Den nya dataskyddsförordningen - GDPR

Relevanta dokument
GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

GDPR. Dataskyddsförordningen 27 april Emil Lechner

GDPR UTBILDNINGSDAG SKKF

PuL och GDPR en översiktlig genomgång

GDPR ur verksamhetsperspektiv

Dataskyddsförordningen

Information om dataskyddsförordningen

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Behandling av personuppgifter vid Göteborgs universitet

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

GDPR General data protection regulation Dataskyddsförordningen

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

EU:s dataskyddsförordning

Policy för behandling av personuppgifter

Så behandlar vi dina personuppgifter

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Översikt av GDPR och förberedelser inför 25/5-2018

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

STOCKHOLMS FOTBOLLFÖRBUND

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

GDPR och hantering av personuppgifter

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

GDPR NYA DATASKYDDSFÖRORDNINGEN

Så behandlar vi dina personuppgifter

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Vad står förkortningen GDPR för? GDPR är en förkortning för General Data Protection Regulation.

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Kerstin Wardman, 25 april 2018

Riktlinjer för dataskydd

Samspelets behandling av personuppgifter

Dataskyddsförordningen (GDPR)

SVERAK och Dataskyddsförordningen. 25 maj - GDPR - General Data Protection Regulation

DSF (GDPR) Ny lag om personuppgifter

Policy för personuppgiftshantering, antagen

Integritetspolicy Torget Getupdated AB / Getupdated Sverige AB

Policy för personuppgiftshantering

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

En guide om GDPR och vad du behöver tänka på

GDPR. General Data Protection Regulation

Säkerhetspolicy rev. 0.1

Dataskyddsförordningen GDPR

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

SÅ FÖRBEREDER NI ER INFÖR DATASKYDDSLAGEN (GDPR)

Lindesbergs kommuns arbete med dataskyddsförordningen

Ett eller flera dataskyddsombud?

GDPR- Seminarium 2017

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

GDPR Presentation Agenda

Integritetspolicy Dataskyddsförordningen

GDPR. Dataskyddsförordningen

Information om behandling av personuppgifter

Integritetspolicy Upplev Norrköping

Nice to have - need to have

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

Dataskyddsförordningen

Dataskyddsombud för arbetsmarknadsnämnden - arbetsmarknadsförvaltningen

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Axholmen:s Integritetspolicy

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Personuppgiftslagen konsekvenser för mitt företag

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

8. Vad innebär den nya dataskyddsförordningen för er? Kunskapsdagen Malmö 21 november 2017

36. GDPR-sex månader kvar november 2017

Integritetspolicy Rinkaby Rör

FÖRBEREDELSER INFÖR GDPR

Öfn 127 Redovisning av statistik från kansliet

Dataskyddspolicy för Rotsunda Utbildning AB

När systemen inte får stanna

WHITE PAPER. Dataskyddsförordningen

Information till förtroendevalda i Journalistförbundet om Dataskyddsförordningen (GDPR)

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

INTEGRITETSPOLICY FÖR REVISIONSTJÄNST FALKENBERG AB

Vi värnar om din integritet

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Dataskyddsförordningen 2018

Den nya Dataskyddsförordningen

POLICYDOKUMENT GDPR. Fortinova AB Fortinova Fastigheter AB (publ) Policydokumentet inbegriper ovanstående bolags dotterbolag

Dataskyddsförordningen 2018

Allmänna råd. Datainspektionen informerar. Nr 2/2016

Olingo Consulting & Advokatfirman Vinge

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

Integritetspolicy Ålsta folkhögskola. Senast reviderad

Lathund. IT-säkerhet, GDPR och NIS. Version 3.0

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Transkript:

Den nya dataskyddsförordningen - GDPR Hur klarar din organisation den? 2016-11-01

1. Sammanfattning Den 25 maj 2018 kommer Personuppgiftslagen (PUL) att ersättas av EU Allmän Dataskyddsförordning eller General Data Protection Regulation (GDPR). Den nya förordningen omfattar framförallt ett stärkt skydd för den registrerade och utökat ansvar för de som registrerar eller behandlar personuppgifter. Dessutom kan det innebära dryga böter att inte följa förordningen. Skälet för införande är att samordna lagstiftning för personuppgifter mellan länderna i EU och att modernisera det tidigare mer än 20 år gamla direktivet. Har din organisation full kontroll hur personuppgift hanteras? Om redan system och processer som hanterar personuppgifter följer PUL så är förändringarna inte så stora. Men följer din organisation PUL fullt ut idag? Sannolikt bör din organisation snarast kontrollera hur personuppgifter hanteras idag och lägga upp en handlingsplan om vilka system och processer som behöver anpassas. 4 viktiga punkter att tänka på: 1. Ta reda på var personuppgifter finns lagrade, både strukturerade och ostrukturerade 2. Se till att berörda personer ska ges enkel tillgång till sina egna uppgifter 3. Se till att berörda personer kan få sina uppgifter borttagna 4. Se till att samtycke finns för att samla in en persons uppgifter Den nya dataskyddsförordningen GDPRGDPR_WP_1.2.docx 2

Innehållsförteckning 1. Sammanfattning... 2 2. Referenser... 3 3. Bakgrund... 4 4. Vad behöver göras?... 5 5. Punkter att kontrollera... 6 5.1 Källsystem... 6 5.2 Personuppgifter... 6 5.3 Andra lagar och standarder... 6 5.4 Utbildning och ansvar... 7 5.5 Underleverantörer... 7 5.6 Information till datainspektionen... 7 6. Förslag på Projektplan... 8... 8 2. Referenser [1] Datainspektionen http://www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform/ [2] Allmän Dataskyddsförordning http://eur-lex.europa.eu/legal-content/sv/txt/html/?uri=oj:l:2016:119:full&from=sv [3] EU General Data Protection Regulation (GDPR) http://eur-lex.europa.eu/legal-content/en/txt/html/?uri=oj:l:2016:119:full&from=sv Den nya dataskyddsförordningen GDPRGDPR_WP_1.2.docx 3

3. Bakgrund I april 2016 fattade EU beslut om den nya dataskyddsförordningen, General Data Protection Regulation, GDPR, som börjar gälla från 25 maj 2018. I Sverige kommer GDPR eller Allmän Dataskyddsförordning att ersätta Personuppgiftslagen, PUL. Nuvarande svenska regelverk PUL bygger på EUs dataskyddsdirektiv från 1995. Skälet för införande är att samordna lagstiftning för personuppgifter mellan länderna i EU och att modernisera det tidigare mer än 20 år gamla direktivet. Tillsynsmyndighet i Sverige är Datainspektionen, som genom sin tillsynsverksamhet ska bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet. I och med GDPR får tillsynsmyndigheten större ansvar genom mandat att granska efterlevnad, besluta om sanktioner och samordning mellan medlemsstater. Både Allmän Dataskyddsförordning (GDPR) och PUL handlar om skydd av personuppgifter. Datainspektionen definierar personuppgift som All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Notera att personuppgifter kan vara både strukturerad i olika IT-system, men även ostrukturerade som i medarbetares datorer i Word, Excel, e-mail och chattar. Vad är skillnaden mellan Allmän Dataskyddsförordning (GDPR) och PUL? Den nya förordningen omfattar framförallt ett stärkt skydd för den registrerade och utökat ansvar för de som registrerar eller behandlar personuppgifter. De största skillnaderna är: Berörda personer ska ges enkel tillgång till sina egna uppgifter Tydligare krav på samtycke för att samla in en persons uppgifter Berörda personer kan få sina uppgifter flyttade från en organisation till en annan Berörda personer kan få sina uppgifter borttagna Organisationer som drabbats av en incident måste anmäla detta inom 72 timmar från det att dataintrånget upptäcks Att inte följa kraven i lagen kan innebära dryga böter på upp till 20 miljoner eller 4% av den globala omsättningen. Det gamla direktivet PUL hade i jämförelse få och små böter. Den nya dataskyddsförordningen GDPRGDPR_WP_1.2.docx 4

4. Vad behöver göras? Med tanke på förändringarna bör din organisation säkerställa att direktivet följs senast från den 25 maj 2018. Olika organisationer startar från olika utgångspunkt. Om redan system och processer som hanterar personuppgifter följer PUL så är förändringarna inte så stora. Men följer din organisation PUL fullt ut idag? Sannolikt bör Din organisation snarast kontrollera hur personuppgifter hanteras idag och lägga upp en handlingsplan om vilka system och processer som behöver anpassas. Men om det är oklart i organisationen hur väl direktivet följs, så krävs snabbt agerande eftersom tidsfristen är kort. Ett tydligt sätt att genomföra förändringen är att utse ett projekt, som rapporterar till styrgrupp med medlemmar från ledningsgruppen. I förstudien kan utredas vilka förändringar av personuppgifter som krävs och resultera i en plan för införande. 4 viktiga punkter att tänka på: 1. Ta reda på var personuppgifter finns lagrade, både strukturerade och ostrukturerade 2. Se till att berörda personer ska ges enkel tillgång till sina egna uppgifter 3. Se till att berörda personer kan få sina uppgifter borttagna 4. Se till att samtycke finns för att samla in en persons uppgifter I nästa kapitel är en lista på punkter som kan vara relevanta att kontrollera. Den nya dataskyddsförordningen GDPRGDPR_WP_1.2.docx 5

5. Punkter att kontrollera 5.1 Källsystem Upprätta eller kontrollera befintlig förteckning på register som innehåller personuppgifter. Om ett register behöver ta hänsyn till nya direktivet eller inte är helt avhängt huruvida registret kommer att lagra personuppgifter eller inte. Om registret hämtar personuppgifter från andra system, så behöver man inte alltid ta hänsyn till nya direktivet för detta register. Gör risk- och konsekvensanalys för de register som innehåller känsliga uppgifter. 5.2 Personuppgifter För ett register som lagrar personuppgift ska bland annat följande vara uppfyllt: Det ska inte finnas mer personuppgifter än nödvändigt. Samtycke ska inhämtas. Den registrerade har rätt till portabilitet. Det ska finnas en tydlig beskrivning av ändamålet med systemet. Det ska gå att ta ut all information som går att koppla till en enskild individ och denna information ska vara lättförståelig för mottagaren. Det ska även gå att radera denna information om användaren så begär. Behörighetensnivåerna ska vara konfigurerbara, så att bara de som verkligen får se information, är de som kan se information. Kryptering eller pseudonymisering av personuppgifter För öppna nät måste överföringen ske krypterat Personuppgifter ska, om inte skäl finns (t.ex. bokföringslagen), raderas efter 2 år. 5.3 Andra lagar och standarder Kontrollera om organisationen följer andra lagar eller standarder som reglerar hantering av personuppgift. Ett par exempel på standarder: PCI DSS (Payment Card Industry Data Security Standard) - mogen säkerhetsstandard som uppfyller krav i GDPR. ISO 27000-serien. ISO 27001 - icketeknisk, fokuserar på att utvärdera och hantera risker för informationssäkerhet i ständig förbättring. En organisation som uppfyller ISO 27001 uppfyller en del krav, men inte alla krav i GDPR. Den nya dataskyddsförordningen GDPRGDPR_WP_1.2.docx 6

5.4 Utbildning och ansvar Utse informationsansvariga för personuppgifter, om inte redan utsett. Utse eventuellt ett dataskyddsombud. Datainspektionen har utbildningar. Planera för utbildning av all personal som hanterar personuppgifter. 5.5 Underleverantörer Med den nya lagen finns även ett långtgående ansvar för underleverantörer som måste följa reglerna på ett likartat sätt. Beakta skadestånds- och ansvarsåtaganden när avtal tecknas eller förnyas med outsourcingpartners och molntjänstleverantörer. 5.6 Information till datainspektionen Vid integritetsbrott ska tillsynsmyndigheten och den registrerade informeras inom 72 timmar. Den nya dataskyddsförordningen GDPRGDPR_WP_1.2.docx 7

6. Förslag på Projektplan Den nya dataskyddsförordningen GDPRGDPR_WP_1.2.docx 8