand 2 tillsynsärenden avslutades med att tillsynsobjekten tilldelades föreläggande Med beaktande av att inspektionens granskning gjordes kort tid efter att förordningen började tillämpas stannar Datainspektionen vid att ge en reprimand. 17

Pågående arbete Tillsyn mot Google - Anmälda av Sveriges Konsumenter - Insamling och behandling av platsdata i strid mot GDPR? Har för avsikt att granska 1177 Vårdguiden EU-riktlinjer - Datainspektionen leder arbetet med nya EU-riktlinjer - Tolkningen av begreppet personuppgiftsansvarig och personuppgiftsbiträde 18

Pågående arbete Riktlinjer för konsekvensbedömning - Innehåller kriterier för när en konsekvensbedömning genomföras Exempel: 1. Då arbetsgivare systematiskt övervakar hur de anställda använder internet och e-post 2. Företag som använder kunders lokaliseringsuppgifter, ex. via en mobilapp i syfte att rikta marknadsföring till kunden 3. Ett företag inhämtar uppgifter från sociala medier för att profilera fysiska personer och därefter rikta marknadsföring till vissa utvalda grupper. 19

Pågående arbete 20

Anmälningar om otillåten behandling Enskildas rättigheter avser b.la. - Art 13-14: Rätt till information - Art 15: Rätt till tillgång - Art 16: Rätt till rättelse - Art 17: Rätt till radering - Art 18: Rätt till begränsning av behandling Vad har anmälts? - Datainspektionen har mottagit över 1585 klagomål. - Många av vilka rör rätten till radering 21

Framtida granskningar Samtycke som rättslig grund - Datainspektionen anser att samtycken ibland samlas in trots att behandlingen kan motiveras på annan grund Gränsdragning mellan personuppgiftsansvarig och personuppgiftsbiträden - Gränsdragningsproblem med grund i dagens IT-lösningar Fortsatt granskning av dataskyddsombud - Vilken information ska ges till de registrerade avseende vem som är dataskyddsombud? 22

Tillsyn i Europa 23

Tillsynsärenden Europa (9 månader efter 25 maj) 24

Har någon åkt dit? Comissão Nacional de Protecção de Dados (Portugal) Barreiro Montijo (sjukhus) 400,000 flera överträdelser; - Bristfällig behörighetsstyrning - Säkerhetsåtgärder ej implementerade - Oförmåga att säkerställda dataskydd över tid There were 985 users associated with the profile doctor, but in the official hospital human resources charts there are only 296 doctors in that hospital 25

vs 26

Har någon åkt dit? CNIL (Frankrike) Google LLC 50 000 000 Grupptalan (noyb & LQDN), Google-konto (Android-enhet) - Information ej lättillgänglig (information spridd över en mängd sidor, svårnavigerad) - Information ej klar, tydlig, koncis (användare förstår inte vidden av Googles personuppgiftsbehandling) - Ändamål med behandlingen och kategorier för vagt beskrivna - Ej tydligt att samtycke är rättslig grund för personanpassad marknadsföring - Lagringsperiod ej angiven för alla kategorier 27

Har någon åkt dit? Ogiltigt samtycke (paketerat godkännande) Art 4.11 - samtycke av den registrerade: [ ] frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne, 28

Har någon åkt dit? CNIL (Frankrike) Google LLC 50 000 000 reflektioner? Långt ifrån max- böter Google har råd? Endast en medlemsstat Underkänner en hel finansieringsmodell? 29

Har någon åkt dit? Taxa 4x35 (1.2 M DKK bristfällig uppgiftsminimering) Raderade endast namn (10 år) Otillräcklig anonymisering Telefonnummer etc. (10+5 år) Administrativa skäl godtogs ej - (systemkrav, tjänsteutveckling) 30

Är det någon som följer Dataskyddsförordningen? Typiska projektdelar 2018 för kommunikationsavdelningen - Personuppgiftspolicy - Personuppgiftsbiträdesavtal - Rättslig grund, lagring, registerutdrag Kvarstående utmaningar? - Se över interna dokument (för kommunikationsavdelningen t.ex. policy bild/film) - Integrering sociala medieplattformar? - Cookies? Beteendestyrd digital marknadsföring, retargeting? - Struktur för rättsliga grunder (samtycken, avtal, allmänt intresse?) - Relationer biträden / ansvariga? 31

Antiklimax eller tickande bomb? 25 maj 2018: - Startskott snarare än deadline Rättsområdet mognar fortfarande..... eget ansvar! Sanktionsavgifter förekommer miljonböter inte bara skrämselpropaganda Sannolikt mer tillsyn att vänta 2019 första hela året med GDPR aktivitet i andra EU-länder Aldrig för sent att ta tag i frågorna även försök till efterlevnad kan löna sig 32

2019 Fortsatt GDPR-arbete? ( efter att paniken lagt sig) Utvärdera projektarbetet Levande dokument Upprätthåll dialogen om dataskydd GDPR-säkra nya projekt 33

Tack för idag!

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss