Välkomna till Datainspektionen Grundkurs i personuppgiftslagen Grundkurs för personuppgiftsombud Ulrika Bergström, Jonas Agnvall, Agneta Runmarker och Ranja Bunni 15-16 mars 2016 Grundkurs i personuppgiftslagen
Kursupplägget Idag (alla) Kort om Datainspektionen Genomgång av personuppgiftslagen (PuL) Översiktlig genomgång av den kommande EUförordningen Imorgon (bara personuppgiftsombud) Grupparbete Genomgång av personuppgiftsombudets arbetsuppgifter Diskussion Diskussion och summering Grundkurs i personuppgiftslagen
Datainspektionens verksamhet Ärendehandläggning Klagomål, förfrågningar, samråd Tillsynsverksamhet Upplysningstjänst Besvarar frågor per mail och telefon Utbildningsverksamhet Föreläsningar, kurser och konferenser Övrigt Personuppgiftsombud Regelgivning Remisser Internationellt arbete Grundkurs i personuppgiftslagen
Personuppgiftslagen Grundkurs i personuppgiftslagen
Personuppgiftslagen Ska skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter Innehåller två regelverk Hanteringsreglerna Missbruksregeln Grundkurs i personuppgiftslagen
Personuppgiftslagen är subsidiär Konkurrerande bestämmelser i annan lag eller förordning tar över personuppgiftslagen Registerförfattningar Grundkurs i personuppgiftslagen 2 PuL
Några viktiga definitioner Personuppgift All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet Grundkurs i personuppgiftslagen 3 PuL
Några viktiga definitioner Behandling Varje åtgärd som vidtas i fråga om personuppgifter Grundkurs i personuppgiftslagen 3 PuL
Några viktiga definitioner Personuppgiftsansvarig Den som bestämmer ändamålen med och medlen för behandlingen av personuppgifter Grundkurs i personuppgiftslagen 3 PuL
Några viktiga definitioner Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning Biträdesavtal Ansvaret vilar alltid på den personuppgiftsansvarige! Grundkurs i personuppgiftslagen 3 PuL
Några viktiga definitioner Personuppgiftsombud Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt Grundkurs i personuppgiftslagen 3 PuL
När gäller personuppgiftslagen? När den personuppgiftsansvarige är etablerad i Sverige, eller etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige Grundkurs i personuppgiftslagen 4 PuL
När gäller personuppgiftslagen? Automatiserad behandling Manuell behandling i vissa fall Grundkurs i personuppgiftslagen 5 PuL
Grundkurs i personuppgiftslagen
Personuppgiftslagen Parallella regelverk Hanteringsreglerna Fokus på hanteringen Strukturerat material Påtaglig personuppgiftsanknuten struktur Typiskt sett register, ärendehanteringssystem, personalregister, kundhanteringssystem, etc. Missbruksregeln Fokus på missbruket Ostrukturerat material Inte påtaglig personuppgiftsanknuten struktur Typiskt sett vardaglig hantering av personuppgifter; löpande text, bild- och ljudupptagningar Grundkurs i personuppgiftslagen
Missbruksregeln utgångspunkt Tillåtet att behandla personuppgifter så länge det inte innebär en kränkning av den registrerades personliga integritet Grundkurs i personuppgiftslagen Missbruksregeln 5 a 2 st PuL
Missbruksregeln kränkningsbedömning Kränkningsbedömning Ingen schablonmässig bedömning Bland annat följande ska beaktas * : vilken typ av personuppgifter sammanhang syfte spridning konsekvenser * Hanteringsreglerna kan vägleda, fungera som ledstång (prop. 2005/06:173, s. 27) Grundkurs i personuppgiftslagen Missbruksregeln 5 a 2 st PuL
Missbruksregeln kränkande? Vad kan anses som kränkande? Förfölja och skandalisera Sprida uppgifter om meningsmotsättningar Samla stora mängder uppgifter om en person utan godtagbart ändamål Medvetet behandla felaktiga eller missvisande uppgifter Grundkurs i personuppgiftslagen Missbruksregeln 5 a 2 st PuL
Missbruksregeln kränkande? Forts. Vad kan anses som kränkande? Förtal och förolämpning Spridning av personuppgifter som innebär att man bryter mot tystnadsplikt Kringgå personuppgiftslagens hanteringsregler Grundkurs i personuppgiftslagen Missbruksregeln 5 a 2 st PuL
Grundkurs i personuppgiftslagen
Grundläggande krav 1. Behandlingen Laglig Korrekt och i enlighet med god sed Grundkurs i personuppgiftslagen Hanteringsreglerna 9 PuL
Grundläggande krav 2. Ändamålen Särskilda, uttryckligt angivna och berättigade Ej behandla för oförenliga ändamål Grundkurs i personuppgiftslagen Hanteringsreglerna 9 PuL
Grundläggande krav 3. Uppgifterna Adekvata, relevanta, riktiga och aktuella Inte fler än nödvändigt Får ej bevaras längre än nödvändigt Grundkurs i personuppgiftslagen Hanteringsreglerna 9 PuL
Missbruksregeln grundläggande krav Hanteringsreglerna 1. Laglig och korrekt behandling 2. Särskilda och berättigade ändamål 3. Riktiga, aktuella och inte fler uppgifter än nödvändigt Missbruksregeln Vägledning: Om en behandling uppfyller de grundläggande kraven i 9 PuL kan den inte anses kränkande enligt missbruksregeln Kom ihåg: Hanteringsreglerna kan vägleda, fungera som ledstång Grundkurs i personuppgiftslagen
Grundkurs i personuppgiftslagen
Tillåten behandling 1. Samtycke Vad är ett samtycke enligt personuppgiftslagen? Frivilligt Särskilt Otvetydigt Individuellt Informerat Skriftligt, muntligt eller konkludent handlade Kan återkallas Grundkurs i personuppgiftslagen Hanteringsreglerna 10 PuL
Tillåten behandling 2. Om behandlingen är nödvändig på grund av: Avtal med den registrerade Rättslig skyldighet Skydda vitala intressen för den registrerade Arbetsuppgift av allmänt intresse Myndighetsutövning Berättigat intresse efter en intresseavvägning Grundkurs i personuppgiftslagen Hanteringsreglerna 10 PuL
Missbruksregeln tillåten behandling Hanteringsreglerna 1. samtycke, eller 2. om behandlingen är nödvändig för någon av punkterna a-f Missbruksregeln Vägledning: Om en behandling är tillåten enligt 10 PuL kan den inte anses kränkande enligt missbruksregeln. Kom ihåg: Hanteringsreglerna kan vägleda, fungera som ledstång Grundkurs i personuppgiftslagen
Grundkurs i personuppgiftslagen
Känsliga personuppgifter Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Hälsa och sexualliv Som huvudregel är det förbjudet att behandla känsliga personuppgifter, men Grundkurs i personuppgiftslagen Hanteringsreglerna 13 PuL
undantag finns i hanteringsreglerna Uttryckligt samtycke Eget offentliggörande Nödvändig behandling Ideella organisationer Hälso- och sjukvård Forskning Statistik Grundkurs i personuppgiftslagen Hanteringsreglerna 14 19 PuL
Uppgift om lagöverträdelse Huvudregel, 21 Förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelse Undantag, DIFS 1998:3 Socialtjänsten Friskolor Advokatverks. Whistleblowing Rättsligt anspråk Anmälningsskyldighet Undantag efter DI:s beslut Exempel: Bankväsendet Djurgårdens elitfotboll M.fl. Grundkurs i personuppgiftslagen Hanteringsreglerna 21 PuL
Missbruksregeln känsliga personuppgifter Hanteringsreglerna Känsliga personuppgifter: 1. Samtycke, eller 2. Om undantagssituation finns Lagöverträdelser Myndighet OK! Annars undantag Missbruksregeln Typen av uppgifter spelar in i kränkningsbedömningen, känsligheten hos uppgifterna ska beaktas. Alltså: Känsliga personuppgifter och uppgifter om lagöverträdelser särskild uppmärksamhet vid kränkningsbedömningen Grundkurs i personuppgiftslagen
Grundkurs i personuppgiftslagen
Personnummer 1. Samtycke 2. Klart motiverat med hänsyn till ändamålet med behandlingen vikten av en säker identifiering något annat beaktansvärt skäl Grundkurs i personuppgiftslagen Hanteringsreglerna 22 PuL
Grundkurs i personuppgiftslagen
Överföring till tredje land Huvudregel Förbud mot överföring till tredje land (ett land utanför EU/EES-området) Grundkurs i personuppgiftslagen Hanteringsreglerna 33 PuL
Överföring till tredje land Möjligheter att överföra till tredje land Adekvat skyddsnivå (33 2 st. PuL, Kommissionens beslut: 35 1 st. PuL, 13 PUF bilaga 1,) Samtycke från den registrerade (34 PuL) Särskilda situationer: avtal, rättsligt anspråk, vitala intressen (34 PuL) Grundkurs i personuppgiftslagen Hanteringsreglerna
Överföring till tredje land Möjligheter att överföra till tredje land Standardavtalsklausuler (35 1 st PUL, 13 PUF och bilaga 2) BCR Binding Corporate Rules (35 3 st PUL, 14 PUF) Särskilda beslut från Datainspektionen Grundkurs i personuppgiftslagen Hanteringsreglerna
Grundkurs i personuppgiftslagen
Information till registrerade Information ska lämnas självmant, både när uppgifter samlas in från: den registrerade 23, eller från annat håll 24 Undantag 24 : lagstadgad reglering omöjligt eller oproportionerligt stor arbetsinsats Grundkurs i personuppgiftslagen Hanteringsreglerna 23 24 PuL
Information till registrerade Informationens innehåll Personuppgiftsansvariges identitet Ändamålen Övrig info för att den registrerade ska kunna ta till vara sina rättigheter, ex: mottagare av uppgifterna rätt att ansöka om info rätt till rättelse Undantag: Information om det den registrerade redan känner till Grundkurs i personuppgiftslagen Hanteringsreglerna 25 PuL
Information till registrerade Registerutdrag Gratis en gång per år Skriftlig ansökan Information skall lämnas om: Vilka uppgifter som behandlas Varifrån uppgifterna har hämtats Ändamålen med behandlingen Mottagare av uppgifterna Grundkurs i personuppgiftslagen Hanteringsreglerna 26 PuL
Information till registrerade När kan man nekas information? Sekretess eller tystnadsplikt särskilt föreskrivet i lag eller annan författning Registerförfattning Offentlighets- och sekretesslagen Grundkurs i personuppgiftslagen Hanteringsreglerna 27 PuL
Rättelse På eget initiativ eller på begäran av den registrerade ska personuppgiftsansvarig snarast rätta, blockera eller utplåna uppgifter som inte behandlats i enlighet med personuppgiftslagen Grundkurs i personuppgiftslagen Hanteringsreglerna 9 och 28 PuL
Missbruksregeln information till registrerade Hanteringsreglerna 1. Informationsskyldighet 2. Rätt till registerutdrag 3. Rätt till rättelse Missbruksregeln Vägledning: I kränkningsbedömningen beaktas om den registrerade informerats om behandlingen. Den registrerade saknar rätt till registerutdrag och rättelse. Grundkurs i personuppgiftslagen
Grundkurs i personuppgiftslagen
Säkerhet enligt personuppgiftslagen Personuppgiftsbiträde 30 Krav på säkerhetsåtgärder 31 Vidta lämpliga tekniska och organisatoriska åtgärder Konkretiseras i Allmänna råd Befogenhet att besluta om säkerhetsåtgärder 32 Grundkurs i personuppgiftslagen 30 32 PuL
Säkerhet enligt personuppgiftslagen Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med hänsyn till: Teknik Kostnad Risker Uppgifternas känslighet Grundkurs i personuppgiftslagen 30 32 PuL
Sammanfattning Hanteringsreglerna Missbruksregeln Grundkurs i personuppgiftslagen
När gäller inte personuppgiftslagen? Några undantag Vid privat behandling av personuppgifter t ex elektronisk dagbok eller registrering av grannar I den utsträckning det skulle strida mot bestämmelserna i Tryckfrihetsförordningen (TF) eller Yttrandefrihetsgrundlagen (YGL) Om behandlingen uppfyller kraven för journalistiska ändamål eller konstnärligt eller litterärt skapande Grundkurs i personuppgiftslagen 6 7 PuL
När gäller inte personuppgiftslagen? Vid utlämnande av allmänna handlingar enligt offentlighetsprincipen Det enda som kan hindra ett utlämnande är bestämmelser i offentlighets- och sekretesslagen (OSL) I OSL finns en bestämmelse som hänvisar till personuppgiftslagen Mottagarens behandling efter utlämnandet Efterforska syftet med mottagarens begäran? Grundkurs i personuppgiftslagen 8 PuL och 21 kap 7 OSL
Grundkurs i personuppgiftslagen Frågor?
Hur får jag tag i mer information? Webbplatsen: www.datainspektionen.se E-post: datainspektionen@datainspektionen.se Telefonnummer: 08-657 61 00 Faktabroschyrer, vägledningar och informationsblad Tidningen Integritet i Fokus Grundkurs i personuppgiftslagen