NYA DATASKYDDSFÖRORDNINGEN Frukostseminarium med FRII - 7 mars 2016 Kerstin Wardman Bolagsjurist, Bisnode Sverige
FACEBOOK BARNFÖRJUDS! 2 2016-03-07 NYA DATASKYDDSFÖRORDNINGEN FRUKOSTSEMINARIUM MED FRII 7 MARS 2016
EN RÄTTIGHETSLAGSTIFTNING! Jag ska få veta vilka uppgifter som företag behandlar om mig Jag ska kunna motsätta mig att företag behandlar mina personuppgifter Jag har rätt att bli bortglömd Jag ska kunna flytta mina personuppgifter från ett företag till ett annat Företag ska ha ordning och reda på mina personuppgifter Det ska kosta för företag att behandla mina uppgifter felaktigt 3
AGENDA Bakgrund och syfte med nya Dataskyddsförordningen Tillämpningsområde när och var ska förordningen tillämpas? Principer för behandling av personuppgifter Registrerades rättigheter Profilering Opt out Data Protection Officer 2.0 Ansvar för personuppgiftsansvarig respektive personuppgiftsbiträde Datasäkerhet, dataskyddsincidenter Sanktioner Förhållande till annan lagstiftning Vad göra i er organisation? 4
BAKGRUND Den 25 januari 2012 presenterade Kommissionen ett förslag till ny dataskyddsförordning som skulle ersätta PuL Överenskommelse i december 2015 mellan Parlamentet, Rådet och Kommissionen Förordningen ska nu översättas till alla officiella språk Officiellt antagandebeslut under våren 2016 Förordningen börjar gälla från våren 2018 (2 års implementationstid) Implementering i 28 länder 5
SYFTE - VARFÖR NYA REGLER? Dagens personuppgiftslag är från 1998 - omodern Syfte med de nya reglerna - uppdatera reglerna till dagens förutsättning, Internet, molntjänster, sociala nätverk - striktare integritetsregler - lika regler i alla EU länder Harmoniserade regler är viktigt för - fria flödet av data - handel över landsgränser - skapar förtroende/säkerhet på Internet Förordningen blir direkt tillämplig behöver ej genomföras i nationell rätt 6
TILLÄMPNINGSOMRÅDE NÄR? Helt eller delvis automatiserad personuppgiftsbehandling Strukturerad manuell behandling med personuppgifter som är sökbar efter specifika kriterier ( filing systems ) Behandling som undantas från förordningen är bl a: - privat behandling (telefonbok, appar, bloggar etc) - brottskämpande arbete hos myndigheter Missbruksregeln avskaffas ingen särreglering för ostrukturerade personuppgifter Ingen subsidiaritetsregel förordningen trumfar alltid! 7
TILLÄMPNINGSOMRÅDE VAR? Företag etablerade inom EU Företag etablerade utanför EU om behandlingen avser - erbjudande av varor och tjänster till EU-medborgare (t ex webbshop) - övervakning av EU-medborgares beteenden (t ex cookies) Global tillämpning! 8
PRINCIPER FÖR PERSONUPPGIFTSBEHANDLING Samma grundläggande principer för behandling som i PuL: - Lagligt - Specifikt och berättigat ändamål - Begränsat antal uppgifter Nya ändamål för behandling ska vara förenliga med ursprungliga ändamål Samma lagliga grunder som i PuL: - Samtycke - Nödvändigt för att fullgöra avtal med den registrerade - Nödvändigt för att uppfylla rättslig skyldighet - Intresseavvägning 9
SÄRSKILT OM SAMTYCKE Utökat krav på samtycke Frivilligt, specifikt, informerat och otvetydigt Samtycket måste vara tydligt urskiljbart från andra delar i ex avtal Personuppgiftsansvarige har bevisbördan Redan insamlade samtycken är fortsatt giltiga om de inte har insamlats i strid mot förordningen Särskilda regler om samtycke och barn (13-16 år) 10
NÅGRA VIKTIGA RÄTTIGHETER Rätt till registerutdrag Rätt till radering rätten att bli bortglömd Rätt till dataportabilitet Rätt att invända mot behandling (som grundar sig på intresseavvägning, t ex DM) Rätt till begränsning av behandling Rätt till information vid insamling 11
SÄRSKILT OM INFORMATIONSKRAVET Vid insamling ska den personuppgiftsansvariga lämna information till den registrerade: - Identitet - Ändamål och rättslig grund - Ev intresseavvägning - Mottagare eller kategori av mottagare - Tredjelandsöverföringar - Retentionstid - Rätten att begära rättelse, radering, motsätta sig behandling, dataportabilitet - Rätten att när som helst återkalla samtycke - Rätten att inge klagomål till tillsynsmyndighet - Förekomsten av automatiserat beslutsfattande, inkl profilering 12
PROFILERING FORTSATT OPT-OUT Rätt att motsätta sig DM-åtgärd Rätt att motsätta sig profilering - Informationskrav om möjligheten att tacka nej - Inget krav på aktivt samtycke för profilering Rätt att tacka ja till DM-åtgärd men nej till profilering - Profileringsregister? 13
DATA PROTECTION OFFICER 2.0 Skyldighet att utse personuppgiftsombud ( uppgiftsskyddsombud ) om - myndighet eller - personuppgiftshantering en del av företagets kärnverksamhet (om behandling inbegriper systematisk övervakning av registrerade ) Övervakar att den personuppgiftsansvarige följer förordningen Kan utses för en hel koncern Personuppgiftsombudet ska ha yrkesmässig kvalifikationer och expertkunnande om lagstiftning och praxis avseende uppgiftsskydd. Kan vara anställd eller extern person (inga formkrav i dagens PuL). Anställningsskydd Kontaktpunkt för tillsynsmyndigheten (DI) 14
ANSVAR FÖR DEN PERSONUPPGIFTSANSVARIGE Att tillse att personuppgifter behandlas i enlighet med förordningen; - upprätta dataskyddspolicies, uppförandekod eller certifiering Säkerställa inbyggt integritetsskydd i systemen Data protection by design and default Skyldighet att föra förteckning över personuppgiftsbehandlingar (detaljerad lista finns i förordningen) Gäller för alla företag som kontinuerligt behandlar personuppgifter 15
NYTT ANSVAR FÖR PERSONUPPGIFTSBITRÄDE Personuppgiftsbiträden som hanterar personuppgifter för personuppgiftsansvarig Utökat ansvar för personuppgiftsbiträdet - föra register över behandlingar - utse personuppgiftsombud i vissa fall - sanktionsregler blir gällande även för biträdet - den registrerade kan även vända sig direkt till biträdet ang skadestånd 16
SÄKERHETSKRAV Lämpliga tekniska och organisatoriska säkerhetsåtgärder - t ex dataskyddspolicies, uppförandekod, certifiering etc Skyldighet att säkerställa inbyggt s k integritetsskydd - Privacy by design 1. minimera mängden personuppgifter 2. begränsa åtkomsten till uppgifterna tydliga behörighetsregler 3. skydda uppgifterna kryptering 4. gallra obsoleta data 5. låt systemet styra användaren rätt 6. bygg funktion för registerutdrag vid nyutveckling Skyldighet att föra förteckning över personuppgiftsbehandlingar - Namn, kontaktuppgifter, personuppgiftsombud, kategorier av mottagare, ev behandling i tredje land etc Gäller även personuppgiftsbiträden! 17
DATASKYDDSINCIDENTER Information om Dataskyddsincidenter ska anmälas till DI inom 72 timmar Dataskyddsincident ett säkerhetsbrott som leder till - oavsiktlig eller olaglig förstöring, förlust eller ändring eller - obehörigt röjande av eller obehörig åtkomst till personuppgifter Information som ska lämnas vid en incident: - vilka kategorier av personer kan beröras - hur många personer berörs - vilka konsekvenser kan det få - vilka åtgärder har vidtagits för att motverka negativa konsekvenser Information till registrerade (om hög integritetsrisk) 18
ADMINISTRATIVA VITEN Tillsynsmyndigheter får rätt att ålägga administrativa viten vid överträdelser av förordningen Beaktar vissa riktlinjer och gör överväganden 10 20 miljoner EURO eller 2-4 % av den globala omsättningen 19
FÖRHÅLLANDE TILL ANNAN LAGSTIFTNING Nationella anpassningar i svensk lagstiftning kommer att genomföras - Justitiedepartementet utreder (Kommittédirektiv 2016:15) - Utredningen ska vara klar 12 maj 2017 Offentlighetsprincipen befästs Grundlagar? Registerlagstiftning? Kreditupplysningsverksamhet? Motverka penningtvätt och finansiering av terrorism? 20
VAD GÖRA I ER ORGANISATION? Utse personuppgiftsombud Se över riktlinjer och upprätta integritetspolicy. Se över samtyckesblanketter och informationstexter Se över rutiner för förteckningar, rättelse, registerutdrag och gallring Var sparsam med användningen av personinformation Fokusera på IT säkerhet 21
MER INFORMATION Tips på webbplatser med mer information: - www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform - www.swedma.se (särskilt om direktmarknadsföring) Länk till den förhandlade versionen 2015-12-15 = > - www.fedma.org/fileadmin/documents/legal_a_eth_c/proposal-eudatap-regulation-final-compromise- 151216.pdf Länk till Regeringens utredningsuppdrag angående Dataskyddsförordningen - www.regeringen.se/contentassets/b16563d102144523a1af80fb44321c43/dir.-201615- dataskyddsforordningen 22
TACK FÖR ATT NI LYSSNADE! Kerstin Wardman Bolagsjurist BISNODE E-post: kerstin.wardman@bisnode.com 23
24