Välkomna till Integritetsforum!

Relevanta dokument
Workshop 10. Datalagringsdirektivet det här gäller! Andreas Dahlqvist Nätsäkerhetsavdelningen - PTS. Post- och telestyrelsen

Välkomna till Integritetsforum!

Välkommen till PTS Informationsmöte om trafikdatalagring! KTH, Stockholm 26 januari 2011

DATALAGRINGSDIREKTIVET

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

SÄPO:s förlängda arm Lag om Datalagring Bredbandsbåten

Vägledning om skyldigheten att rapportera integritetsincidenter

Regeringens proposition 2011/12:146

KOMMISSIONENS FÖRORDNING (EU)

Post- och telestyrelsen, PTS. Post- och telestyrelsen

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Förändringar i nya LEK

Tillsyn efter inträffad integritetsincident i fakturasystem

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Konsekvensutredning avseende ändringar i Post- och telestyrelsens föreskrifter och allmänna råd (PTSFS 2013:3) om innehåll i avtal

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

(5)

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Regeringskansliet Faktapromemoria 2016/17:FPM64. Dataskyddsförordning för EU:s institutioner. Dokumentbeteckning. Sammanfattning.

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Utdrag ur protokoll vid sammanträde Lagring av trafikuppgifter för brottsbekämpande ändamål genomförande av direktiv 2006/24/EG

UNDERRÄTTELSE 1(8) Tele2 Sverige AB Att: Gustav Ehrner Box Kista

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Förordning (2003:396) om elektronisk kommunikation

Minnesanteckningar Integritetsforum 27 april 2018

(5) Vägledning för anmälan av anmälningspliktig verksamhet. 1. Inledning. 2. Anmälningsplikt Hur görs en anmälan?

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Konsekvensutredning avseende föreskrifter om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Välkomna! Integritetsforum torsdagen den 23 april 2015

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Dnr: (11) Nätsäkerhetsavdelningen Peder Cristvall Inledning REMISSAMMANSTÄLLNING

Rådets möte för rättsliga och inrikes frågor (RIF) den 4-5 juni 2018

Tillsyn över dokumentation av informationsbehandlingstillgångar

Beslut om ändring av telefoninummerplanen

Kommittédirektiv. Genomförande av EG:s direktiv om lagring av trafikuppgifter. Dir. 2006:49. Beslut vid regeringssammanträde den 18 maj 2006

Minnesanteckningar Integritetsforum 14 april 2016 kl. 9-12

Mötesanteckningar, Integritetsforum 17 april 2013

Emil Isberg BAKGRUND

FÖRSLAG TILL YTTRANDE

Innehåll Dnr: (5)

Exponerade fakturor på internet

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Riktlinjer för försäkringsföretags hantering av klagomål

PERSONUPPGIFTSBITRÄDESAVTAL

Svensk författningssamling

Svensk författningssamling

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Riktlinjer för tillämpningen av punkterna 6 och 7 i avsnitt C i bilaga 1 till Mifid II

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Post- och telestyrelsens författningssamling

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Anmälan om fördragsbrott av Sverige

eidas införande i Sverige Björn Scharin, PTS

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

DOM. Meddelad i Stockholm. KLAGANDE Tele2 Sverige AB, Ombud: Chefsjurist Stefan Backman Tele2 Sverige AB Box Kista

Personuppgiftsbiträdesavtal

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Tillägg om Zervants behandling av personuppgifter

Beslut om ändring av telefoninummerplanen

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Remissammanställning av inkomna svar avseende förslag till föreskrifter om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Utdrag ur protokoll vid sammanträde Bättre regler för elektroniska kommunikationer

EIOPA(BoS(13/164 SV. Riktlinjer för försäkringsförmedlares hantering av klagomål

Kommittédirektiv. Nya regler om åtgärder mot penningtvätt och finansiering av terrorism. Dir. 2014:140

(9) Minnesanteckningar Kategorisering av dirigeringsprefix vid nummerportabilitet (NP)

Konsumentklagomål på telefoni och bredband. Kvartalsrapport april - juni 2016

(Text av betydelse för EES)

TILL ORDFORANDEN OCH LEDAMÖTERNA AV EUROPEISKA UNIONENS DOMSTOL SKRIFTLIGA SYNPUNKTER

PERSONUPPGIFTSBITRÄDESAVTAL

Integritetsforum. Trafikdatalagring (Data Retention) 26 augusti 2009

Klicka här för att ändra

Underrattelse om nationella atgarder for att uppfylla Sveriges forpliktelser i Europeiska unionen

(5) Anna Rappe Mötesanteckningar Integritetsforum, 18 mars 2010

Ju2014/3010/P

Information om dataskyddsförordningen

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Riktlinjer. Regler och förfaranden vid obestånd för deltagare i värdepapperscentraler 08/06/2017 ESMA SV

Informationssäkerhet för samhällsviktiga och digitala tjänster

Svensk författningssamling

Post- och telestyrelsens författningssamling

Personuppgiftsbiträdesavtal

Omfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter.

Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter


Hur står det till med den personliga integriteten? (SOU 2016:41)

TELIAS INTEGRITETSPOLICY FÖR OPERATÖRSFÖRSÄLJNING M.M.

Svensk författningssamling

Transkript:

Välkomna till Integritetsforum! 7 november 2012 Post- och telestyrelsen

Agenda 1. Inledning 2. Hantering av kunder med skyddade uppgifter. 3. Trafikdatalagring. 4. Rapportering av integritetsincidenter. 5. Nya föreskrifter om tekniska och organisatoriska åtgärder för att skydda behandlade uppgifter. 6. Uppföljning av frågor från tidigare möten. 7. Anmälda frågor 8. Information från PTS om några aktuella frågor. 9. PTS planerade arbete inom integritetsområdet under 2013. 10. Övriga frågor 2

Hantering av kunder med skyddade uppgifter Klas Nilsson och Ola Schneider, Skatteverket 3

Trafikdatalagring Joakim Strålmark Post- och telestyrelsen

5

Agenda Bakgrund och översikt Produktkarta Erfarenheter från ett halvår med lagen Status för PTS arbete med föreskrifter Säkerhets-PTSFS PTSFS 2012:4 Vad händer med Ersättnings-PTSFS? Övrigt 6

Post- och telestyrelsen Bakgrund och översikt

Trafikdatalagring fram till idag Februari 2011 C-185/09 Pågående C-270/11 April 2004 Initiative of the French Republic, Ireland, the Kingdom of Sweden and the United Kingdom Mars 2006 Directive on Data Retention 2006/24/EC November 2007 Swedish Government Official Reports on Data Retention SOU 2007:76 December 2010 Bill on Data Retention Act in force 1/7 2011 Januari/ Februari 2011 Information meeting (26/1) PTS report PTS at the Committee on the Constitution Mars 2011 The Swedish Parliament postpone decision for the Act until 11/3 2012 Mars 2012 The Swedish Parliament approve the Act Act in force 1/5 2012 April 2012 The Governemnet publish the Act and the ordinance 3/4 2012 Act and ordinance in force 1/5 2012 Maj 2012 Bill The Swedish Parliament approval of the ordinance aspects of data protection and data security

Lagring av trafikuppgifter m.m. Anmälningspliktiga tjänsteleverantörer (CSP) (= lagringsskyldiga) Brottsbekämpande myndigheter (LEA) (utlämning bara till svenska LEA) m.fl. Begäran Telefonitjänst HI-A Issuing Authority Meddelandehantering Data store (6 månader) HI-B RDHI Receiving Authority Utlämning Internetåtkomst Kapacitet / Anslutningsform Prop. 2010/11:46 nya regler i LEK bl.a. 6 månaders lagring från 1/5 2012 Prop. 2011/12:55 flytta vissa regler till t.ex. RB och ändra kriterier för utlämning - från 1/7 2012

Vad är trafikdatalagring Detta ska lagras Uppgifter skall lagras som kan svara på frågan Vem som kommunicerade med vem, När kommunikationen skedde, Var de som kommunicerade befann sig, Vilken typ av kommunikation som användes Mer exakt vilka uppgifter det handlar om skall meddelas av regeringen i förordning Detta ska inte lagras Kommunikationens innehåll Besök på t.ex. webbsidor ( surfning ) och besök på chattsidor, samt Skype och Viber el. liknande tjänster. 10

Uppgifter som ska lagras Vilka uppgifter som ska lagras har preciserats i förordning (2003:396) om elektronisk kommunikation. Skyldighet att, för brottsbekämpande myndigheters behov, lagra uppgifter som behandlas eller uppkommer i samband med tillhandahållandet av kommunikationstjänster inom följande kategorier Telefoni (traditionell, mobil, IP) med telefonnummer Meddelandehantering (t.ex. SMS, e-post) Internetåtkomst (internettjänst) Anslutningsform (internetanslutning) Lagringsskyldigheten gäller endast de uppgifter som genereras eller behandlas i den egna verksamheten Ingen skyldighet att skaffa sig alla uppgifter som ska lagras

Produktkarta Post- och telestyrelsen

Trafikdatalagring produktkarta Uppgifts-SFS Vilka uppgifter som ska lagras hos de lagringsskyldiga Förordning utfärdas av Vägledning utfärdas av Ersättnings-PTSFS Ersättning till lagringsskyldiga vid utlämnande av trafikdata till LEA Säkerhets-PTSFS Tekniska och organisatoriska åtgärder för skydd vid behandling av lagrade uppgifter Föreskrifter utfärdas av Undantagsregler Process för hantering av undantag från lagringsskyldigheten Undantag från lagringsskyldighet Vägledning utfärdas av Tillsynsverksamhet Inter process för att bedriva effektiv tillsyn för olika moment runt trafikdatalagring Gränssnitt CSP LEA För överlämning av lagrade uppgifter från CSP till LEA Gränssnittsspec tas fram av CSP och Gränssnittsspec utfärdas av

Erfarenheter från ett halvår med lagen 14

Erfarenheter PTS uppfattar att vissa anpassningar fortfarande pågår på båda sidor (CSP o. LEA) Undantag från lagringsskyldighet Ingen aktör har ännu sökt om undantag Frågor om anmälningsplikten och förhållandet till lagringsskyldigheten m.m. Svartfiberaktör /stadsnät Allmänt vs. slutet/privat nät vid internetåtkomst Anonymiseringstjänster NAT Utan dröjsmål 6 kap. 16 f LEK 15

Status för PTS arbete med föreskrifter Post- och telestyrelsen

Säkerhets-PTSFS PTSFS 2012:4 17

Regleringsstruktur 2006/24/EG Datalagringsdirektivet Artikel 7 LEK 6 kap. 3 a Lag ISO-standarder/ ETSI-specifikationer har gett vägledning FEK 37 Förordning Föreskrifter och Allmänt råd PTSFS 2012:4 ISO - International Organization for Standardization ETSI - European Telecommunications Standards Institute SS-ISO 27000-serien Informationssäkerhet TR 102 661 Säkerhetsramverk RD

Regeringens förordning (FEK) Säkerställa att de lagrade uppgifterna är av samma kvalitet och föremål för samma säkerhet och skydd som uppgifterna har haft vid den behandling som skett före lagringen Den lagringsskyldige ska vidta de åtgärder som krävs för att skydda uppgifterna: Mot oavsiktlig eller otillåten förstöring Oavsiktlig förlust eller ändring Förhindra otillåten lagring, behandling av eller tillgång till och otillåtet avslöjande av uppgifterna Uppgifterna får göras tillgängliga endast för personal med särskild behörighet 19

Utgångspunkter för föreskrifterna Kraven i föreskrifterna är inriktade mot att skydda informationen snarare än var den lagras Flertalet uppgifter finns i näten lagrade för andra ändamål. De mest skyddsvärda uppgifterna är de uppgifter som efterfrågas av brottsbekämpande myndigheter Kraven på skyddsåtgärder gäller oavsett om den lagringsskyldige lagrar Egen regi: väljer att genomföra lagringen genom logisk separation i befintliga system, fysisk separerad lagring, eller en kombination av dessa Lagring hos tredje part 20

Skydd Särskilda skyddsåtgärder för lagrade uppgifter Skyddsåtgärder i enlighet med 6 kap 3 a LEK, 37 FEK och PTS föreskrifter och allmänna råd (PTSFS 2012:4) Skyddsåtgärder i enlighet med 6 kap 3 LEK Omfattning 21

Hur ska uppgifterna lagras Lämpliga tekniska och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna. PTS föreskrifter och allmänna råd ställer krav på - kontinuerligt och systematiskt säkerhetsarbete, - regelbunden uppföljning, - endast personal med särskild behörighet som har tillgång till uppgifter och system, - utrustning ska placeras i utrymme med skydd mot elavbrott, obehörigt tillträde, brand och översvämning, - behandlingshistorik (loggning), och - säkerhetskopiering 22

Vad händer med Ersättnings-PTSFS? 23

Ersättningsföreskrifterna Utifrån inkomna remissvar har PTS beslutat att omarbeta föreskrifterna och konsekvensutredningen, för att sedan gå ut på ny remiss Remissvaren från Säpo och RPS har legat bakom denna kursändring Kompletterande remissvar ska inkomma från dessa aktörer Troligt datum för styrelsebeslut: någon gång under 2013? 24

Övergripande tidplan - PTS arbete med trafikdatalagring 2011 2012 2013 Beslut och milstolpar EU-kommissionens utvärdering om direktivet 2006/24/EG. Publicerad 18 april 2011 Beslut fattat av riksdagen 21/3 2012. Riksdagen måste också pröva regeringens förordning innan den träder i kraft. Lagen träder i kraft 1 maj 2012 Förordning beslutad 22/3 tryckt 3/4 PTSFS beslutad av PTS styrelse 24/10 2012 PTSFS kan beslutas av PTS styrelse xx/xx 2013 Säkerhets-PTSFS Beredning. Pågår t.o.m. 15 marsl Juridisk slutgranskning Intern beredning på PTS Remiss 1 RPS/DI PTSFS 2012:4 - från 1/12 Remiss 2 15/6 24/8 - publicerad 1/12 PTS föreskrifter om trafikdatalagring samt uppgifter kopplade till lagstiftning Ersättning-PTSFS - Beredning. Pågår t.o.m. 15 mars Stöd till RK:s arbete med förordning Juridisk slutgranskning Uppgifts-Vägledning över vilka uppgifter som ska lagras enligt regeringens förordning Pågår till lagen träder ikraft (1/5) publicerad 23/5 Intern beredning på PTS Remiss 1 RPS/Tullverket Ersättnings-PTSFS Slutberedningsfas (28 v.) Remiss 2 15/6 24/8 Remiss 3? Undantagsprocess - Vägledning på Utsikten Pågår från 1/11 till lagen träder i kraft (1/5) publicerad 30/4 Samverkan och branscharbetsgrupper Gränssnittspecifikation IT- och telekomföretagen (1 april-15 april) ITS AG15 (15/4 1/8) publicerad 1/8

Övrigt Post- och telestyrelsen

Övrigt IT&Telekomföretagen kommer att driva nya grupper: som ska mappa ITS 27 mot FEK mappningen kommer att utgöra en implementors guide till ITS 27 se över säkerhetskrav på överföring av trafikuppgifter i gränssnittet Datalagringsdirektivet 2.0 - inget nytt från EU om reviderat direktiv 27

28

Rapportering av integritetsincidenter. Erfarenheter från ett drygt halvår med PTS föreskrifter. (Karin Malmberg) PTS e-tjänst för incidentrapportering. (Erika Hersaeus) EU-kommissionens förslag till förordning om incidentrapportering. (Andreas Dahlqvist) 29

Tekniska genomförandeåtgärder Artikel 4(5) direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation För att säkerställa ett konsekvent genomförande av de åtgärder som avses i punkterna 2, 3 och 4 får kommissionen, efter samråd med den europeiska byrån för nät- och informationssäkerhet (Enisa), den arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättats genom artikel 29 i direktiv 95/46/EG samt Europeiska datatillsynsmannen, anta tekniska genomförandeåtgärder avseende omständigheter, format och förfaranden som kan tillämpas för de informations- och anmälningskrav som avses i denna artikel. När den antar sådana åtgärder ska kommissionen engagera alla relevanta berörda parter, framför allt för att få information om bästa tillgängliga tekniska och ekonomiska medel för genomförandet av denna artikel. 30

Syfte kommissionen vill ena sättet som integritetsincidenter rapporteras till respektive nationell myndighet bland annat för att underlätta procedurer och minska administrativa kostnader för operatörer som agerar i flera medlemsstater. 31

Huvuddragen i förslaget Rapporteringsskyldighet Integritetsincidenter ska rapporteras till nationella myndigheter inom 24 timmar från att incidenten upptäckts. Om man inte kan lämna fullständig information inom 24 timmar ska en inledande rapport skickas inom 24 timmar och därefter ska en kompletterande rapport skickas till myndigheten inom tre dagar från den inledande rapporten. Om man fortfarande inte kan lämna all information inom denna tid ska operatören lämna en förklaring till detta samt lämna ytterligare kompletterande information så snart som möjligt. 32

Huvuddragen i förslaget Underrättelseskyldighet Operatörer ska också vara skyldiga att underrätta abonnenter eller individer om det är troligt att incidenten kan antas inverka menligt på en abonnents eller en enskild persons personuppgifter eller integritet. Exempel på uppgifter/omständigheter som inverkar menligt Finansiell information Lokalisationsuppgifter Internetloggar Browsinghistorik Samtalslistor Om uppgifterna kan leda till identitetsstöld, bedrägeri, fysisk skada, psykisk oro, förnedring eller skada på någons anseende 33

Underrättelseskyldighet Om uppgifterna stulits och operatören vet att uppgifterna finns hos en oauktoriserad tredje part. Underrättelsen till abonnenten eller den enskilda ska ske så snart som möjligt efter det att integritetsincidenten upptäckts dock senast inom fyra dagar. Underrättelsen ska skrivas på ett enkelt och lättförståeligt språk och operatörerna får inte använda underrättelsen som reklamtillfälle eller för marknadsföring. Om operatören inte kan identifiera de drabbade abonnenterna eller individerna inom den föreskrivna tiden får operatören notifiera dessa genom annonser i nationell eller regional media inom den aktuella tidsramen. 34

Huvuddragen i förslaget Notifikation till abonnent eller individer behövs inte om operatören har implementerat tekniska skyddsåtgärder som applicerats på de uppgifter som omfattas av incidenten. 35

36

Nya föreskrifter Tekniska och organisatoriska åtgärder för att skydda behandlade uppgifter (6 kap. 3 ) 37

Uppföljning av frågor från tidigare möten Råd om säkerhet i smarta telefoner. 38

Anmälda frågor Telenor: Skatteverkets tredjemansrevision, begäran om uppgifter. Radiotjänst i Kiruna, begäran om uppgifter. Spårningstjänster, åsidosättande av nummerpresentation. Telia: Nytt nätverk som startats under Dataföreningen. 39

Information från PTS om några aktuella frågor. PTS arbete med reglerna om webbkakor. Pågående regeringsuppdrag om att redovisa effekterna av den nya regleringen. Utökad samverkan med andra myndigheter inom EU. Förtydligande av bestämmelsens praktiska tillämpning. EU-kommissionens förslag till förordning om tillitstjänster. Ska ersätta det nuvarande direktivet om kvalificerade elektroniska signaturer. Utökat tillämpningsområde: e-identifiering, tidsstämpling, stämplar m.m. 40

PTS planerade arbete inom integritetsområdet under 2013. Trafikdatalagring: Slutföra föreskriftsarbetet. Ev. granskning av hur uppgifter gallras. Incidentrapportering: Fortsatt arbete för att säkerställa korrekt rapportering. Föreskrifter om åtgärder för skydd av uppgifter. Information och ev. granskning av samtycke i abonnemangsavtal. Fortsatt arbete med kak-regeln. Fortsatt arbete med den nya förordningen om tillitstjänster. 41

Övriga frågor 42

Nästa möte Förslag: 10 april kl 9-12? 43

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss