PuL och ny dataskyddsförordning Nätverksträff Informationssäkerhet i fokus 4 maj 2015
Om företaget Hos Transcendent Group möter du erfarna konsulter inom governance, risk and compliance. Våra tjänster skapar trygghet och möjligheter för myndigheter, företag och andra organisationer inom en rad olika branscher. Transcendent Group har tre år i rad utsetts till en av Sveriges bästa arbetsplatser.
Begrepp Integritet Personuppgift Behandling
Historisk utveckling 1973 Datalagen (SE) 1998 Personuppgiftslagen (SE) 2012 Kommissionens förslag till dataskyddsförordning (EU) 1995 Dataskyddsdirektivet (EU) 2007 Uppdaterad Personuppgiftslag (SE) 2014 Parlamentets reviderade förslag till dataskyddsförordning (EU)
Personuppgiftslagens syfte Syftar till att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas Reglerar hur personuppgifter får behandlas Behandling omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera För strukturerad personuppgiftsbehandling gäller betydligt fler regler än för ostrukturerad Särregler i annan lagstiftning tar över bestämmelserna i personuppgiftslagen, och det finns undantag med hänsyn till offentlighetsprincipen samt tryck- och yttrandefriheten
Roller och ansvar i PuL Den juridiska person eller myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till Ansvaret är straff- och skadeståndssanktionerat Behandlar personuppgifter för den personuppgiftsansvariges räkning Finns alltid utanför den egna organisationen Kan vara en fysisk eller en juridisk person Ett skriftligt avtal måste upprättas Personuppgiftsansvarig Personuppgiftsbiträde Personuppgiftsombud En person som ser till att personuppgifter behandlas korrekt och lagligt inom en verksamhet För förteckning över register och annan behandling av personuppgifter Hjälper registrerade att få felaktiga uppgifter rättade
Huvuddragen i PuL Baseras på ett EUdirektiv Bygger på samtycke och information till de registrerade, tydligt syfte krävs Uppgifter som behandlas skall vara aktuella och riktiga Endast nödvändiga och adekvata personuppgifter får behandlas Rutiner för rättning, uppdatering och radering av uppgifter krävs Stränga regler för känsliga uppgifter Begränsade möjligheter att föra över person-uppgifter utanför EU/EES Bestämmelser om information som ska lämnas till den registrerade Tekniska och organisatoriska åtgärder för att skydda person-uppgifter
Statliga myndigheters behandling av personuppgifter Behandling av personuppgifter inom en myndighet måste följa reglerna i personuppgiftslagen (PuL), särskild registerlagstiftning och offentlighets- och sekretesslagstiftningen Mycket begränsat utrymme för registrering av personuppgifter i ett diarium Varsamhet vid publicering av personuppgifter på internet
E-tjänster Statliga myndigheters e-tjänster: Säkerhetsaspekter 1. Myndigheten måste kunna säkerställa identiteten hos användaren av en e-tjänst i de fall det är nödvändigt 2. Myndigheten måste skydda personuppgifter som förs över i öppna nät så att obehöriga inte kan ta del av dem 3. Myndigheten måste kunna skydda personuppgifter som samlats in Myndigheten är skyldig att lämna information till användarna om behandlingen av personuppgifter i anslutning till e-tjänsterna
Statliga myndigheter: Behörighet och sekretess Anställda bör endast ha tillgång till personuppgifter som de behöver för sitt arbete Väl avvägda rutiner för behörighetstilldelning och tydliga riktlinjer för när det är tillåtet för personal att ta del av personuppgifter Sekretessmarkeringar som syns tydligt vid sökningar i register All personal som hanterar personuppgifter skall ges grundlig information om skyddade personuppgifter och sekretessfrågor
Bakgrund till ny dataskyddsförordning Lades fram redan 2012, och syftar till att stärka skyddet för datalagrade personuppgifter Ligger nu för beslut i EU-rådet Blir en förordning, och därmed en lag i EU:s alla medlemsstater Det lettiska ordförandeskapet har som ambition att nå en överenskommelse under innevarande ordförandeperiod
Förtroende är ett nyckelord On this day, citizens and businesses are waiting for the modernisation of data protection rules to catch up with the digital age. New technologies are emerging fast and have enormous potential for our society and economy. This potential can only be fully realised if people can trust the way their personal data is used. Ensuring trust will allow the European Digital Single Market to live up to its full potential. EU data protection reform, which will cut red tape for business and ensure a single set of rules, is part of the solution. Joint Statement by Vice-President Andrus Ansip and Commissioner Věra Jourová on European Data Protection Day, 28 January 2015
Nyheter i EU:s dataskyddsförordning Omfattar all behandling, även ostrukturerad Utvidgad territoriell tillämpning och strängare krav kring överföring till tredje land Behandling av uppgifter om barn under 13 år kräver målsmans samtycke Förbud mot behandling av vissa typer av personuppgifter; Uppgifter som avslöjar ras, eller etniskt ursprung, politiska åsikter, religion eller livsåskådning, sexuell läggning och könsidentitet, eller medlemskap och verksamhet i fackförening, och behandling av genetiska eller biometriska uppgifter eller uppgifter om hälsa och sexualliv eller administrativa sanktioner, domar, brott eller misstänkta brott, fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder Registrerade personer skall i vissa fall ges rätt att begära att information om sig själv raderas Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter
Nyheter i EU:s dataskyddsförordning Skyldighet att anta en integritetsskyddspolicy och vidta åtgärder för att kontrollera efterlevnaden Krav på mer utförlig information till de registrerade Skärpta krav avseende profilering
Nyheter i EU:s dataskyddsförordning: Utökade krav och harmoniserad tillämpning Krav på regelbundet uppdaterad dokumentation om all behandling som utförs Mer specifika krav avseende säkerhetsstrategi för behandlingen Krav på riskanalys och konsekvensbedömning avseende uppgiftsskydd Krav på anmälan av dataintrång till Tillsynsmyndigheten och information till registrerade Strängare sanktioner vid överträdelser eller brott mot den nya förordningen.
Nyheter i EU:s dataskyddsförordning: Uppgiftsskyddsombudet De som har behandling som kräver regelbunden och systematisk övervakning av de registrerade, som sin kärnverksamhet Juridisk person som behandlar fler än 5000 registrerade under en sammanhängande period på 12 månader Skyldighet att utse uppgiftsskyddsombud/personuppgiftsombud Myndigheter Uppgiftsskyddsombudet skall ges en oberoende ställning och inte ha övriga arbetsuppgifter som leder till en intressekonflikt Uppgiftsskyddsområdet utses på minst 2 alternativt 4 år Krav på uppgiftsskyddsombudets arbetsuppgifter
www.transcendentgroup.com