Ny personuppgiftsförordning Försäkringsjuridiska Föreningen. Agnes A Hammarstrand / Advokat 3 mars 2016

Relevanta dokument
Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

GDPR de första månaderna. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR NYA DATASKYDDSFÖRORDNINGEN

Nya Dataskyddsförordningen. Agnes Hammarstrand

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

PuL och GDPR en översiktlig genomgång

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Dataskyddsförordningen

Nya Dataskyddsförordningen. Agnes Hammarstrand

GDPR- Seminarium 2017

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

GDPR. Dataskyddsförordningen

NYA DATASKYDDSFÖRORDNINGEN

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

Dataskyddsförordningen

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Dataskyddsförordningen (GDPR)

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

EU:s dataskyddsförordning

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Dataskyddsförordningen

GDPR Presentation Agenda

Dataskyddsförordningen

Svensk författningssamling

GDPR och annat om personlig integritet som man bör tänka på

PuL och ny dataskyddsförordning. Nätverksträff Informationssäkerhet i fokus 4 maj 2015

Dataskyddsförordningen

Dataskyddsförordningen GDPR

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Dataskyddsförordningen 2018

Vad är en personuppgift och vad är en behandling av personuppgifter? Vilka personuppgifter samlar vi in om dig och varför?

Integritet och behandling av personuppgifter

Dataskyddsförordningen 2018

Välkomna till kurs i den nya dataskyddsförordningen

Lathund Personuppgiftslagen (PuL)

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

Victoria Behandlingscenter AB Integritetspolicy

Personuppgiftslagen konsekvenser för mitt företag

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Regler för behandling av personuppgifter vid Högskolan Dalarna

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Svenska Diabetesförbundets Dataskyddspolicy. Vad är en personuppgift och vad är en behandling av personuppgift?

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Integritet och behandling av personuppgifter

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2

GDPR- Vad är det? Frukostmöte hösten Advokatfirman VICI

GDPR. General Data Protection Regulation. dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen GDPR - General Data Protection Regulation

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Kerstin Wardman, 25 april 2018

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Integritet och behandling av personuppgifter. Näringslivets Regelnämnd samt Näringslivets Regelnämnd NNR AB

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

PUL OCH DATASKYDDSFÖRORDNINGEN

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Tegehalls revisionsbyrå och dataskyddsförordningen

Behandling av personuppgifter - Maskinentreprenörerna

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Information om behandling av personuppgifter på Tellus bostadsrättsförening

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Denna integritetspolicy ( Integritetspolicyn ) har tre syften:

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

GDPR. General Data Protection Regulation

GDPR UTBILDNINGSDAG SKKF

GDPR- Vad har hänt och hur ser tillämpningen ut?

GDPR General data protection regulation Dataskyddsförordningen

BESKRIVNING AV PERSONUPPGIFTSHANTERING

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

Dataskyddsförordningen GDPR

Transkript:

Ny personuppgiftsförordning Försäkringsjuridiska Föreningen Agnes A Hammarstrand / Advokat 3 mars 2016

Nya personuppgiftsförordningen Bakgrund: Personuppgiftslagen idag Nya förordningen Exempel på nyheter Sammanfattning och praktiska konsekvenser Nya personuppgiftsförordningen 2

Personuppgiftslagen idag

Personuppgiftslagen ( PuL ) idag Syfte att skydda personlig integritet I praktiken få sanktioner vid brott mot lagen Väldigt många företag bryter idag mot lagen Nationell lag baserad på EU-direktiv Annan lagstiftning gäller före Gäller alla - företag, myndigheter och organisationer ( företag i denna presentation) Nya personuppgiftsförordningen 4

Personuppgiftslagen idag Gäller all behandling av personuppgifter Personuppgifter - all slags information som direkt eller indirekt kan kopplas till en fysisk person Är detta en personuppgift? Agnes.hammarstrand@delphi.se 83.248.106.125 (en IP-adress) En bild: Nya personuppgiftsförordningen 5

När är behandling tillåten? Behandling - Varje åtgärd i fråga om personuppgifter, t.ex. insamling, registrering, lagring. Behandlingen behöver vara tillåten enligt (ex.) 1. Samtycke; 2. Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras; 3. För att en arbetsuppgift av allmänt intresse ska kunna utföras; eller 4. Intresseavvägning. Nya personuppgiftsförordningen 6

Grundläggande krav För vilket ändamål samlas uppgifterna in? Uppgifterna får bara behandlas med hänsyn till ändamålen ( Finalitetsprincipen ) Viktiga krav enliga lagen: Uppgifter ska vara korrekta och gallras regelbundet Inte sparas längre än nödvändigt Anmälningskrav och/eller utse ett personuppgiftsombud Säkerhetskrav Information ska alltid ges till den registrerade Nya personuppgiftsförordningen 7

Överföring av personuppgifter Personuppgiftsbiträdesavtal Krav på avtal eller klausuler så snart någon ges tillgång till personuppgifter T.ex. överföring av kontaktuppgifter, support, access till uppgifter, lagring av data, molntjänster Överföring av personuppgifter till tredje land Reglerna ska inte kunna kringgås genom överföring utanför EES Krav på laglig grund för överföring Tillåtna länder Modellklausuler Binding corparate rules Privacy shield (Safe harbour) Nya personuppgiftsförordningen 8

Känsliga personuppgifter Det är som huvudregel förbjudet att behandla känsliga personuppgifter Bland annat uppgifter om fackförbund, hälsa och sexualliv Undantag (exempel): Om behandlingen är nödvändig för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras Om den registrerade lämnat sitt uttryckliga samtycke Tvingande lag Förbud att hantera uppgifter om brott Undantag enstaka uppgift som är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i enskilt fall Nya personuppgiftsförordningen 9

Försäkringsbranschen Datainspektionens rapport och vägledning (2006) Svensk Försäkrings rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen (2010) Svensk Försäkrings rekommendation om behandling av personuppgifter inom försäkringsföretagens utredningsverksamhet (2015) Utgör god sed = lag Nya personuppgiftsförordningen 10

Säkerhet och tekniska krav Behörigheter Rutiner för tilldelning, ändring, borttagning och uppföljning av behörigheter Tekniska begränsningar Åtkomst till uppgifter i system Behandlingshistorik (loggar) och återkomstkontroll (logguppföljning) Nya personuppgiftsförordningen 11

Ett stort antal regler i praktiken Speciella regler i utredningsverksamheten Uppgifter om hälsa och skyddade personuppgifter Sekretess, regler för fullmakter för patientjournal Gallring Uppgifter kan ofta få sparas om legitimt skäl med hänsyn till preskription, skadelidandes rätt till omprövning, verkan av oriktiga uppgifter, m.m. Avskilja avslutande ärenden (normalt inom max sex månader) Mängden information Nya personuppgiftsförordningen 12

Nya förordningen

Ny EU-förordning Förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter Direkt gällande förordning som ersätter PuL och motsvarande lagar i hela EU (EES) Syfte: Stärka integritetsskyddet Underlätta handel inom EU De nya reglerna ska gälla från våren 2018 Planeras antas i april/maj i år Träder i kraft två år efter antagande Nya personuppgiftsförordningen 14

Förordningen i korthet Principerna bygger på nuvarande lag, men också ett stort antal nyheter Omfattande lag Brett tillämpningsområde Alla Europeiska företag och företag som säljer till EU ( Effektlandsprincipen ) Finns vissa möjligheter till avvikelser i nationell lag En tillsynsmyndighet att förhålla sig till ( one-stop shop ) Europeisk dataskyddsstyrelse Nya personuppgiftsförordningen 15

Sanktioner Fortfarande rätt för individer att kräva skadestånd Straff föreskrivs av varje medlemsstat Varning, reprimand eller beordran Begränsning eller förbud Administrativa böter ( böter ) Medlemsstaterna ska fastställa sanktioner för de överträdelser som inte är föremål för böter Nya personuppgiftsförordningen 16

Administrativa böter Administrativa böter ska beroende på omständigheterna i det enskilda fallet åläggas utöver eller i stället för andra åtgärder Böterna ska vara effektiva, proportionella och avskräckande Harmoniserade bötesnivåer Hänsyn till ett antal faktorer, t.ex. Överträdelsens natur, svårighetsgrad och varaktighet De åtgärder som vidtagits för att lindra skada Graden samarbete med myndigheterna/egen anmälan Genomförda säkerhetsåtgärder Nya personuppgiftsförordningen 17

Administrativa böter - två nivåer 1: Upp till det högre beloppet av 10 000 000 EURO eller 2 % av koncernens globala omsättning Ålderskrav Säkerhetskrav, Privacy by design Ett stort antal andra regler 2: Upp till det högre beloppet av 20 000 000 EURO eller 4 % av koncernens globala omsättning Brott mot grundläggande principer, t.ex. lagrar uppgifter för länge Hanterar uppgifter utan laglig grund Felaktigt samtycke Brott mot reglerna om känsliga uppgifter m.m. Registrerades rättigheter, t.ex. information Olaglig överföring av uppgifter utanför EU Nya personuppgiftsförordningen 18

Exempel på nyheter

Ökat eget ansvar på företag Alla krav på att anmäla behandling försvinner - istället ska företag ta större eget ansvar Föra eget register Upprättande av data protection policies i vissa fall Krav att göra Konsekvensbedömning Om viss behandling sannolikt leder till hög risk Förhandssamråd med myndigheten Nya personuppgiftsförordningen 20

Uppgiftsskyddsombud Speciell anställd eller konsult med ansvar för personuppgiftshantering ( expert ) Obligatoriskt i vissa fall Myndighet eller offentligt organ Kärnverksamhet som består av regelbunden och systematisk övervakning av registrerade i stor skala Hantering av känsliga uppgifter Central roll i att ansvara för efterlevnad av reglerna Skapa medvetenhet, informera och ansvara för efterlevnad av reglerna Göra bedömningar (involverade i alla fall) Samarbeta med och fungera som kontaktpunkt för tillsynsmyndigheten Rapportera direkt till högsta ledningen, oberoende Nya personuppgiftsförordningen 21

Inget undantag för ostrukturerat material En svensk företeelse i nuvarande PuL Uppgifter i löpande text (ostrukturerat) undantas från stor del av PULs regler Sociala medier, publicering på webben, uppgifter i texter Behandling får utföras fritt så länge ingen kränkning sker Undantaget försvinner Konsekvenser? Nya personuppgiftsförordningen 22

Privacy by design och default : Säkerhets- och integritetsaspekter ska tas hänsyn till redan vid planering och utveckling av IT-system I standardfallet bara hantera uppgifter som är nödvändiga med hänsyn till ändamålet Oklart exakt hur stora krav som ställs Viktigt vid upphandling av nya system! Nya personuppgiftsförordningen 23

Rätten att bli bortglömd Minimera volymen av sparade personuppgifter Krav på att radera - om ingen legitim grund för fortsatt behandling finns Radera mina uppgifter NEJ Legitima grunder för att behålla uppgifterna? JA RADERA BEHÅLL Nya personuppgiftsförordningen 24

Uttryckligare krav på samtycke Frivillig, specifik, informerad, otvetydig viljeyttring Begäran om samtycke ska: läggas fram på ett sätt som klart och tydligt kan särskiljas från andra frågor; vara begripligt och lättillgängligt och ha ett klart och tydligt språk. Frivilligt? Hänsyn till om ett avtal villkorats av samtycke trots att detta inte är nödvändigt för genomförandet av avtalet Nya personuppgiftsförordningen 25

Informationskrav vid personuppgiftsbrott Informera om personuppgiftsbrott utan oskäligt dröjsmål Informera tillsynsmyndigheten Som huvudregel: Inom 72 timmar efter vetskap om intrånget Informera varje registrerad individ Om sannolikt leder till hög risk för enskildas rättigheter Undantag, t.ex. om system finns för att bevisa att de förlorade uppgifterna gjorts oläsbara för utomstående, t.ex. kryptering Oproportionerlig ansträngning: Istället informera allmänheten Företag behöver stärka sina säkerhetsåtgärder Nya personuppgiftsförordningen 26

Data portability underlätta att flytta uppgifter mellan olika leverantörer Individer ska lättare kunna överföra uppgifter från ett system till ett annat (från ett företag till ett annat) Den ansvarige ska tillhandahålla uppgifterna i ett strukturerat format som är allmänt använt och som den registrerade kan fortsätta använda Gäller bara om den registeransvarige har uppgifterna i detta format Nya personuppgiftsförordningen 27

Exempel på övriga nyheter Förbudet mot att hantera uppgifter om brott Avser numer endast fällande domar Gemensamma personuppgiftsansvariga Om gemensamt bestämmer ändamål och medel kan vara gemensamt ansvariga Ska avtala om vem som ansvarar/gör vad Undantag från vissa krav om uppgifterna är anonymiserade Speciella regler gällande profilering Speciella regler för barn Nya personuppgiftsförordningen 28

Försäkringsbranschen? Branschöverenskommelserna får uppdateras Avvikande lagar i Sverige kan prövas av EU-domstolen om proportionella Nya personuppgiftsförordningen 29

Sammanfattning och praktiska förändringar

Praktiska förändringar PuL blir en ledningsfråga Viktigare att följa lagen Inte bara badwill utan även större risk för böter/skadestånd samt risk att behöva radera uppgifter Ökat fokus på förebyggande åtgärder Compliance program krävs System och databaser kan bli olagliga Uppgifter måste raderas Budget för PuL-frågorna ett måste! Nya personuppgiftsförordningen 31

Hur kan vi förbereda oss? Skapa medvetande internt Kartlägg situationen idag - identifiera risker/brister och behov Frekvent behandling, t.ex. kundregister eller HR Identifiera IT-system och systemägare Känsliga personuppgifter Fördela ansvar och sätt organisation Övergripande ansvar respektive ansvar för del När lagen antagits: Genomför Compliance program Nya personuppgiftsförordningen 32

Idéer, tankar, frågor? Nya personuppgiftsförordningen 33

Agnes Andersson Hammarstrand, Partner / Advokat Telefon: +46 (0)31 10 72 19 Mobil: +46 (0)730 83 50 70 agnes.hammarstrand@delphi.se @IT_advokaten Advokatfirman Delphi Adress: Östra Hamngatan 29, 411 10 Göteborg, Sweden Telefon: + 46 (0)31 10 72 00 Fax +46 (0)31 13 94 69 www.delphi.se Juridik för e-handel