Molntjänster och integritet vad gäller enligt PuL?

Relevanta dokument
Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

Tillsyn enligt personuppgiftslagen (1998:204) Uppföljning av beslut i ärende

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Universitetet och Datainspektionen i Molnet

Vägledning om molntjänster i skolan

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

MOLNET. Säkerhetskrav för personuppgifter

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

PuL-bedömning av molntjänst i skolan

Molnets möjligheter och utmaningar. IT Asset Management Summit 24 januari 2017 Peter Nordbeck/Partner/Advokat

Introduktion till molntjänster Tekniken bakom molntjänster och legala utmaningar

Digital Lagring. Jukka Salo Flygteknisk inspektör

Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster.

De nya EU-reglernas krav på molnsäkerhet

Använd molntjänster på rätt sätt

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molntjänsten Google Apps For Education

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Enköpings kommunstyrelses användning av molntjänsten Dropbox

Amnesty International, svenska sektionens Integritetspolicy

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

PERSONUPPGIFTS- BITRÄDESAVTAL

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

InfraGeoTech AB INTEGRITETSPOLICY

INTEGRITETSPOLICY Tikkurila Sverige AB

Molntjänster. Översikt. Lektion 1: Introduktion till molntjänst. Introduktion till molntjänst. Vilka tjänster finns? Säkerhet.

Information om personuppgiftsbehandling

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Integritetspolicy Wincent Marketing AB, rev

Om personuppgiftshantering

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg

Allmänna råd. Datainspektionen informerar Nr 2/2014. om användning av molntjänster (Cloud Computing) i den offentliga sektorn.

Bilaga 3 Personuppgiftsbiträdesavtal

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

Integritetspolicy för behandling av personuppgifter

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

GDPR ur verksamhetsperspektiv

Säkerhet enligt personuppgiftslagen

Tillsyn enligt personuppgiftslagen (1998:204) av Trustly Group AB

MOLNTJÄNSTER ÄR DET NÅGOT FÖR OSS?

Risk- och Sårbarhetsanalys

Bilaga 1. Preliminär juridisk rapport

Säkerhet och integritet i molnet

Granskning av personuppgiftshantering och it-säkerhet i skolans it-system

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Instruktion för personuppgiftsbiträdesavtal

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

INTEGRITETSPOLICY 1 ALLMÄNT 2 PERSONUPPGIFTSANSVARIG 3 VILKA PERSONUPPGIFTER SAMLAS IN?

Riktlinjer för dataskydd

INTEGRITETSPOLICY 1 ALLMÄNT 2 PERSONUPPGIFTSANSVARIG 3 VILKA PERSONUPPGIFTER SAMLAS IN?

INTEGRITETSPOLICY 1 ALLMÄNT 2 PERSONUPPGIFTSANSVARIG 3 VILKA PERSONUPPGIFTER SAMLAS IN? Kunder:

PERSONUPPGIFTSBITRÄDESAVTAL

DIG IN TO Nätverksadministration

Dataskyddsförordningen GDPR

INTEGRITETSPOLICY för Webcap i Sverige AB

Dataskyddsförordningen

PERSONUPPGIFTSPOLICY

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Policy för hantering av personuppgifter

Information om behandling av personuppgifter på Tellus bostadsrättsförening

Framgångsfaktorer i molnet!

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molntjänsten Office 365

Dataskyddspolicy för Rotsunda Utbildning AB

Integritetspolicy vid SLU Holding AB

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Duo Search AB - Integritetspolicy

INTEGRITETSPOLICY CANTARGIA AB

1. Integritetsmeddelande för Danish Crownkoncernen

Juridik och informationssäkerhet

PERSONUPPGIFTER SOM BEHANDLAS

UPPDATERAD

Novare Propell - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Cloud Computing. Legala frågor och standardavtalet från IT&Telekomföretagen

Så behandlar vi dina personuppgifter

Personuppgiftsinformation för Svedala kommun

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

INTEGRITETSPOLICY ADCARE NORDIC GROUP

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Novare Executive Search - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Victoria Behandlingscenter AB Integritetspolicy

Företagets integritetspolicy avseende personuppgifter

Denna dag, har följande policy upprättats för Advokatfirman Upsala Juridiska Byrå HB.

EXTERN INTEGRITETSPOLICY

Google kalender I kalendern har eleven sitt personliga schema och även händelser som exempelvis prov, uppgifter, etc.

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

Integritetspolicy. Om du har frågor om hur vi använder dina personuppgifter är du välkommen att kontakta oss på.

Nordic Waterproofings AB Integritetspolicy 1 Inledning Vilka personuppgifter samlar vi in om dig och varför?... 2

Personuppgiftsbiträde

Integritetspolicy Affärsadvokaterna

Novare Public - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Vad är en personuppgift och vad är en behandling av personuppgifter? Vilka personuppgifter samlar vi in om dig och varför?

BERGHOLM FÖRSÄLJNING AB

INTEGRITETSPOLICY. Enhetsinformation: IP-adress, MAC-adress, cookies eller liknande; och. Andra personuppgifter som du väljer att lämna till oss.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Transkript:

Molntjänster och integritet vad gäller enligt PuL? Juridik och IT i kommunerna, den 14 mars 2013 Ingela Alverfors, jurist Adolf Slama, IT-säkerhetsspecialist

Dagens agenda Molntjänster Mobila enheter Sociala medier i skolan Fråga och diskutera!

Vad är en molntjänst? SAAS (Software as a Service) PAAS (Platform as a Service) IAAS (Infrastructure as a Service)

Moln detta har hänt Tre beslut Enköpings kommunstyrelse Dropbox Brevo AB - Windows Azure Salems kommunstyrelse Google Apps Vägledning

Detta är på gång Nytt beslut, uppföljning Salem Beslut i tillsynsärende om användningen av Google Apps For Education på en gymnasieskola Fortsatt mycket frågor om molntjänster per telefon och mejl (bra!) Föreläsningar och seminarier om moln

Vad händer i Norden? Norge, två ärenden rörande molntjänster, Moss och Narvik (Office 365 resp. Google Apps) Danmark, fyra ärenden om molntjänster, Odense, IT-universitetet Köpenhamn, Svendborg kommun, Ministry of Social Affairs and Integration, (Google Apps resp. Office 365) Samarbete inom Nordiska Ministerrådet, Guide för offentlig sektor

Vad händer i Europa? Opinion on Cloud Computing (WP 196) http://ec.europa.eu/justice/data-protection/article- 29/documentation/opinionrecommendation/files/2012/wp196_en.pdf Granskning av Googles Privacy Policy (CNIL) Granskning av Microsoft (CNIL och CNPD)

Vem använder molntjänster? DROPBOX-GOOGLEAPPSFORBUSINESS- FACEBOOK-HOTMAIL-PREZI-PROJECTPLACE- MICROSOFTAZURE-YOUTUBE-INSTAGRAM- GOOGLEAPPSFOREDUCATION-MICROSOFT365- SPOTIFY-ICLOUD-WORDPRESS-PHOTOSHOP- GOOGLEDRIVE-WINDOWSSKYDRIVE-ITUNES- FLICKR-1PASSWORD-EVERNOTE-M.FL.

..om jag vill använda en molntjänst? 1. Risk- och sårbarhetsanalys! 2. Vilka personuppgifter ska behandlas? 3. Uppfyller leverantören ställda säkerhetskrav? 4. Granska leverantörens avtal, är villkoren förenliga med PuL och/eller annan relevant lagstiftning?

Risk- och sårbarhetsanalys Gör det enkelt!

Risk- och sårbarhetsanalys Identifiera-Analysera-Utvärdera Utgå från den egna verksamheten och vilka personuppgifter som ska hanteras. Vilka potentiella risker finns med personuppgiftsbehandlingen och hur kan dessa risker undvikas? Ta fram kravlista som måste uppfyllas av molntjänstleverantörens avtalsvillkor. www.informationssakerhet.se

Granska avtalen Kontrollera vilka avtal och bilagor som gäller och hierarkin mellan dessa Finns det ett personuppgiftsbiträdesavtal? Är det en opt in-variant? (Tredjelandsöverföring?) Hänvisar leverantören till dokument som inte är juridiskt bindande? Vilken rätt har leverantören att göra ändringar och tillägg till avtalet/n?

Granska PuB-avtalet Instruktioner till biträdet I PuB-avtalet ska det särskilt föreskrivas att biträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige (30 PuL)

Granska PuB-avtalet Instruktioner till biträdet - ändamål Den personuppgiftsansvarige ska se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna får inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in. (9 c och d PuL)

Granska PuB-avtalet Instruktioner till biträdet ändamål providing, maintaining and improving the services i syfte att driva och förbättra webbplatser och tjänster

Vad är problemet? Registrerad Information? Samtycke? Måste veta hur personuppgifterna behandlas Molnkund/PuA Ansvarig Bestämmer ändamål (måste vara specifikt) Tillåtlig grund Instruerar PuB Leverantör/PuB Får bara behandla personuppgifter efter instruktioner (om ändamål t.ex.)

Granska PuB-avtalet Instruktioner till biträdet radering av uppgifter Den personuppgiftsansvarige skall se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. (9 i PuL)

Granska PuB-avtalet Instruktioner till biträdet radering av uppgifter raderar inom rimlig tid

Vad är problemet? Är det tillåtet för en molnleverantör att fortsätta att behandla personuppgifter som kunden har raderat? Vem ansvarar för personuppgifter som molnleverantören inte har raderat? Hur kan kunden veta om leverantören fortsätter att behandla personuppgifter som har raderats? Hur kan kunden veta när leverantören raderar? Vilket ansvar har kunden gentemot de registrerade?

Granska PuB-avtalet Anlitas underleverantörer? - Vilka? - Var? - Tredje land? - Har biträdet mandat att teckna avtal? - Rätt för kunden att frånträda avtalet?

Granska PuB-avtalet Överföring till tredje land Enligt huvudregeln är det förbjudet att överföra personuppgifter till tredje land, men; 1. Standardavtalsklausuler (2010/87/EU) 2. Safe Harbor (USA) 3. Binding Corporate Rules (BCR) för biträden (33-35 PuL)

Granska PuB-avtalet Överföring till tredje land För att standardavtalsklausulerna ska vara giltiga får inga villkor i klausulerna ändras. (opt in?) För att Safe Harbor principerna ska vara tillämpliga måste underleverantören vara ansluten till dessa principer. En garanti att agera i enlighet med Safe Harbor principerna är inte tillräckligt. BCR för biträden är nytt och tillämpas (såvitt känt) ännu inte av någon molntjänstleverantör.

Hur använder vi molntjänster på ett lagligt sätt?

Grönt ljus och godkänd? Datainspektionen granskar enbart enskilda behandlingar. Datainspektionen lämnar inga generella godkännanden eller grönt ljus för specifika molntjänster!

Till sist Tänk på! Har er verksamhet regler för när/om anställda på eget initiativ får använda molntjänster? Om dokument delas i molnet med en annan myndighet/organisation/enskild har handlingarna då lämnats ut? Ansvarar någon för att uppgifterna i molnet raderas eller arkiveras (om så krävs)?

Mobila enheter Risk- och sårbarhetsanalys, löpande Instruktioner till användaren Nedladdning av appar och program? Gränsen mellan privat och professionellt användande Stark autentisering och kryptering Behörighet Hur länge lagras uppgifterna Logguppföljning Särskilda säkerhetsåtgärder? Bring your own device?

Sociala medier i skolan Hur används sociala medier i skolan? Kan en skola kräva att elever ska kommunicera med andra elever och lärare via sociala medier? Vem ansvarar för hanteringen av personuppgifter?

Kontakta Datainspektionen Fråga upplysningstjänsten Tel. 08-657 61 00 datainspektionen@datainspektionen.se

Kontakta oss ingela.alverfors@datainspektionen.se Tel. 08-657 6126 adolf.slama@datainspektionen.se Tel. 08-657 6112

TACK

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss