VISITA. GDPR = General Data Protection Regulation = Dataskyddsförordningen

Relevanta dokument
Policy för personuppgiftshantering 2018 Antagen av styrelsen för PRO i Tullinge vid styrelsemötet Version 1.

INTEGRITETSPOLICY ADJURE AB

Uppgifter som samlas in när du använder våra tjänster

Integritetspolicy Bokförlaget Nona

INTEGRITETSPOLICY. Uppgifter som samlas in när du använder våra tjänster

Integritetspolicy för givare

Integritetspolicy Optimized Portfolio Management Stockholm AB (Bolaget) Antagen av styrelsen den 22 maj 2018

Policy för personuppgiftshantering i Brf Näsbyallé

Vi samlar enbart in personuppgifter direkt från den registrerade.

Vi samlar enbart in personuppgifter direkt från den registrerade.

Ändamål och rättslig grund för behandlingen av dina personuppgifter.

INFORMATIONSSÄKERHETSPOLICY

Information om behandling av personuppgifter

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Dataskyddsförordningen i utbildningsverksamhet

Dataskyddsförordningen 2018

Dataskyddsförordningen GDPR

Dataskyddsförordningen 2018

Policy avseende integritet och marknadsföring. Information om behandling av personuppgifter

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Sammanfattning av ändamål, laglig grund och gallringsfrister

Information om behandling av personuppgifter

Integritetspolicy Personuppgifter som vi behandlar om dig Ändamål för behandling av dina personuppgifter

Information om behandling av personuppgifter, GDPR

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER - SÄKERHETSCENTER

Rockpanel / ROCKWOOL AB ( ROCKWOOL ) vill säkerställa din integritet online.

Danske Banks sekretessmeddelande

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

INTEGRITETSSKYDDSPOLICY

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

NORD FONSKOMMISISON AB INTEGRITETSPOLICY. Antagen av styrelsen i Nord Fondkommission AB

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Att hantera personuppgifter

Information om dataskyddsförordningen

Integritetspolicy för Judiska församlingen (JF) i Stockholm

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Integritetspolicy. Senast uppdaterad i maj Vårt sekretessåtagande. Vi ska

Information om behandling av personuppgifter Version

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Kerstin Wardman, 25 april 2018

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen

Policy för personuppgiftsbehandling

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Personuppgiftsinformation för Svedala kommun

Mertzig Asset Management AB

Dataskyddsförordningen - GDPR

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen

GDPR- Seminarium 2017

Dataskyddsförordningen

Personuppgiftsbehandling Dataskydd

INTEGRITETSPOLICY Max Mitteregger Kapitalförvaltning AB. INTEGRITETSPOLICY Den 25 maj 2018

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

GDPR General data protection regulation Dataskyddsförordningen

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen (GDPR)

Registerbeskrivning. Svensk-Österbottniska Samfundet r.f. & Harry Schaumans stiftelse. EU:s dataskyddsförordning, 2016/679. Registerförare 23.5.

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Behandling av personuppgifter vid Göteborgs universitet

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen för prefekter och administrativa chefer

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Dataskyddsförordningen

GDPR Presentation Agenda

GDPR. General Data Protection Regulation. dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Danske Finance Ab:s sekretessmeddelande

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

INTEGRITETSPOLICY för Webcap i Sverige AB

Strand Kapitalförvaltning AB:s integritetspolicy

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

131 sidor. Den nya integritetslagen trädde i kraft i kraft den 25.5.

PuL och GDPR en översiktlig genomgång

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

Hantering av personuppgifter

Nya dataskyddsförordningen GDPR

Integritetspolicy Policy Kunder

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

GDPR. Dataskyddsförordningen

GDPR NYA DATASKYDDSFÖRORDNINGEN

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

GDPR UTBILDNINGSDAG SKKF

Dataskyddsförordningen

Tegehalls revisionsbyrå och dataskyddsförordningen

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Dataskyddsbeskrivning Undervisningssektorns Fackorganisation OAJ

Transkript:

GDPR @ VISITA GDPR = General Data Prtectin Regulatin = Dataskyddsförrdningen

INNEHÅLLSFÖRTECKNING GRUNDLÄGGANDE GDPR ÄNDAMÅL LAGLIG GRUND TRANSPARENS RÄTTIGHETER SKYDDS- VIKTIGA LÄNKAR ÅTGÄRDER

VAD ÄR GDPR? Dataskyddsförrdning sm trädde i kraft 2016 men en tidsfrist ges till maj 2018 Skydda grundläggande fri- ch rättigheter vid behandling av persnuppgifter Sanktiner på upptill 4 % av glbal årsmsättning eller 20 miljner

GRUNDLÄGGANDE AKTÖRER Persnuppgiftsansvarig Tillsynsmyndighet EDPB Tredje part Dataskyddsmbud Persnuppgiftsbiträde Persnuppgift Registrerad

GRUNDLÄGGANDE AKTÖRER (EXEMPEL) Persnuppgiftsansvarig Nrmalt den juridiska persn eller myndighet sm samlar in persnuppgifter till sin verksamhet. En persnuppgiftsansvarig kan alltså INTE vara privatpersner ex. En chef på företaget. Ex. Ett htell (sm samlar in persnuppgifter m sina htellgäster anses vara persnuppgiftsansvarig). Persnuppgiftsbiträde Den juridiska persn eller myndighet sm hanterar persnuppgifter på uppdrag av persnuppgiftsansvarig. Ex. Företaget sm på uppdrag hanterar ett annat företags anställningsförmåner ch försäkringar. Registrerad Den fysiska persnen vars persnuppgifter ett företag vill samla in ch använda. Ex. En restauranggäst. Tredje part Alla ytterligare parter sm tar del av ch behandlar persnuppgifter. (Dessa blir ckså persnuppgiftsbiträden) Viktigt att kmma ihåg: Oavsett hur långt bak i kedjan persnuppgifter skickas är ALLTID persnuppgiftsansvarig huvudansvarig, gentemt den registrerade, att säkerställa krrekt hantering av persnuppgifterna enligt GDPR. Det är därför viktigt att säkerställa det finns avtal på plats för att kntrllera detta. Tillsynsmyndighet I Sverige är Datainspektinen i huvudsak den tillsynsmyndighet sm kmmer granska företag i deras efterlevnad av förrdningen. EDPB Eurpean Data Prtectin Bard Samverkansrgan för samtliga tillsynsmyndigheter i EU sm verkar för att mdernisera ch harmnisera dataskyddsreglerna i hela reginen.

NÄR TILLÄMPAS FÖRORDNINGEN? När behandling utförs av rganisatiner sm är etablerade i EU Helt eller delvis autmatiserad behandling av persnuppgifter När behandlingen utförs av rganisatiner etablerade utanför EU ch där dessa antingen - erbjuder varr ch tjänster i EU eller - övervakar registrerades beteende i EU

VAD ÄR EN PERSONUPPGIFT? All slags infrmatin sm direkt eller indirekt kan hänföras till en fysisk persn sm är i livet. PERSONNUMMER OCH MER. KÖN NAMN ADRESS LJUDUPPTAGNING BILD KONTOUPPGIFTER COOKIE ID IP-ADRESS ELEKTRONISKT ID ETNISKT URSPRUNG POLITISK ÅSIKT/TRO HÄLSO/GENETISK DATA* MEDLEMSKAP I FACKFÖRENING

PERSONUPPGIFTSKATEGORIER (EXEMPEL) Direkt identifierande persnuppgift Persnnummer Namn Ft/Film E-pst Indirekt externt identifierande persnuppgift IP-adress Krtnummer Adress Övriga kpplade persnuppgifter T ex sald sm är kpplat till ett kntnummer Känsliga persnuppgifter Plitiska åsikter Religiös eller filsfisk övertygelse Ras/etnisk ursprung Hälsdata ch sexuell läggning Medlemskap i fackförening Genetisk ch bimetrisk data Indirekt internt identifierande persnuppgift Kundnummer Kntnummer

VAD ÄR EN BEHANDLING? Behandling mfattar varje åtgärd eller kmbinatin av åtgärder med persnuppgifter berende m de utförs autmatiserat eller inte. GDPR ställer krav på Persnuppgiftsansvarig (PuA) att upprätta ett behandlingsregister över samtliga behandlingar sm inkluderar persnuppgifter. Registrerad Persnuppgiftsansvarig Persnuppgiftsbiträde Exempel på behandling är: 1. Insamling, registrering, rganisering, strukturering, lagring, bearbetning eller ändring 2. Framtagning, läsning, användning, utlämning genm överföring eller spridning Persnuppgiftsbiträde 3. Justering eller sammanförande 4. Begränsning, radering eller förstöring

PERSONUPPGIFTSBEHANDLING (EXEMPEL) Exempel 1 När en restaurang samlar in kntaktuppgifter av en gäst vid en middagsbkning. Själva insamlingen räknas sm en behandling. Exempel 2 När ett htell samlar in persnuppgifter i samband med att ett avtal ingås med en nyanställd. Exempel 4 När ett htell väljer att spara ch lagra uppgifter m sina återkmmande htellgäster för att kunna påvisa gd service inför kmmande besök. Exempel 5 När restaurang X väljer att teckna försäkring för sina anställda ch därmed delar persnuppgifter med försäkringsblaget. Exempel 3 När ett företag använder persnuppgifter de samlat in m sina kunder, direkt eller indirekt, för att göra prfileringar ch skapa persnspecifika erbjudanden till kunden. Direkt infrmatin kan vara infrmatin sm kunden lämnat när han eller hn skapade en användare på företagets medlemsprtal, medan indirekt infrmatin kan vara den aktivitet ch de sökningar persnen gjrt på företagets hemsida.

INNEHÅLLSFÖRTECKNING GRUNDLÄGGANDE GDPR ÄNDAMÅL LAGLIG GRUND TRANSPARENS RÄTTIGHETER SKYDDS- VIKTIGA LÄNKAR ÅTGÄRDER

VAD KRÄVS FÖR ATT FÅ BEHANDLA PERSONUPPGIFTER? Syftet med GDPR är INTE att förbjuda eller möjliggöra behandling av persnuppgifter. Syftet är istället att stärka individens rätt till kntrll över hur hens persnuppgifter behandlas. Persnuppgiftsansvarig måste därför säkerställa: Ändamål Laglig grund Transparens Uppfyllande av den registrerades rättigheter Att tekniska/rganisatriska skyddsåtgärder vidtas

ÄNDAMÅL MED PERSONUPPGIFTSBEHANDLING? Vad ska ni använda mina persnuppgifter till? Särskilt, uttryckligen angivet & berättigat Så lite uppgifter sm möjligt Definieras av Persnuppgiftsansvarig Ändamål Vilka persnuppgifter får vi behandla? Vad får vi göra med dem? Vad måste vi göra för att säkerställa rättigheter ch skydd? Styr laglig grund Krav på system

INNEHÅLLSFÖRTECKNING GRUNDLÄGGANDE GDPR ÄNDAMÅL LAGLIG GRUND TRANSPARENS RÄTTIGHETER SKYDDS- VIKTIGA LÄNKAR ÅTGÄRDER

BEHANDLING AV PERSONUPPGIFTER ÄR ENDAST TILLÅTEN NÄR MINST EN AV FÖLJANDE LAGLIGA GRUNDER ÄR UPPFYLLDA:..en registrerade tvetydigt har lämnat sitt samtycke..behandlingen är nödvändig för att fullgöra ett avtal..en rättslig skyldighet ska fullgöras..den registrerades vitala intressen ska skyddas..en uppgift sm utförs i allmänhetens intresse ska utföras..inm ramen för legitima intressen hs PuA

LAGLIG GRUND (EXEMPEL) Samtycke När en restauranggäst gör en middagsbkning via restaurangens hemsida ch lämnar sina kntaktuppgifter finns det en tydlig infrmatin m själva insamlingen av persnuppgifter ch en bx sm persnen i fråga ska markera för att indikera att man samtycker till behandling av sina persnuppgifter. Avtal Avtalet sm ett htell ingår med en nyanställd ger htellet laglig grund för att få behandla persnuppgifterna från den anställde enligt vad sm framgår i avtalet. Rättslig skyldighet Bkföringslagen (eller andra lagrum) kan innebära att företag måste spara ch hantera persnuppgifter avsett krav sm ställs i Dataskyddsförrdningen. Vitala intressen Sker det en incident på er arbetsplats ch en persn behöver akut vård ch medicinering har ni rätt att ta reda på persnuppgifter från persnen för att ge krrekt vård. Allmänhetens intresse Om det ligger i varje medbrgares intresse att ta del av samhällsviktig infrmatin sm ni hanterar är det en laglig grund för att hantera persnuppgifter relaterat till detta. Legitima intressen Har ni haft en kund sm inte betalat sin faktura i tid ch behöver driva frågan vidare till inkass anses det ligga i Ert legitima intresse att frtsätta behandla kundens persnuppgifter avsett m avtalet är förlegat.

INNEHÅLLSFÖRTECKNING GRUNDLÄGGANDE GDPR ÄNDAMÅL LAGLIG GRUND TRANSPARENS RÄTTIGHETER SKYDDS- VIKTIGA LÄNKAR ÅTGÄRDER

VAD MENAS MED TRANSPARENS? Det bör vara klart ch tydligt för den registrerade vilka rättigheter hen har, hur persnuppgifter sm rör dem insamlas, används, knsulterats eller på andra sätt behandlas. Det här gör vi med dina persnuppgifter: Kmmunikatinen måste ske på ett lättillgängligt ch lättbegripligt sätt. Transparens uppnås bland annat genm: Registrerad Persnuppgiftsansvarig Persnuppgiftsbiträde 1. Skyldigheten att kmmunicera vid insamling av persnuppgifter 2. Rätten att ge ch ta tillbaka samtycke 3. Rätten till registerutdrag Persnuppgiftsbiträde 4. Rätten till dataprtabilitet

KOMMUNIKATION VID INSAMLING AV PERSONUPPGIFTER Infrmatin m behandling av persnuppgifter sm rör den registrerade ska lämnas när persnuppgifterna samlas in tex vid samtycke eller m de hämtas från annan källa, inm rimlig tid. Infrmatinen kan ges i frm av villkrsskrivningar vid inhämtande av samtycke, genm persnuppgiftsplicy eller under en nbardingprcess av anställd. Registrerad Persnuppgiftsansvarig Persnuppgiftsbiträde Villkr Vi behandlar dina persnuppgifter i syfte att: Persnuppgiftsbiträde - - Fullgöra våra avtalsenliga förpliktelser. Förbättra din kundupplevelse. Att fundera över: Persnuppgifterna lämnas ut till persnuppgiftsbiträde där det är relevant för att uppnå ändamålet. Vilka behöver vi kmmunicera med? Hur ch var kmmunicerar vi med dem? Vad ska vi kmmunicera? etc

ATT GE SITT AKTIVA SAMTYCKE Om samtycke väljs sm laglig grund krävs att den registrerade lämnar ett infrmerat ch aktivt samtycke till att behandling genmförs. Den registrerade måste få tillräcklig infrmatin t ex genm tydliga avtalsvillkr, dialgrutr eller visualisering genm ikner ch symbler. Registrerad Persnuppgiftsansvarig Persnuppgiftsbiträde Samtycke ska ges för varje specifik behandling. Samtycket måste vara spårbart. Persnuppgiftsbiträde Att fundera över: Vilka behandlingar har samtycke sm laglig grund? Behöver ni inhämta nytt samtycke? Hur, när ch var ska samtycke inhämtas?

ATT ÅTERKALLA SITT SAMTYCKE Ett samtycke ska vara lika lätt att återkalla sm att ge. Samtycket ska kunna återkallas i alla led, när sm helst. Alla system sm behandlar persnuppgifter på grunden samtycke måste på ett eller annat sätt hantera ett återkallande. Registrerad Persnuppgiftsansvarig Persnuppgiftsbiträde Genm användande av t ex krypterings- ch avidentifieringstekniker går det att hitta lösningar för att hantera återkallandet av samtycke ch ändå få frtsätta behandla en del av infrmatinen t ex indirekt kpplade persnuppgifter. Vissa uppgifter måste sparas även m användaren återtagit samtycke, t ex sådant sm är relaterat till användaren ch hens användande av en tjänst, eknmiskt underlag, viss lgginfrmatin etc. Att fundera över: Persnuppgiftsbiträde I vilket gränssnitt ska återkallandet ske? Hur gör ni för att säkerställa återtagande av samtycke?

REGISTERUTDRAG Sm registrerad har jag rätt att begära ut ett registerutdrag. Persnuppgiftsansvarig har en månad* på sig att lämna ut uppgifterna. Ett registerutdrag ska innehålla infrmatin m: Vilka persnuppgifter sm behandlas Registrerad Persnuppgiftsansvarig Persnuppgiftsbiträde Varifrån dessa har hämtats Vilka mttagare sm uppgifterna lämnats ut till Ändamål med behandlingen Lagringstid Persnuppgiftsbiträde * max 2 månaders förlängning berende på kmplexitet. Att fundera över: Vilka behandlingar ch system mfattas? Vart ska begäran m registerutdrag ske? Vilken prcess ska ni ha för registerutdrag?

REGISTERUTDRAG (EXEMPEL) Exempel För att möjliggöra att de registrerade ska kunna utnyttja sina rättigheter till registerutdrag är det viktigt att säkerställa att ni kan ta fram de uppgifter sm enligt GDPR måste kunna tilldelas den registrerade. Det kräver gd kntrll på sitt infrmatinsflöde ch kunskap m hur man kan extrahera infrmatinen från era system. En tidigare htellgäst får ett nyhetsbrev utskickat med fördelaktigt erbjudande m att hyra htellrum på någt av htellets anläggningar. Gästen kntaktar htellet för att ta reda på vilka persnuppgifter htellet sparat ch vad uppgifterna används till. Htellet ska då ta fram den efterfrågade infrmatinen inm en månad. Det visade sig att htellgästen vid bkning av tidigare htellvistelse skapade en kundprfil på htellets hemsida ch samtyckte till att htellet sparade namn ch mailadress för att kunna skicka ut nyhetsbrev.

DATAPORTABILITET Persnuppgiftsansvarig c v Persnuppgiftsbiträde Möjligheten till dataprtabilitet ger den registrerade rätt att överföra persnuppgifter till annan persnuppgiftsansvarig utan hinder. c v Persnuppgiftsbiträde Persnuppgiftsansvarige måste leverera persndata på ett strukturerat, allmänt använt ch maskinläsbart frmat. Prtabilitet gäller för: Registrerad Persnuppgiftsansvarig Persnuppgiftsbiträde 1. Behandlingar sm grundar sig på samtycke eller fullföljande av avtal sm laglig grund. 2. All data sm den registrerade lämnat ifrån sig: Direkt (namn mejladress, användarnamn etc.) Indirekt (genm användning t ex sökhistrik ch platsdata) Persnuppgiftsbiträde Dataprtabilitet gäller INTE för persnuppgifter sm genererats av den registeransvarige sm en del av en behandling ex kategrisering eller prfilering. Att fundera över: Vilka behandlingar ch system mfattas? I vilket frmat ska ni leverera data? I vilket gränssnitt ch hur ska begäran m prtabilitet ske?

INNEHÅLLSFÖRTECKNING GRUNDLÄGGANDE GDPR ÄNDAMÅL LAGLIG GRUND TRANSPARENS RÄTTIGHETER SKYDDS- VIKTIGA LÄNKAR ÅTGÄRDER

GALLRING Förvaring av persnuppgifter får inte ske under längre tid än vad sm är nödvändigt med hänsyn till det beskrivna ändamålet Om det finns andra bestämmelser m bevarande av persnuppgifter i en annan lag eller förrdning, till exempel bkföringslagen, är det dck de bestämmelserna sm styr. För att säkerställa att persnuppgifter inte sparas längre än nödvändigt är det rekmmenderat att den persnuppgiftsansvarige inför tidsfrister för radering ch/eller regelbunden kntrll. Gallring kan ske på fler sätt: Avidentifiering att avlägsna alla identifieringsmöjligheter så att de uppgifter sm frtsättningsvis behandlas inte längre går att kppla samman med en fysisk persn. Att förstöra persnuppgifterna så att de inte längre går att återskapa. Det innefattar även backuper. Registrerad Persnuppgiftsansvarig Att fundera över: Hur länge behöver vi persnuppgifterna? Vilka andra bestämmelser påverkar lagringstiden? Hur ska gallringen gå till? Persnuppgiftsbiträde Persnuppgiftsbiträde

RADERING (RÄTTEN ATT BLI GLÖMD) Den registrerade har rätt att få sina persnuppgifter raderade i alla led för behandlingar sm grundar sig på samtycke. Rätten att bli glömd är inte en abslut rättighet för den registrerade. Behandlingar ch mständigheter där dessa rättigheter inte är tillämpbara måste även identifieras. Registrerad Persnuppgiftsansvarig Persnuppgiftsbiträde Även för radering är avidentifiering av data ett alternativ. Persnuppgiftsbiträde Att fundera över: Vilka andra bestämmelser påverkar rätten att bli glömd? Finns det några fall där intresseavvägning är tillämpbart? Hur ska raderingen gå till?

RÄTTNING OCH UPPDATERING Persnuppgifter ska vara krrekta ch m nödvändigt uppdaterade. Det innebär att den registrerade har rätt att få sina persnuppgifter rättade/uppdaterade skyndsamt. För att säkerställa detta måste en kartläggning av källr göras. Det är eftersträvansvärt att ha så få källr sm möjligt. Ett sätt att uppnå detta är genm att införa en mdell för masterdatahantering. Registrerad Persnuppgiftsansvarig Persnuppgiftsbiträde Persnuppgiftsbiträde Att fundera över: Vilka källsystem finns för persnuppgifter? I vilka system måste krrigering/uppdatering ske? Behöver persnuppgiftsbiträden infrmeras?

OSTRUKTURERAD DATA Tidigare fanns ett undantag i PUL för strukturerad behandling, i Dataskyddsförrdningen är undantaget brta. Det innebär att samma regler sm gäller för strukturerade persnuppgifter ckså ska användas för strukturerade, t ex i vad sm skrivs m persner i e-pst, webbplatser, löpande text i dkument samt lika listr. Registrerad Persnuppgiftsansvarig Persnuppgiftsbiträde Persnuppgiftsbiträde Att fundera över: Var finns det strukturerad data? Hur får ni persnalen att hantera strukturerad data lagenligt? Hur säkerställer ni att strukturerad persndata inte lagras längre än nödvändigt?

INNEHÅLLSFÖRTECKNING GRUNDLÄGGANDE GDPR ÄNDAMÅL LAGLIG GRUND TRANSPARENS RÄTTIGHETER SKYDDS- VIKTIGA LÄNKAR ÅTGÄRDER

VAD MENAS MED LÄMPLIGA ORGANISATORISKA OCH TEKNISKA SKYDDSÅTGÄRDER? Skyddsnivån bör stå i paritet med följande faktrer: Senaste utvecklingen Genmförandekstnad Behandlings art, mfattning, sammanhang ch ändamål Risker Systemövervakning Incident SIEM Pseudnymisering IAM Kryptering Uppgiftsminimering Olika nivå på skyddsåtgärder kan vara lämpligt för lika typer av persnuppgifter. Privacy by Default

VAD ÄR PRIVACY BY DESIGN? Privacy by design eller inbyggd integritet är mer ett förhållningsätt än en uppsättning regler. PRIVACY BY DESIGN-PRINCIPER Praktivt, inte reaktivt Privacy by default Integritetsskydd sm en integrerad del av design Full funktinalitet Integritetsskydd från början till slut Transparens ch visibilitet Respektera individens integritet

INBYGGD INTEGRITET (EXEMPEL) Principen inbyggd integritet (privacy by design på engelska) innebär att skyddet för persnuppgifter byggs in i IT-systemet sm en självklar aspekt av utvecklings- eller inköpsprcessen. Det IT-system sm skall utvecklas eller köpas in bör således bedömas med hänsyn tagen till GDPR. Skyddet bör alltså inte läggas till efteråt, när IT-systemet redan är utvecklat/inköpt. Exempel Vid utveckling av en ny kundprtal bör integritetsskydd såsm begränsad åtkmst tas hänsyn till, exempelvis: Stödjer systemet livscykelhantering, i frm av rätt åtkmst till rätt persner? Tas knt ch behörigheter brt när de inte längre bör tillgdses persnen i fråga? Stödjer kundprtalen möjligheten att enkelt kunna radera persnuppgifter för ett skapat knt? Eller måste man radera samma persnuppgifter på flera lika ställen?

PERSONUPPGIFTSINCIDENTER Persnuppgiftsansvarig ska vid en incident rapprtera Tillsynsmyndighet. Detta ska ske utan dröjsmål m möjligt, dck inte senare än 72h från det att man har vetskap m incidenten. Persnuppgiftsbiträde ska underrätta Persnuppgiftsansvarig utan dröjsmål efter vetskap m incidenten. Alla incidenter inklusive effekter ch vidtagna åtgärder ska dkumenteras. Dkumentatinen ch dess efterlevnad kan kmma att granskas av Tillsynsmyndighet. Registrerad Persnuppgiftsansvarig Incidenter av persnuppgifter kan uppstå: INCIDENT Ex. hacker

UPPGIFTSMINIMERING #1 MINIMERA Begränsa behandlingen Mängden persnuppgifter sm behandlas bör begränsas till den minsta möjliga Mindre Pseudnymisering Utgår från vilka persnuppgifter sm verkligen krävs för att tillgdse ändamålet istället för vad sm finns tillgängligt. Undvik direkta identifierare m möjligt Undvik känsligare persnuppgifter Mer Avidentifiering Begränsa insamlingen

UPPGIFTSMINIMERING (EXEMPEL) Avidentifiera Ta brt identifieringsmöjligheter så att data inte längre går att kppla samman med fysisk persn. Måste vara återkalleligt. Pseudnymisera Pseudnymisering består i att ersätta ett attribut (ftast ett unikt attribut) i en pst med ett annat. Det är därför frtfarande trligt att den fysiska persnen kan identifieras indirekt. Exempel Vid användning av ett enkätsystem bör prcesser för regelbunden gallring (antingen autmatiskt eller manuell) ta hänsyn till: Stödjer enkätsystemet livscykelhantering, i frm av gallring av gamla kntn alternativt pseudnymisering? Kan vi avidentifiera data så vi kan frtsätta använda den till analys ch statistik?

DATASKYDDSPRINCIPERNA 1 LAGLIGHET, KORREKTHET OCH ÖPPENHET Uppgifterna ska behandlas på ett lagligt, krrekt ch öppet sätt i förhållande till den registrerade. 2 ÄNDAMÅLSBEGRÄSNING De ska samlas in för särskilda, uttryckligt angivna ch berättigade ändamål ch inte senare behandlas på ett sätt sm är förenligt med dessa ändamål. 3 UPPGIFTSMINIMERING De ska vara adekvata, relevanta ch begränsade till vad sm krävs i förhållande till de ändamål för vilka de behandlas. 4 KORREKTHET De ska vara krrekta ch m nödvändigt uppdaterade, m inte ska de utan dröjsmål raderas eller rättas. 5 LAGRINGSMINIMERING De får inte förvaras i en frm sm möjliggör identifiering av den registrerade under en längre tid än vad sm är nödvändigt för de ändamål för vilka persnuppgifterna behandlas. 6 INTEGRITET OCH KONFIDENTIALITET De ska behandlas på ett sätt sm säkerställer vederbörlig säkerhet för persnuppgifterna med användning av lämpliga tekniska eller rganisatriska åtgärder. 7 ANSVARSSKYLDIGHET Den registeransvarige ska ansvara för ch kunna visa att principerna efterlevs.

OMFATTANDE BÖTER Företag sm inte uppfyller kraven kmmer att åläggas sanktinsavgifter på sm högst 4 % av glbal årsmsättning eller 20 miljner, berende på hur allvarliga avstegen bedöms vara. OM NI INTE UPPFYLLER GDPR ERSÄTTNINGSSKYLDIGHET FÖR VÅLLANDE AV SKADA Har ni inte kntrll på de persnuppgifter ni hanterar ch persnuppgifter inte hanteras i enlighet med lagen ch det samtycke persnen i fråga har gdkänt, så har ni gjrt er skyldiga till integritetsbrtt. Då har persnen rätt till ersättning för skada. Din rganisatin betalar m det är ni sm rsakat skadan. ANSTÄLLDA OCH KUNDER UTSÄTTS FÖR HOT OCH RISKER Företag sm inte skyddar sina persnuppgifter riskerar utsätta sina anställda, kunder ch partners för säkerhetsrisker så sm röjande av skyddad identitet, hemadress, lösenrd, etc. Ett integritetsbrtt kan leda till mfattande skada för persnen i fråga ch kan ge allvarliga knsekvenser för den persn sm utsätts för integritetsbrttet. Persner kan behöva flytta från sitt hem, persner kan utsättas för rykten ch dess privata angelägenheter kan spridas till önskade parter, vilket kan leda till hälsa. FÖRLUST AV FÖRETAGSDATA Om ni tillgängliggör persnuppgifter ni har ansvar för kan detta leda till att knkurrenter får fördelar, båda genm att få tillgång till era knkurrensfördelar, era kunder. INGET FÖRTROENDE Det värsta sm händer är att din rganisatin tappar i förtrende hs mvärlden. Digitalt förtrende kstar kunder, affärer ch skadar er framtid.

FÖRTROENDE SKAPAR MÖJLIGHETER När en persn (kund, partner ch anställd) känner tillit till er förmåga att hantera deras persnuppgifter kmmer de vara generösare i sin vilja att dela med sig av uppgifterna. På så sätt skapas utrymme för er att skapa fler affärsmöjligheter. KONKURRENSFÖRDEL I ett samhälle där infrmatin ch sammankpplandet av infrmatin /digitalisering är så centralt blir säkerhet en fråga m trvärdighet. Ett företag sm är transparant med hur de använder persnuppgifter, sm har kntrll ch kan litas på, kmmer att klara sig bättre än sina knkurrenter. Det vet investerare, ägare ch kunder. LITA PÅ INFORMATION De persnuppgifter ni samlar in, använder ni sm ni lvat. Infrmatinen är krrekt ch uppdaterad. Det går att lita på att de persnuppgifter ni har stämmer. Ni kan bygga er affär på tillförlitlig infrmatin ch kan ta risker ni annars inte velat ta. SMART OCH KOSTNADSEFFEKTIV INFORMATIONSFÖRSÖRJNING GDPR är en möjlighet att få rdning på er infrmatinshantering, infrmatin & data management. Ni kan fkusera på att styra er affär med hjälp av en kstnadseffektiv infrmatinsförsörjning. Ni vet exakt vilka skydd ni behöver ch ni får kntrll på leveransen av IT. NÄR NI UPPFYLLER GDPR MINSKA KOSNADER FÖR INCIDENTER Uppfyller ni GDPR har ni kntrll på cybersäkerhet ch ITsäkerhet ch slipper dryga böter, skadat förtrende hs ägare, kunder ch mvärlden, skadat varumärke.

INNEHÅLLSFÖRTECKNING GRUNDLÄGGANDE GDPR ÄNDAMÅL LAGLIG GRUND TRANSPARENS RÄTTIGHETER SKYDDS- VIKTIGA LÄNKAR ÅTGÄRDER

VIKTIGA LÄNKAR Datainspektinen http://www.datainspektinen.se/ EU http://ec.eurpa.eu/justice/data-prtectin/index_en.htm GDPR på svenska http://eur-lex.eurpa.eu/legal-cntent/sv/txt/pdf/?uri=celex:32016r0679&rid=1 Acand Knsultbyrå sm hjälpt Visita i deras arbete med Dataskyddsförrdningen https://www.acand.se/vad-vi-gr/erbjudanden/simplifying-gdpr/ Kntaktuppgifter GDPR-expert Acand Daniel Riddarvinge Daniel.riddarvinge@acand.cm +46 72-506 74 34

Säkerställ att ni har en laglig grund för det ni gör! Börja upprätta ett behandlingsregister utifrån Er verksamhet! Samla enbart in de persnuppgifter ni behöver! TRE FRAMGÅNGSFAKTORER för realisering

För frågr relaterade till GDPR vänligen vänd er till Visitas webbsida. Webbadress: http://visita.se/

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss