Välkomna till kurs i den nya dataskyddsförordningen

Relevanta dokument
Dataskyddsförordningen (GDPR)

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Vården och reglerna om dataskydd

EU:s dataskyddsförordning

GDPR- Seminarium 2017

EU:s dataskyddsförordning

Välkomna Dataskyddsförordningen med fokus på den offentliga sektorn

Disposition. Stockholm den 31 maj 2017 Lisa Johansson, Salli Fanaei, Tove Fors och Mattias Sandström

Dataskyddsförordningen, privat sektor Välkomna Dataskyddsförordningen med fokus på den privata sektorn. Datainspektionen 1.

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Dataskyddsförordningen

Riktlinjer för att tillvarata enskildas rättigheter

För att tillvarata medlemmarnas enskildas rättigheter

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Dataskyddsförordningen

Dataskyddsförordningen

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Dataskyddsförordningen

EU:s allmänna dataskyddsförordning:

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

GDPR. Dataskyddsförordningen

Dataskyddsförordningen GDPR

Instruktion för att tillvarata enskildas rättigheter

Dataskyddsförordningen GDPR - General Data Protection Regulation

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Idrottens Uppförandekod

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Personuppgiftsbehandling Dataskydd

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Koncernkontoret Enheten för juridik

GDPR. Ulrika Harnesk 17 oktober 2018

Dataskyddsförordningen och kvalitetsregister

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Regler för behandling av personuppgifter vid Högskolan Dalarna

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

GDPR- Vad är det? Frukostmöte hösten Advokatfirman VICI

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

PuL och GDPR en översiktlig genomgång

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Personuppgiftsinformation för Svedala kommun

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

GDPR Presentation Agenda

Dataskyddsförordningen

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Policy för behandling av personuppgifter

Så här behandlar V-Dala överförmyndarsamverkan dina personuppgifter

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Dataskyddsförordningen i utbildningsverksamhet

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

1. INLEDNING 2. PERSONUPPGIFTSANSVARIG 3. INSAMLING OCH ÄNDAMÅL

GDPR General data protection regulation Dataskyddsförordningen

BOOK-IT OCH GDPR Magdalena Olofsson

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

INTEGRITETSPOLICY för Webcap i Sverige AB

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

LANDAHL ADVOKATBYRÅS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Så här behandlar Hedemora Näringsliv AB dina personuppgifter

Instruktion för behandling av ostrukturerat material

Information om behandling av personuppgifter

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

GDPR NYA DATASKYDDSFÖRORDNINGEN

Behandling av personuppgifter vid Göteborgs universitet

Dataskyddspolicy för Svensk Hypotekspension AB i enlighet med dataskyddsförordningen (EU (2016/679)

Integritetsbeskrivning

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Riktlinjer för dataskydd

GDPR - Riktlinjer för hantering av personuppgifter

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Policy för behandling av personuppgifter

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

GDPR- Vad har hänt och hur ser tillämpningen ut?

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Kerstin Wardman, 25 april 2018

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Dataskyddsförordningen

Allmänna råd. Datainspektionen informerar. Nr 2/2016

MKEF ska säkerställa att personuppgifter ska:

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Integritetsmeddelande

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Transkript:

Välkomna till kurs i den nya dataskyddsförordningen Malmö den 6 oktober 2016 Eva Maria Broberg, Lisa Johansson, Jonas Agnvall och Martin Brinnen

Disposition Introduktion rätten till privatliv, dataskyddsregleringen, varför nya regler, de största nyheterna Personuppgiftslagen på två minuter Dataskyddsförordningens grunder grundläggande principer, när får du behandla personuppgifter? överföring till tredje land, registrerades rättigheter, skyldigheter för den som behandlar personuppgifter Vad händer om du bryter mot reglerna? Gränsöverskridande behandling av personuppgifter inom EU Checklista och frågor

Rätten till privatliv

Rätten till privatliv Europakonventionen om de mänskliga rättigheterna EU:s rättighetsstadga Regeringsformen Personuppgiftslagen/ kompl. regler Dataskyddsdirektivet/ Dataskyddsförordningen Annan lagstiftning

Artikel 8 Skydd av personuppgifter 1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. 2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. 3. En oberoende myndighet ska kontrollera att dessa regler efterlevs. EU:s rättighetsstadga

Varför nya regler? Modernisering nu gällande regler bygger på ett direktiv från 1995 Förstärkning av enskildas rättigheter och tydliggörande av skyldigheter för den som behandlar personuppgifter Harmonisering samma rättigheter och skyldigheter i hela EU/EES

Vad är (i princip) oförändrat? Strukturen Tillämpningsområdet Grundläggande krav Rättslig grund Känsliga personuppgifter Överföring till tredje land

Personuppgiftslagen på två minuter Behandling av personuppgifter Subsidiär Missbruksregeln för löpande text (5 a ) Undantag Grundläggande krav Tillåten behandling Känsliga personuppgifter m.m. Information till de registrerade Rättelse Säkerhet Tillsyn och skadestånd

Dataskyddsförordningens tillämpningsområde

När tillämpas förordningen? Helt eller delvis automatiserad behandling av personuppgifter som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i EU som utförs av personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade utanför EU och där dessa antingen erbjuder varor och tjänster i EU eller övervakar registrerades beteende i EU Artikel 2, skäl 15 + Artikel 3, skäl 22-25

När gäller inte förordningen? Undantag för privatpersoners behandling Uppgifter om avlidna Tryck- och yttrandefrihet Tillgången till allmänna handlingar offentlighetsprincipen Nationell säkerhet och gemensam utrikes- och säkerhetspolitik Brottsbekämpande myndigheter => polisdirektivet Artikel 2, skäl 16-21+27, Artikel 85, skäl 153, Artikel 86, skäl 154

Grundläggande principer

Navet grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Ansvarsskyldighet Artikel 5, skäl 39, Artikel 6.4, skäl 50

Laglighet, korrekthet och öppenhet Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade all information och kommunikation i samband med en personuppgiftsbehandling ska vara lättillgänglig och begriplig och ett klart och tydligt språk ska användas Artikel 5

Ändamålsbegränsning Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål Ändamålet ska dokumenteras Oförenlighetsbedömning Artikel 5

Uppgiftsminimering Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas Inte för att personuppgifterna kan vara bra att ha Artikel 5

Korrekthet Uppgifterna ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål Artikel 5

Lagringsminimering Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas Inför tidsfrister för radering eller regelbunden kontroll Artikel 5

Integritet och konfidentialitet Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder Nyhet Säkerhet för personuppgifter Artikel 5

Ansvarsskyldighet Den personuppgiftsansvarige ska ansvara för och kunna visa att de grundläggande principerna efterlevs Tydligt ansvar! Inte endast följa förordningen utan även visa att förordningen följs Artikel 5

Hur kan vi visa att vi följer förordningen? Anta interna strategier för dataskydd Dokumentation Konsekvensbedömning Öppenhetsprincipen Uppförandekoder och certifiering Artikel 24, 30, 35, 5, 40-42

När får ni behandla personuppgifter?

När får ni behandla personuppgifter? Samtycke Behandling är nödvändig för avtal rättslig förpliktelse grundläggande intressen arbetsuppgift av allmänt intresse och myndighetsutövning intresseavvägning (ej för myndigheter)

Samtycke Samtyckesframställan ska presenteras på ett klart och tydligt sätt och ni ska kunna visa att den registrerade har samtyckt Den registrerade ska informeras om rätten att återkalla ett samtycke Mycket begränsat för myndigheter att använda Om villkoret för att få tillgång till en vara och tjänst är ett samtycke till onödig behandling (utöver) kan det innebära att samtycket inte kan anses frivilligt Samtycke av barn under 16 år (13 år) kräver godkännande av vårdnadshavare för informationssamhällets tjänster Artikel 7, skäl 42-43, Artikel 8

När får ni behandla personuppgifter? Samtycke Behandling är nödvändig för avtal rättslig förpliktelse grundläggande intressen arbetsuppgift av allmänt intresse myndighetsutövning intresseavvägning (ej för myndigheter) Artikel 6, skäl 44-50

När får ni behandla känsliga personuppgifter? Principiellt förbud att behandla vissa kategorier av uppgifter två nya kategorier Undantag möjliga såsom förut (små justeringar och tillägg) uppgifter om lagöverträdelser? personnummer? Artikel 9, skäl 10 och 51, Artikel 10, Artikel 87

När får ni föra över personuppgifter till tredje land?

När får ni föra över personuppgifter till tredje land? En överföring kräver stöd i dataskyddsförordningen! Gäller även överföring till internationella organisationer Gäller även för personuppgiftsbiträdet. Ok efter beslut av Kommissionen om att landet har en adekvat skyddsnivå Andra undantag Artikel 45, skäl 103-107, Artikel 46, skäl 108-109, Artikel 47, skäl 110, Artikel 49, skäl 111

Registrerades rättigheter

Registrerades rättigheter Information och registerutdrag Rättelse och radering Begränsning av behandling Dataportabilitet Invändning mot behandling Motsätta sig automatiserad behandling Artiklarna 12-23

Information och registerutdrag Information är en väsentlig del av skyddet Den personuppgiftsansvarige har en skyldighet att ge klar och tydlig information underlätta utövande av rättigheterna Tidsfrister och kostnadsfritt Informationsskyldigheten är mer omfattande än tidigare Artikel 12, skäl 60

Skyldighet att lämna information När personuppgifter samlas in från den registrerade (art. 13) När personuppgifter samlas in från annan (art. 14) Den registrerades rätt till tillgång (registerutdrag) (art. 15) PUA:s register över behandling (art. 30.1) Personuppgiftsansvarige Ja Ja Nej Ja Dataskyddsombudet Ja Ja Nej Ja Ändamålen Ja Ja Ja Ja Rättslig grund Ja Ja Nej Nej Kategorier av personuppgifter Nej Ja Ja Ja Intresse vid intresseavvägning Ja Ja Nej Nej Mottagarna Ja Ja Ja Ja Tredjelandsöverföring m.m. Ja Ja Ja Ja Lagringstid Ja Ja Ja Ja De registrerades rättigheter Ja Ja Ja Nej Rätten att dra tillbaka ett samtycke Ja Ja Nej Nej Rätten att lämna klagomål till DPA Ja Ja Ja Nej Uppgiftsskyldighet enligt avtal eller lag Ja Nej Nej Nej Automatiserat beslutsfattande Ja Ja Ja Nej Källa varifrån uppgifterna har hämtats Nej Ja Ja Nej Säkerhetsåtgärder Nej Nej Nej Ja OBS. Tabellen är förenklad och ej fullständig. Ytterligare skyldigheter att informera finns i andra bestämmelser.

Rättelse Rätta felaktiga uppgifter Komplettera ofullständiga uppgifter Informera mottagare om rättelsen Artikel 16 och 19, skäl 65

Radering rätten att bli glömd Radera personuppgifter om den registrerade Informera, i vissa fall, andra personuppgiftsansvariga och mottagare Förutsättningar, bl.a. om uppgifter inte längre behövs för ändamålen återkallat samtycke Undantag, bl.a. Nödvändig för yttrande- och informationsfriheten Nödvändig för rättslig förpliktelse, allmänt intresse och myndighetsutövning, rättsliga anspråk Artikel 17 och 19, skäl 65-66

Begränsning av behandling Uppgifterna får endast användas i vissa särskilt angivna fall, bl.a. den registrerades samtycke På begäran av den registrerade vid begäran om rättelse eller invändning, som alternativ till radering, om den registrerade behöver uppgifterna för rättsliga anspråk Den registrerade ska underrättas när begränsningen upphör Artikel 18, skäl 66

Invända mot behandling Den registrerade har rätt att invända mot (motsätta sig) behandling av sina personuppgifter som grundas på allmänt intresse, myndighetsutövning eller intresseavvägning Den personuppgiftsansvarige måste göra en ny prövning (intresseavvägning) utifrån den registrerades situation och eventuellt upphöra med behandling Vid direkt marknadsföring måste behandling upphöra Särskilt om forskning och statistik och bevakning av rättsliga anspråk, allmänt intresse m.m. Artikel 21, skäl 69-70

Automatiserade beslut - profilering Automatiserade beslut inte tillåtna om beslut grundas enbart på automatiserad behandling (inkl. profilering) får rättslig eller liknande effekt Automatiserade beslut tillåtna i vissa fall och under vissa förutsättningar Avtal Lagstiftning Samtycke Artikel 22, skäl 71-72

Dataportabilitet Rätt att få ut och överföra egna personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format, om uppgifter har tillhandahållits av den registrerade, behandling sker med stöd av samtycke eller avtal, behandling sker automatiserat inte påverkar andra rättigheter och friheter Artikel 20, skäl 68

Skyldigheter för den som behandlar personuppgifter

Vem behandlar personuppgifter? Personuppgiftsansvariga Personuppgiftsbiträden men inte dataskyddsombud.

Skyldigheter för personuppgiftsansvariga Ansvarsskyldighet Den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att förordningen följs, och för att kunna visa att förordningen följs Artikel 24, 25, 28, 30 och 32-35

Skyldigheter för personuppgiftsansvariga, forts. Inbyggt dataskydd och dataskydd som standard Register över behandlingar Säkerhet Anmälan av personuppgiftsincidenter Konsekvensbedömningar och förhandssamråd

Skyldigheter för personuppgiftsansvariga, forts. Utse dataskyddsombud - Kvalifikationer - Uppdrag Anlita personuppgiftsbiträde?

Skyldigheter för personuppgiftsbiträden Lämna garantier för att förordningen följs Krav på biträdesavtalet Bistå den personuppgiftsansvarige Register över behandling Eget ansvar för säkerhet Anmälan av personuppgiftsincidenter till den personuppgiftsansvarige Utse dataskyddsombud Artikel 28, 30, 32 och 33

Vad händer om ni bryter mot reglerna?

Vad händer om ni bryter mot reglerna? Datainspektionen Tillsyn och föreläggande Administrativa sanktionsavgifter Den registrerade Klagomål Skadestånd Artikel 77, 78, 82, 83, 84

Gränsöverskridande behandling av personuppgifter inom EU

Gränsöverskridande behandling Vad är gränsöverskridande behandling? one-stop-shop Samarbete mellan dataskyddsmyndigheterna Europeiska dataskyddsstyrelsen (EDPB) roll och funktion Artikel 55 och 56

Checklista Skapa medvetenhet inom organisationen Är ledningen insatt? Finns det resurser för arbetet? Utse dataskyddsombud? Inventera personuppgiftsbehandlingar Vilka kategorier av personuppgifter behandlas? Känsliga personuppgifter? Uppgifter om barn? Hur samlas uppgifterna in och till vem lämnas de ut? Upprätta ett register över personuppgiftsbehandlingar Särskilda integritetsrisker ( hög risk )

Checklista (forts) Se över vilken rättslig grund för behandlingen Missbruksregeln försvinner, alternativ? Hur inhämtas samtycke? Myndigheter kan i princip inte använda samtycke eller intresseavvägning Se över vilken information som lämnas till de registrerade Uppfylls informationskraven? Lättillgänglig form samt klart och tydligt språk

Checklista (forts) Ta fram rutiner för de registrerades rättigheter Registerutdrag, rättelse, radering, begränsning, dataportabilitet, invändning Verksamhet i flera länder? Vilken dataskyddsmyndighet inom EU blir ansvarig myndighet för era personuppgiftsbehandlingar? Överförs personuppgifter till tredje land? Se över säkerheten för behandlade personuppgifter Ta fram rutiner för incidentrapportering Inbyggt dataskydd och dataskydd som standard

Checklista (forts) Det räcker inte bara att göra rätt utan ni ska kunna visa att ni gör rätt! Utarbeta interna strategier för dataskydd Följ utvecklingen Tänk på att skyddet för personuppgifter är inte bara en grundläggande rättighet utan även en fråga om de registrerades förtroende Att inte förbereda sig för dataskyddsförordningen kan bli dyrt => sanktionsavgifter

Frågor?

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss