Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

Relevanta dokument
Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Nya Dataskyddsförordningen. Agnes Hammarstrand

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Ny personuppgiftsförordning Försäkringsjuridiska Föreningen. Agnes A Hammarstrand / Advokat 3 mars 2016

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Nya Dataskyddsförordningen. Agnes Hammarstrand

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

GDPR NYA DATASKYDDSFÖRORDNINGEN

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

Kerstin Wardman, 25 april 2018

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

Dataskyddsförordningen

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Dataskyddsförordningen

GDPR- Seminarium 2017

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Dataskyddsförordningen

GDPR General data protection regulation Dataskyddsförordningen

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

PuL och GDPR en översiktlig genomgång

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

EU:s dataskyddsförordning

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskyddsförordningen 2018

Dataskyddsförordningen

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

GDPR. Dataskyddsförordningen

Dataskyddsförordningen och kvalitetsregister

Dataskyddsförordningen (GDPR)

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Dataskyddsförordningen 2018

Dataskyddsförordningen GDPR

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

GDPR Presentation Agenda

Dataskyddsförordningen

Dataskyddsförordningen

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Koncernkontoret Enheten för juridik

Behandling av personuppgifter vid Göteborgs universitet

Välkomna till kurs i den nya dataskyddsförordningen

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

GDPR. Ulrika Harnesk 17 oktober 2018

Dataskyddsförordningen

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Vården och reglerna om dataskydd

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Dataskyddsförordningen i utbildningsverksamhet

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Personuppgiftsinformation för Svedala kommun

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Integritetspolicy för Judiska församlingen (JF) i Stockholm

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Dataskyddsförordningen GDPR - General Data Protection Regulation

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

EU:s nya dataskyddsförordning Lotta Wikman Öman

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Dataskyddsförordningen

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

GDPR definition och hur utbildningen berör(t)s av förordningen

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Dataskyddsförordningen - GDPR

PUL OCH DATASKYDDSFÖRORDNINGEN

PERSONUPPGIFTSLAGEN (PUL)

Den nya dataskyddsförordningen

GDPR. General Data Protection Regulation. dataskyddsförordningen

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Lathund Personuppgiftslagen (PuL)

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Policy för behandling av personuppgifter

INFORMATIONSSÄKERHET OCH DATASKYDD

Dataskyddsförordningen, GDPR

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

GDPR och annat om personlig integritet som man bör tänka på

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

GDPR UTBILDNINGSDAG SKKF

Policy för personuppgiftsbehandling

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

GDPR viktiga nyheter jämfört med PuL

Transkript:

Nya Dataskyddsförordningen Agnes Andersson Hammarstrand

Personuppgiftslagen ( PuL ) Syfte att skydda personlig integritet I praktiken få sanktioner vid brott mot lagen Många bryter idag mot lagen Nationell lag baserad på EU-direktiv Annan lagstiftning gäller före 2016-06-01 Nya dataskyddsförordningen 2

Ny EU-förordning Förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter Direkt gällande förordning som ersätter PuL och motsvarande lagar i hela EU (EES) Syfte Stärka integritetsskyddet Underlätta handel inom EU De nya reglerna gäller från och med den 25 maj 2018 2016-06-01 Nya dataskyddsförordningen 3

Förordningen i korthet Principerna bygger på nuvarande lag, men också ett stort antal nyheter Finns vissa möjligheter till avvikelser i nationell lag, men bara från vissa regler Rätten till allmänna handlingar går före Rätt att ha en arkivlag Kompletterande svensk lag utredning pågår nu Enhetlig tolkning inom EU - Europeisk dataskyddsstyrelse 2016-06-01 Nya dataskyddsförordningen 4

När gäller lagen? Brett tillämpningsområde: alla europeiska företag, myndigheter m.m. som säljer till EU ( Effektlandsprincipen ) Lagen gäller alla myndigheter, företag, kommuner, föreningar och enskilda Undantag för behandling av privatpersoner av rent privat karaktär (ej publicering på internet) Gäller all behandling av personuppgifter 2016-06-01 Nya dataskyddsförordningen 5

Vad är en personuppgift? Personuppgifter varje uppgift varigenom en fysisk person direkt eller indirekt kan identifieras Är detta en personuppgift? Agnes.hammarstrand@delphi.se 83.248.106.125 (en IP-adress) Ett bilregistreringsnummer En bild: 2016-06-01 Nya dataskyddsförordningen 6

Vad är en behandling? Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter Exempel Insamling Registrering Lagring Spridning Samkörning 2016-06-01 Nya dataskyddsförordningen 7

Sanktioner Företag kan få böter upp till det högre beloppet av 20 000 000 euro eller 4 % av koncernens globala omsättning Myndigheter och offentliga organ: Varje medlemsstat ska bestämma utredning pågår Oklart om kommuner kan få böter Träffas kommunala bolag som konkurrerar på fria marknaden av undantaget? Finns även andra sanktioner 2016-06-01 Nya dataskyddsförordningen 8

Undantag för ostrukturerat material försvinner Idag finns ett undantag för uppgifter som inte strukturerats för att påtagligt underlätta sökning Exempelvis löpande text i ordbehandlingsprogram, text eller e-mail, inlägg på sociala medier Konsekvenser? 2016-06-01 Nya dataskyddsförordningen 9

Vem ansvarar?

Personuppgiftsansvarig Den som själv eller tillsammans med andra bestämmer ändamål och medel med personuppgifter är personuppgiftsansvarig Ansvarar alltid självständigt för att lagen uppfylls Det är alltså ni som ansvarar för att t.ex. era IT-system uppfyller lagens krav (inte leverantören) Ska kunna visa att lagen följs Genomföra lämpliga organisatoriska och tekniska åtgärder för att följa lagen när lämpligt anta policies Jfr personuppgiftsombud (nu dataskyddsombud) en fysisk person 2016-06-01 Nya dataskyddsförordningen 11

Gemensamt personuppgiftsansvar Om två eller flera personuppgiftsansvariga gemensamt fastställer ändamålen med och metoderna för behandling av personuppgifter Ska gemensamt fastställa sitt respektive ansvar avseende den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla information Delge väsentliga drag i arrangemanget för registrerade Den registrerade kan utöva sina rättigheter mot var och en av de personuppgiftsansvariga 2016-06-01 Nya dataskyddsförordningen 12

Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning Finns alltid utanför den personuppgiftsansvariges organisation T.ex. en IT-leverantör om denna får tillgång till hantering av personuppgifter Utökade skyldigheter enligt nya förordningen 2016-06-01 Nya dataskyddsförordningen 13

Krav på personuppgiftsbiträdesavtal Identifiera ansvarig + biträde I vissa fall är bägge parter personuppgiftsansvariga och personuppgiftsbiträden åt varandra Utökade krav på biträden Biträdesavtal ska ha ny utformning behöver uppdateras! Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ 2016-06-01 Nya dataskyddsförordningen 14

När är behandling tillåten?

Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgifterna får bara behandlas med hänsyn till vissa särskilda, uttryckligt angivna och berättigade ändamål Inte senare behandlas på sätt som oförenligt med detta ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i relation till ändamålet Korrekthet Uppgifter ska vara korrekta, annars raderas Lagringsminimering Uppgifter får inte sparas länge tid än nödvändigt Integritet och konfidentialitet Krav på säkerhet, inkl. skydd mot obehörig förlust 2016-06-01 Nya dataskyddsförordningen 16

När är behandling tillåten? Behandlingen behöver vara tillåten enligt 1. samtycke 2. nödvändigt för att ett avtal med den registrerade ska kunna fullgöras 3. nödvändigt fullgöra rättslig förpliktelse 4. skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person 5. en arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning 6. intresseavvägning 2016-06-01 Nya dataskyddsförordningen 17

När är behandling tillåten? Behandlingen behöver vara tillåten enligt 1. samtycke 2. nödvändigt för att ett avtal med den registrerade ska kunna fullgöras 3. nödvändigt fullgöra rättslig förpliktelse 4. skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person 5. en arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning 6. intresseavvägning 2016-06-01 Nya dataskyddsförordningen 18

Intresseavvägning Den registrerades intresse mot kränkning av den personliga integriteten Personuppgiftsansvariges berättigade intresse 2016-06-01 Nya dataskyddsförordningen 19

Intresseavvägning STOPP! Den registrerades intresse mot kränkning av Intresseavvägning den personliga kan inte användas för Personuppgiftsansvariges behandling av integriteten kommuner när de fullgör sina uppgifter berättigade intresse 2016-06-01 Nya dataskyddsförordningen 20

Samtycke Frivillig, specifik, informerad, otvetydig viljeyttring Viktigt att den registrerade ges ett reellt val Kan vara muntligt eller skriftligt Begäran om skriftligt samtycke ska läggas fram på ett sätt som klart och tydligt kan särskiljas från andra frågor; vara begripligt och lättillgängligt och ha ett klart och tydligt språk. Olika samtycken för olika ändamål? Vid hänsyn om ett samtycke är frivilligt ska största hänsyn tas bl.a. till om samtycket har inkrävts även om så inte är nödvändigt för avtalet/tjänsten 2016-06-01 Nya dataskyddsförordningen 21

GDPR: Samtycke från barn (under 13-16 år) Föräldrars samtycke om barnet är under 13-16 år Gäller Informationssamhällets tjänster Metod för att kontrollera att vuxen ger samtycke online? Rimliga ansträngningar från den registeransvarige för att kontrollera att samtycke ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn till tillgänglig teknik 2016-06-01 Nya dataskyddsförordningen 22

Känsliga personuppgifter Känsliga personuppgifter Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Hälsa Biometriska och genetiska uppgifter Sexuell läggning/sexualliv Får fortfarande bara behandlas i undantagsfall Uttryckligt samtycke Nödvändig behandling för vissa syften inom arbetsrätten och angivna syften enligt nationell lag, t.ex. omsorg, socialt skydd Är behandlingen strikt nödvändig för att uppfylla vår skyldighet enligt lag? 2016-06-01 Nya dataskyddsförordningen 23

Särskilt om vissa personuppgifter Specialregeln om personuppgifter försvinner Förbjudet att hantera uppgifter om fällande domar och överträdelser (tidigare brott) 2016-06-01 Nya dataskyddsförordningen 24

Mer omfattande informationskrav Information ska lämnas självmant Information på begäran (registerutdrag) inom en månad Mer omfattande information uppdatera information till registrerade (personuppgiftspolicy) Olika krav beroende på om uppgifterna samlats in från den registrerade själv eller ej Uppdatera policys! 2016-06-01 Nya dataskyddsförordningen 25

Utökade säkerhetskrav Huvudregeln om att vidta tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå blir kvar Kan inbegripa t.ex. kryptering av personuppgifter fortlöpande kontroll av de system som behandlar uppgifterna och system för att testa effektiviteten hos åtgärder som ska säkerställa behandlingens säkerhet Att följa en uppförandekod kan användas för att visa att följer kraven Uttryckliga krav på att skydda personuppgifter från att förstöras och röjas 2016-06-01 Nya dataskyddsförordningen 26

Säkerhetskrav Tekniska åtgärder Förfarande för att kontinuerligt testa Antivirus, auktorisationskrav, behörighetsstyrning Brandväggar och krypteringsfunktioner, osv. Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott osv. Organisatoriska åtgärder Organisation och rutiner Instruktioner och Polices Säkerhetsnivå i förhållande till risk 2016-06-01 Nya dataskyddsförordningen 27

Informationskrav vid personuppgiftsincident Informera om personuppgiftsincident utan oskäligt dröjsmål Informera tillsynsmyndigheten Som huvudregel: Inom 72 timmar efter vetskap om intrånget Informera varje registrerad individ Om sannolikt leder till hög risk för enskildas rättigheter Undantag, t.ex. om system finns för att bevisa att de förlorade uppgifterna gjorts oläsbara för utomstående, t.ex. kryptering Oproportionerlig ansträngning: Istället informera allmänheten Organisationer behöver stärka sina säkerhetsåtgärder 2016-06-01 Nya dataskyddsförordningen 28

Privacy by design Inbyggd integritet Uppgiftsminimering Säkerhets- och integritetsaspekter ska tas hänsyn till redan vid planering och utveckling av IT-system De grundläggande principerna Den som är personuppgiftsansvarig ska ställa kraven = ökade krav vid IT-upphandlingar Undvika fritextfält, behörighet, standardinställningar för lagring m.m. Kommissionen får fastställa förordningar om tolkningen samt tekniska standarder 2016-06-01 Nya dataskyddsförordningen 29

Privacy by design hur? Behörighet Uppgiftsminimering Anonymisera om möjligt, undvik peka ut individer Begränsa åtkomsten till uppgifterna Hög säkerhet Möjligheter till kryptering, säkerhetskopiering och loggar, säker utplåning Funktioner för autentisering Enkel möjlighet till gallring, automatisk och enkel radering av uppgifter som inte behövs Möjliggöra utelämnande av information till registrerade Minimera fritextfält 2016-06-01 Nya dataskyddsförordningen 30

Ökat eget ansvar Den allmänna anmälningsskyldigheten försvinner i stället får kommuner större eget ansvar Skyldighet för personuppgiftsansvariga (och biträden) att föra register över behandlingen (som innan) I nya projekt som innebär behandling som sannolikt leder till hög risk för personers rättigheter och friheter: Krav att göra konsekvensbedömning Förhandssamråd med myndigheten 2016-06-01 Nya dataskyddsförordningen 31

Rätten att bli bortglömd Minimera volymen av sparade personuppgifter Krav på att radera - om ingen legitim grund för fortsatt behandling finns Radera mina uppgifter NEJ Legitima grunder för att behålla uppgifterna? JA RADERA BEHÅLL 2016-06-01 Nya dataskyddsförordningen 32

Andra exempel på nyheter Dataportabilitet Certifieringsmöjligheter Uppförandekoder Ökat fokus på att anonymisera uppgifter 2016-06-01 Nya dataskyddsförordningen 33

Förbud mot överföring utanför EU (PuL) Lagstiftningen ska inte kunna kringgås genom att flytta ut data Behöver ha koll på var data behandlas Innebär viss tjänst eller support överföring till länder som inte är tillåtna? Molntjänster? Tillåten överföring, t.ex. Överföring till land inom EU och vissa tillåtna länder Användning av modellklausuler Binding Corporate Rules Safe Harbor-anslutna företag i USA ej tillräcklig grund Privacy shield? 2016-06-01 Nya dataskyddsförordningen 34

Uppförandekoder Lagen uppmuntrar särskilt uppförandekoder Sammanslutningar kan göra förslag på uppförandekoder som ges in till tillsynsmyndigheten Ackreditering av organ som kan övervaka koder 2016-06-01 Nya dataskyddsförordningen 35

Praktiska förändringar vad göra?

Praktiska förändringar PuL blir en ledningsfråga Viktigare att följa lagen Ökat fokus på förebyggande åtgärder System och databaser kan bli olagliga Budget för PuL-frågorna ett måste! 2016-06-01 Nya dataskyddsförordningen 37

Hur kan vi förbereda oss? Skapa medvetande internt om de nya reglerna och den nya rollen Budgetera Sätt ansvar och organisation I många fall kommer det krävas en person på heltid. En ny avdelning? 2016-06-01 Nya dataskyddsförordningen 38

Hur kan vi förbereda oss? Börja tillämpa Privacy by design Ställ krav på leverantörer upphandla förändringar i system Ett projekt för att följa lagen behövs OBS! Organisatoriska OCH tekniska åtgärder 2016-06-01 Nya dataskyddsförordningen 39

Juridisk genomgång Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policys Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, policys, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder - rutiner Föra register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, osv. 2016-06-01 Nya dataskyddsförordningen 40

Agnes Hammarstrand / Partner, Advokat Telefon: 0730-83 50 70 agnes.hammarstrand@delphi.se @IT_advokaten Advokatfirman Delphi Adress: Östra Hamngatan 29, 411 10 Göteborg, Sweden Telefon: + 46 (0)31 10 72 00 Fax +46 (0)31 13 94 69 www.delphi.se 2016-06-01 Nya dataskyddsförordningen 41

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss