Ny dataskyddsförordning En vägledning genom processen



Relevanta dokument
PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

Dataskyddsförordningen

Dataskyddsförordningen

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

EU:s dataskyddsförordning

WHITE PAPER. Dataskyddsförordningen

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Dataskyddsförordningen

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Ett eller flera dataskyddsombud?

GDPR- Seminarium 2017

Lindesbergs kommuns arbete med dataskyddsförordningen

Dataskyddsförordningen GDPR - General Data Protection Regulation

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

GDPR NYA DATASKYDDSFÖRORDNINGEN

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Allmänna råd. Datainspektionen informerar. Nr 2/2016

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Dataskyddsförordningen

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen (GDPR)

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Information om dataskyddsförordningen

Dataskyddsförordningen 2018

Dataskyddsförordningen

Dataskyddsförordningen 2018

Att hantera personuppgifter

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Välkomna till kurs i den nya dataskyddsförordningen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

GDPR Presentation Agenda

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

PuL och GDPR en översiktlig genomgång

GDPR General data protection regulation Dataskyddsförordningen

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Dataskyddsförordningen

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

PuL. Inför nya PuL Allmän dataskyddsförordning, GDPR

GDPR (General Data Protection Regulation) Dataskyddsförordningen

GDPR ur verksamhetsperspektiv

INTEGRITETSPOLICY för Webcap i Sverige AB

GDPR. General Data Protection Regulation. EU:s nya dataskyddsförordning Träder i kraft

GDPR UTBILDNINGSDAG SKKF

8. Vad innebär den nya dataskyddsförordningen för er? Kunskapsdagen Malmö 21 november 2017

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

EU:s dataskyddsförordning

Vården och reglerna om dataskydd

Policy för behandling av personuppgifter

Behandling av personuppgifter vid Göteborgs universitet

Dataskyddsförordningen

NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG?

Axholmen:s Integritetspolicy

EU:s allmänna dataskyddsförordning:

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen GDPR

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Handlingsplan för persondataskydd

Dataskyddsförordningen och kvalitetsregister

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

AMF Fastigheters integritetspolicy

NYA DATASKYDDSFÖRORDNINGEN

Riktlinjer för personuppgiftshantering

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Skolan och Dataskyddsförordningen

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Denna policy skapades av och för organisationens behandling av personuppgifter.

PuL och Dataskyddsförordningen i det nämndsdministrativa arbetet- vad är nytt och hur förbereder jag mig? Stockholm den 22 november 2017

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Tegehalls revisionsbyrå och dataskyddsförordningen

PuL och ny dataskyddsförordning. Nätverksträff Informationssäkerhet i fokus 4 maj 2015

Riktlinjer för behandling av personuppgifter i Årjängs kommun

PERSONUPPGIFTSBITRÄDESAVTAL

GDPR. General Data Protection Regulation

Översikt av GDPR och förberedelser inför 25/5-2018

FÖRBEREDELSER INFÖR GDPR

Riktlinjer för hantering av personuppgifter

Transkript:

Ny dataskyddsförordning En vägledning genom processen

TechLaw är en affärsjuridisk byrå specialiserad inom IP, media och teknologi. Vi är experter inom våra områden och ger tydliga och kvalificerade råd i en värld där immateriella rättigheter och personlig information blir allt mer värdefulla affärstillgångar. TechLaw hjälper företag och organisationer att hantera tvister, nya regelverk och interna utredningar i arbete där rättighets- och teknologifrågor står i centrum. Vi erbjuder även branschspecifika utbildningar inom dataskydd, personlig integritetsrätt och digital media. Dataskyddsförordningen 2

Sammanfattning I december 2015 träffades en politisk överenskommelse mellan EU:s lagstiftande organ om innehållet i EU:s nya dataskyddsförordning. Ett formellt beslut om antagande av förordningen förväntas komma under våren 2016 som efter en övergångsperiod börjar gälla från våren 2018. Förordningen, som kommer att ersätta den tidigare Personuppgiftslagen (PUL), stärker EU:s fokus på integritetsfrågor och kan medföra kraftigt ökade sanktioner för företag som inte tar reglerna på allvar. Den nya förordningen kommer bland annat att ge registrerade individer en utökad rätt att kräva radering av personuppgifter, införa en ovillkorlig informationsplikt vid integritetsbrott, samt medföra krav på införande och tillhandahållande av integritetspolicys. Det finns därför all anledning för företag, myndigheter och andra organisationer att redan nu utvärdera sin personuppgiftsbehandling och vidta nödvändiga åtgärder för en planerad och strukturerad övergång till den nya dataskyddsförordningen.

I december 2015 meddelades att EU-kommissionen, Europarådet och EU:s ministerråd kommit överens om förslaget till ny dataskyddsförordning. Den nya regleringen kommer att bli gemensam för hela Europa och ersätta Personuppgiftslagen (PUL) i Sverige under år 2018. Dataskyddsförordningen kommer att medföra en väsentlig stärkning av skyddet för den personliga integriteten. För företag, myndigheter och andra organisationer kommer betydligt strängare krav uppställas för att skydda integriteten och för enskilda innebär dataskyddsförordningen utökade rättigheter för skydd av personuppgifter. Utöver förändringarna som den nya dataskyddsförordningen för med sig behöver alla företag, myndigheter och organisationer även vidta åtgärder i anledning av de begränsningar som sedan hösten 2015 gäller för överföring av personuppgifter till länder utanför EU/EES såsom USA. Vilka omfattas av den nya dataskyddsförordningen? Den nya dataskyddsförordningen kommer att påverka alla företag, myndigheter och organisationer som behandlar enskilda individers personuppgifter. Med behandling avses varje åtgärd med personuppgifter oberoende om denna är automatiserad eller inte, exempelvis insamling, registrering, strukturering, bearbetning, lagring, radering av data. Vad är en personuppgift? Med personuppgift menas all slags information som direkt eller indirekt kan hänföras till en identifierbar fysisk person som är i livet. Förutom namn och personnummer kan en lokaliseringsuppgift, ett foto, biometriska uppgifter eller en dators IP-nummer räknas som personuppgifter om de kan kopplas till en fysisk person. Vad medför de nya reglerna? Den nya dataskyddsförordningen kommer att stärka individers rättigheter och ge dem kontroll över sina personuppgifter samtidigt som den underlättar för företag som har verksamhet i flera olika EU-länder. Nedan behandlas några centrala delar av förslaget. Med personuppgift menas all slags information som direkt eller indirekt kan hänföras till en identifierbar fysisk person som är i livet. Mindre utrymme för nationella avvikelser Dataskyddsförordningen kommer att vara direkt tillämplig i EU:s medlemsstater. Utrymmet för nationella avvikelser blir därför mindre. För svensk del innebär detta bland annat att den så kallade missbruksregeln som tillåter behandling av personuppgifter i ostrukturerad text så länge behandlingen inte är kränkande för behandlade personer kommer att försvinna. 1 Dataskyddsförordningen

Utökat tillämpningsområde Genom förordningen kommer det att skapas en enda uppsättning regler, vilket kommer att göra det enklare, mer förutsägbart och billigare för företag att göra affärer i EU. Företag baserade utanför Europa kommer behöva tillämpa samma regler som EU-företag när de erbjuder tjänster inom unionen. Den personuppgiftsansvarige kommer också att behöva utse en representant inom EU. Skärpta krav på personuppgiftsbehandling I flera hänseenden påminner förordningens krav om de nuvarande reglerna i PUL. På vissa punkter går emellertid de nya reglerna längre eller är mer detaljerade än dagens regler. Enskilda kommer att ges förenklad åtkomst till egna personuppgifter och informeras om hur deras uppgifter behandlas. Information ska lämnas på ett tydligt sätt med användande av ett klart och tydligt språk. Kravet på inhämtande av samtycke kommer att skärpas. En begäran om samtycke ska enligt förordningen vara tydligt urskiljbar från det övriga innehållet i exempelvis allmänna villkor eller liknande. Behandling av personuppgifter hänförliga till barn under en viss ålder kommer att kräva samtycke från föräldrarna. Varje medlemsland kommer kunna ha en valfri åldersgräns mellan 13 och 16 år. Rättigheter för enskilda personer kommer att stärkas genom rätten att bli bortglömd, rätten till dataportabilitet och rätten att få veta när ens uppgifter har hackats eller på annat sätt läckt ut. Rättigheter för registrerade individer För enskilda personer kommer rättigheterna att stärkas, bland annat ställs strängare krav på att företag, myndigheter och andra organisationer ska informera om hur de hanterar enskildas personuppgifter. Enskilda ska i vissa situationer även kunna säga nej till att ett företag eller en myndighet använder dennes personuppgifter. Rätten att bli bortglömd: Om en person inte längre vill att personuppgifter ska behandlas och det saknas legitima skäl för att behålla uppgifterna, ska de raderas. Rätten till dataportabilitet: Den enskilde får rätt att på begäran få sina personuppgifter överförda till en annan tjänsteleverantör. Rätten att få veta när dina uppgifter har hackats eller på annat sätt läckt ut: Företag måste kommunicera allvarliga personuppgiftsbrott till den enskilde om det finns hög risk för dennes fri- och rättigheter. Dataskyddsförordningen 2

Ökade krav för personuppgiftsansvariga Det kommer inte finnas något obligatoriskt krav på företag, myndigheter och andra organisationer att ha ett personuppgiftsombud. Däremot kommer det att ställas högre krav på personuppgiftsbiträden. Personuppgiftsbehandlingen ska dokumenteras och den personuppgiftsansvarige ska kunna visa att förordningens hanteringsregler följs. Detta innebär i praktiken att det blir obligatoriskt för företag att upprätta en personuppgiftspolicy. Både personuppgiftsansvariga och personuppgiftsbiträden måste utforma system och processer på ett sådant sätt att dessa redan från start får ett inbyggt integritetsskydd, så kallad Privacy by Design. Om ett företag blir utsatt för dataintrång eller på något annat sätt tappar kontroll över personuppgifter så måste denna, om incidenten är allvarlig, inom 72 timmar från det att intrånget upptäcktes informera både de personer som uppgifterna gäller och den nationella tillsynsmyndigheten. En allvarlig incident kan till exempel vara om uppgifterna som läckt ut kan leda till att personer utsätts för diskriminering, id-stölder, bedrägeri eller finansiella förluster. Dataskyddsombud och konsekvensanalyser För företag, myndigheter och andra organisationer vars kärnverksamhet utgörs av systematisk databehandling i större skala eller som hanterar en större mängd känslig data blir det obligatoriskt att utse ett så kallat dataskyddsombud eller Data Protection Officer. Vid dataintrång ska den personuppgiftsansvarige senast inom 72 timmar från det att intrånget upptäckts informera både de personer som uppgifterna gäller och den nationella tillsynsmyndigheten. Dataskyddsombudet ska bland annat underrätta och råda företagets ledning om deras förpliktelser enligt förordningen, och övervaka tillämpningen av företagets regler för skydd av personuppgifter. Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra vissa i förordningen utpekade uppgifter. Dataskyddsombudet kan ingå i företagets personal, eller utföra uppgifterna på grundval av ett tjänsteavtal. Om ett företag har för avsikt att hantera personuppgifter på ett sätt som kan medföra stora integritetsrisker så måste företaget först göra en noggrann analys av vilka konsekvenserna av det kan bli, en så kallad Data Protection Impact Assessment. Riskfylld behandling kan till exempel vara storskaliga register som innehåller genetiska eller biometriska uppgifter, uppgifter om barn eller storskalig kameraövervakning på allmän plats. 3 Dataskyddsförordningen

Överträdelser mot den nya dataskyddsförordningen kan medföra en administrativ sanktionsavgift på upp till EUR 20 000 000, eller 4 % av företagets globala omsättning. Skärpta sanktioner Dataskyddsmyndigheten i den medlemsstat där företaget eller organisationen huvudsakligen är etablerad kommer att vara huvudansvarig för tillsyn under förordningen. Exempel på sanktioner är skriftlig varning, återkommande tillsyn av verksamheten, skadestånd samt administrativa avgifter. Den administrativa avgiften kan uppgå till EUR 20 000 000, eller 4 procent av företagets globala omsättning. Vad behöver du göra? Innan förordningen träder i kraft behöver företag, myndigheter och organisationer se över sin personuppgiftsbehandling. Personuppgifter behöver bli en fråga för ledningen, men det kommer också krävas att andra delar av verksamheten, såsom HR, IT och marknad, involveras och samordnas. Det är därför viktigt att ha koll på och bedöma sanktionsriskerna och utse ansvariga personer för integritetsfrågorna. Organisatoriska: Ni behöver kartlägga era befintliga processer för att identifiera var i verksamheten personuppgifter hanteras och vilka integritetsrisker som finns. Justeringar eller helt nya processer kan vara nödvändiga för att säkerställa att behandling och rapportering sker i enlighet med regulatoriska krav. Ni behöver även se över vilka avtal rörande personuppgifter som finns och om dessa behöver anpassas. Administrativa: Ni behöver dokumentera hur anställdas och privatkunders personuppgifter hanteras. Dokumentationen är också viktig för att kunna visa på vilka åtgärder ni vidtagit och hur pass väl ni uppfyller kraven. Tekniska: Ni behöver göra en kartläggning över era tekniska system och var personuppgifter lagras, hur de överförs till andra system, parter och till länder utanför EU-området. Ni behöver också se över om det finns uppgifter som lagras, samt kunna korrigera eventuella felaktigheter och radera uppgifter. Det finns all anledning att vara noggrann eftersom förslaget har en bredare definition av begreppet personuppgifter än vad som används inom industristandarder som till exempel ISO/IEC 27018 - Riktlinjer för skydd av personuppgifter i publika molntjänster. Att anpassa verksamheten till den nya dataskyddsförordningen är ett omfattande arbete. Det kan ta tid att få nya rutiner och policys på plats, varför det finns all anledning att redan nu påbörja arbetet med att utvärdera och överväga behovet av anpassning till förslaget. Nedan följer ett förslag på åtgärdsplan; från kartläggning till regelbunden uppföljning när förordningen väl är på plats. Dataskyddsförordningen 4

1. Kartläggning Kartlägg den befintliga behandlingen av verksamhetens personuppgifter. Kartläggningen bör bland annat identifiera vilken typ av information som behandlas och för vilket syfte. För fallet att databehandlingen sköts av tredje part är det viktigt att påbörja en dialog med leverantören om eventuella justeringar. 2. Riskanalys För att anpassa verksamheten till den nya förordningen krävs en åtgärdsplanen. De olika stegen är kartläggning, riskanalys, tekniska & organisatoriska åtgärder, implementering och uppföljning. Analysera riskerna med behandlingen av enskilda individers personuppgifter. Titta särskilt på hur verksamheten säkerställer kontrollen över data, om system och procedurer är anpassade för att uppfylla kraven på insyn, och hur verksamheten hanterar exempel dataförlust. 3. Tekniska & organisatoriska åtgärder Ändra befintliga system och procedurer för att minimera de risker som har identifierats, och skapa nya där det finns brister. Ta fram ändamålsenliga rutiner för att säkerställa att behandling och rapportering av till exempel dataintrång sker i enlighet med regulatoriska krav, och gör dessa spårbara för ökad kontroll. Utforma riktlinjer och policys för verksamhetens löpande behandling av personuppgifter och tydliga processer för att hålla dem uppdaterade. 4. Utse en Data Protection Officer Alla företag behöver någon som tar ansvar för frågorna som rör dataskydd. Om verksamhetens kärnverksamhet utgörs av systematisk databehandling i större skala eller som hanterar en större mängd känslig data föreligger det skyldighet att utse ett dataskyddsombud. 5. Implementering Utbilda verksamhetens anställda inom de riktlinjer och policys som tagits fram. Vilken information ska du ge till allmänheten och anställda, och hur ska du hantera incidenter, problem och klagomål? Fokusera på de grupperna i verksamheten som hanterar personuppgifter eller som har kontinuerlig kundkontakt. Öva krissituationer med verksamhetens anställda så att de känner sig bekväma med allmänhetens förfrågningar. 5 Dataskyddsförordningen

6. Uppföljning Uppdatera riktlinjer och policys löpande och utbilda verksamhetens anställda om viktiga förändringar i regelverket. Gör en Data Protection Impact Assessment för verksamhetens nya tjänster och produkter, och håll koll på hur verksamheten ska klara de allvarligaste regulatoriska sanktionerna och skadeståndskrav. TechLaw erbjuder allt från konsekvensbedömningar till personuppgiftspolicys, dataskyddsombud som konsulttjänst och skräddarsydda utbildningar i dataskyddsbehandling. Hur kommer du igång? Dataskyddsfrågan är komplex och det är enkelt att tappa fokus i tekniska och regulatoriska detaljer. Vi rekommenderar att varje företag, myndighet och organisation sätter upp en detaljerad projektplan med tids- och kostnadsuppskattningar för en lyckad implementering av det nya regelverket. Genom att utse en särskild arbetsgrupp som driver dataskyddsfrågan i verksamheten blir det lättare att utvärdera och överväga behovet av anpassningar till den nya dataskyddsförordningen. TechLaw hjälper såväl multinationella företag som mindre bolag med en lyckad implementering av den nya dataskyddsförordningen. Vi erbjuder konsekvensbedömningar (Data Protection Impact Assessments), personuppgiftspolicys, dataskyddsombud som konsulttjänst och skräddarsydda utbildningar i praktisk dataskyddsbehandling. Dataskyddsförordningen 6

Kontakt Besök oss på www.techlaw.se eller kontakta oss för mer information. Sebastian Arnoldt Partner 070 403 03 53 sebastian@techlaw.se TechLaw 08 559 25 200 info@techlaw.se 7 Dataskyddsförordningen

Besök oss på techlaw.se för mer information och relaterade ämnen. Följ TechLaw på Facebook, Twitter och LinkedIn. TechLaw Sweden AB 2016. All rights reserved. 04/16 1 Dataskyddsförordningen

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss