Disposition. Stockholm den 31 maj 2017 Lisa Johansson, Salli Fanaei, Tove Fors och Mattias Sandström

Relevanta dokument
Välkomna till kurs i den nya dataskyddsförordningen

GDPR- Seminarium 2017

Välkomna Dataskyddsförordningen med fokus på den offentliga sektorn

Dataskyddsförordningen (GDPR)

EU:s dataskyddsförordning

Dataskyddsförordningen, privat sektor Välkomna Dataskyddsförordningen med fokus på den privata sektorn. Datainspektionen 1.

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

GDPR. Ulrika Harnesk 17 oktober 2018

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Dataskyddsförordningen

EU:s dataskyddsförordning

Vården och reglerna om dataskydd

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Dataskyddsförordningen

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskyddsförordningen

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen

Dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

GDPR. Dataskyddsförordningen

Dataskyddsförordningen 2018

Dataskyddsförordningen GDPR

Dataskyddsförordningen 2018

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

EU:s nya dataskyddsförordning Lotta Wikman Öman

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen och kvalitetsregister

PUL OCH DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen GDPR - General Data Protection Regulation

GDPR NYA DATASKYDDSFÖRORDNINGEN

PuL och GDPR en översiktlig genomgång

Dataskyddsförordningen i utbildningsverksamhet

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Dataskyddsförordningen

GDPR- Vad har hänt och hur ser tillämpningen ut?

För att tillvarata medlemmarnas enskildas rättigheter

Riktlinjer för att tillvarata enskildas rättigheter

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Personuppgiftsbehandling Dataskydd

EU:s allmänna dataskyddsförordning:

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Policy för behandling av personuppgifter

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

GDPR definition och hur utbildningen berör(t)s av förordningen

Dataskyddsförordningen, GDPR

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

GDPR. Dataskyddsförordningen 27 april Emil Lechner

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

Dataskyddsförordningen

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Personuppgiftsinformation för Svedala kommun

Instruktion för att tillvarata enskildas rättigheter

GDPR - Riktlinjer för hantering av personuppgifter

GDPR General data protection regulation Dataskyddsförordningen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Kerstin Wardman, 25 april 2018

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Behandling av personuppgifter vid Göteborgs universitet

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

LANDAHL ADVOKATBYRÅS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Koncernkontoret Enheten för juridik

Dataskyddsförordningen

Dataskyddsförordningen för prefekter och administrativa chefer

Riktlinjer för dataskydd

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

Skolan och Dataskyddsförordningen

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

GDPR Presentation Agenda

Dataskyddsförordningen

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

PERSONUPPGIFTSBITRÄDESAVTAL

Svensk författningssamling

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

Idrottens Uppförandekod

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Att hantera personuppgifter

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

Dataskydd och forskning i Europa och Sverige

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Transkript:

Välkomna Dataskyddsförordningen med fokus på den offentliga sektorn Stockholm den 31 maj 2017 Lisa Johansson, Salli Fanaei, Tove Fors och Mattias Sandström Disposition Rätten till privatliv och dataskyddsregleringen Grundläggande begrepp Dataskyddsförordningen Tillämpningsområde Grundläggande principer Rättslig grund för behandling De registrerades rättigheter Skyldigheter för personuppgiftsansvariga/biträden Dataskyddsombud Sanktioner Checklista / Frågor Rätten till privatliv 1

Europakonventionen om de mänskliga rättigheterna Svenska grundlagar Rätten till privatliv EU:s stadga om de grundläggande rättigheterna Dataskyddsförordningen Svensk generell kompletteringslag E-privacyförordning en Polisdirektivet Ramlag för polisdirektivet Registerförfattningar Registerförfattningar t.ex. Registerförfattningar t.ex. Registerförfattningar LEK, LEK, KUL, KUL, kamera t.ex. Registerförfattningar LEK, KUL, kamera t.ex. LEK, KUL, kamera t.ex. LEK, KUL, kamera kamera Registerförfattningar Registerförfattningar Registerförfattningar Registerförfattningar t.ex. t.ex. LEK, LEK, KUL, t.ex. KUL, kamera LEK, KUL, Registerförfattningar t.ex. kamera LEK, KUL, kamera kamera EU:s rättighetsstadga artikel 8 1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. 2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. 3. En oberoende myndighet ska kontrollera att dessa regler efterlevs. EU:s dataskyddsreform 2

EU:s dataskyddsreform - flera delar Allmän dataskyddsförordning ( GDPR ) Dataskyddsdirektiv för brottsbekämpande myndigheter Brottsdatalag SOU 2017:29 Förordning om integritet och telekommunikation (e-privacy) Förordning om dataskyddsregler för EU:s institutioner Varför nya regler? Modernisering nu gällande regler bygger på ett direktiv från 1995 Förstärkning av enskildas rättigheter och tydliggörande av ansvar och skyldigheter för den som behandlar personuppgifter Harmonisering samma rättigheter och skyldigheter i hela EU Dataskyddsförordningen Förordning istället för direktiv Ett förhandlingsdokument Kompletterande lagstiftning generell kompletteringslag registerförfattningar Förslag till kompletterande lagstiftning under 2017 Artikel 29-gruppen förbereder EU-domstolens praxis får ökad betydelse 3

Missbruksregeln försvinner Behandling i ostrukturerat material till exempel vid publicering internet e-post ordbehandlingstext Kartlägg befintlig behandling som sker med stöd av missbruksregeln Identifiera bl.a. rättslig grund hur informationsskyldigheten kan uppfyllas Vad är (i princip) oförändrat? Strukturen Tillämpningsområdet Grundläggande krav Rättslig grund Känsliga personuppgifter Överföring till tredje land Grundläggande begrepp 4

Personuppgifter Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade) En identifierbar person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet Artikel 4.1, skäl 26-30 Känsliga personuppgifter Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Hälsa Sexualliv eller sexuella läggning Genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person Artikel 9.1 Personuppgiftsansvarig En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter Personuppgiftsansvaret kan i vissa fall bestämmas genom lagstiftning. Artikel 4.7 5

Personuppgiftsbiträde En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Artikel 4.8 Dataskyddsombud En person eller organisation Sakkunskap om dataskyddslagstiftning och förfaranden Bistår den personuppgiftsansvarige eller personuppgiftsbiträdet för att Övervaka den interna efterlevnaden av dataskyddsförordningen och andra dataskyddsbestämmelser Artikel 37-39, skäl 97 Dataskyddsförordningens tillämpningsområde 6

När tillämpas förordningen? Helt eller delvis automatiserad behandling av personuppgifter Manuell (om register) Artikel 2, skäl 15 När tillämpas förordningen? Personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i EU Inom ramen för verksamheten Ingen betydelse om behandlingen utförs i unionen eller inte Personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade utanför EU om De erbjuder varor och tjänster i EU eller Övervakar registrerades beteende i EU Artikel 3, skäl 22-25 När gäller inte förordningen? Undantag för privat behandling Uppgifter om avlidna Tryck- och yttrandefrihet Tillgången till allmänna handlingar offentlighetsprincipen Nationell säkerhet och gemensam utrikes- och säkerhetspolitik* Brottsbekämpande myndigheter (nytt direktiv) *omfattas enligt dataskyddsutredningens förslag Artikel 2, skäl 16-21+27, Artikel 85, skäl 153, Artikel 86, skäl 154 7

Principer för behandling av personuppgifter Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Ansvarsskyldighet Artikel 5, skäl 39, artikel 6.4, skäl 50 Laglighet, korrekthet och öppenhet Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt så att den registrerade förstår hur dennes uppgifter behandlas och varför. All information och kommunikation i samband med en personuppgiftsbehandling ska vara lättillgänglig och begriplig och ett klart och tydligt språk ska användas Artikel 5 8

Ändamålsbegränsning Personuppgifter får endast behandlas för tydligt angivna och berättigade ändamål och de får inte i ett senare skede behandlas för något annat oförenligt ändamål. Ramarna för behandlingen Ändamålet ska dokumenteras Oförenlighetsbedömning Artikel 5, artikel 6.4 Uppgiftsminimering Fler personuppgifter än vad som behövs för att uppfylla ändamålet får inte behandlas. Inte för att personuppgifterna kan vara bra att ha Artikel 5 Korrekthet Personuppgifterna ska vara korrekta och om nödvändigt uppdaterade. Skyldighet att vidta rimliga åtgärder för att uppgifter som inte behövs för ändamålet ska raderas eller rättas så fort som möjligt. Artikel 5 9

Lagringsminimering Personuppgifter får inte sparas i identifierbart skick under en längre tid än vad som är nödvändigt för ändamålet med behandlingen. Inför tidsfrister för radering eller regelbunden kontroll Artikel 5 Integritet och konfidentialitet Personuppgifterna ska med lämpliga tekniska eller organisatoriska åtgärder skyddas så att de inte blir åtkomliga för obehöriga, förstörs eller skadas. Nyhet som grundläggande princip Säkerhet för personuppgifter Artikel 5 Ansvarsskyldighet Den personuppgiftsansvarige ska ansvara för och kunna visa att principerna efterlevs. Tydligt ansvar Inte endast följa förordningen utan även visa att förordningen följs Hur visar man det? Artikel 5 10

Hur kan man visa att man följer förordningen? Öppenhetsprincipen Anta lämpliga strategier för dataskydd Dokumentation Utse dataskyddsombud Uppförandekoder Certifiering Artikel 5, 24, 30, 37, 40-42 Vad innebär principerna i praktiken? Bestäm ändamålet Identifiera rättslig grund Information Enbart uppgifter som behövs för ändamålet Skydda uppgifterna Radera uppgifterna (avskilj) när de inte längre behövs för ändamålet Visa att ni gör rätt När får man behandla personuppgifter? 11

Rättslig grund för behandlingen Samtycke (begränsat för myndigheter) Behandlingen är nödvändig för avtal rättslig förpliktelse* grundläggande intressen uppgift av allmänt intresse * myndighetsutövning* intresseavvägning (begränsat för myndigheter) * Nationell reglering krävs och nationell anpassning tillåts Artikel 6, skäl 44-50 Samtycke Mycket begränsat utrymme för myndigheter att behandla personuppgifter med stöd av samtycke Frivilligt, specifikt, informerat och otvetydigt Samtycke ska vara klart och tydligt Personuppgiftsansvarige ska visa att samtycke finns Information om rätt att återkalla samtycke Artikel 4, skäl 32 och artikel 7, skäl 42-43 Samtycke Villkorat samtycke kan i vissa fall vara ogiltigt spelar in på huruvida samtycket är frivilligt Barns samtycke kräver i vissa fall vårdnadshavares godkännande Artikel 7-8, skäl 43 12

Rättslig grund för behandlingen Samtycke (begränsat för myndigheter) Behandlingen är nödvändig för avtal rättslig förpliktelse* grundläggande intressen uppgift av allmänt intresse * myndighetsutövning* intresseavvägning (begränsat för myndigheter) * Nationell reglering krävs och nationell anpassning tillåts Artikel 6, skäl 44-50 Rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning Krav på nationell lagstiftning (i någon form ) eller unionsrätt Nationellt utredningsarbete pågår Dataskyddsutredningens förslag Ny dataskyddslag (SOU 2017:39) Översyn av befintliga registerförfattningar Artikel 6.2-3, skäl 8, 10, 41, 45 En ny spelplan Dataskyddsförordningen Verksamhetslagstiftning Registerförfattning Generell kompletteringslag Förenklad och schematisk bild 13

Känsliga personuppgifter Principiellt förbud att behandla känsliga personuppgifter Undantag för bland annat bevaka rättsliga anspråk Vissa undantag kräver stöd i nationell rätt Dataskyddsutredningen föreslår undantag myndigheters behandling i vissa fall på arbetsrättens område hälso- och sjukvård, social omsorg arkiv och statistik Artikel 4, 9, skäl 10, 51-56 Andra integritetskänsliga uppgifter Uppgifter om lagöverträdelser m.m.* Mindre ändringar Uttryckligt stöd i lag, föreskrifter eller beslut från Datainspektionen krävs för andra än myndigheter Personnummer* Ingen ändring * Enligt dataskyddsutredningens förslag Artikel 10, 87 Tredjelandsöverföring Överföring av personuppgifter till länder utanför EU eller en internationell organisation kräver stöd i förordningen Beslut adekvat skyddsnivå och andra situationer med eller utan krav på skyddsnivå Motsvarar i stort vad som gäller enligt personuppgiftslagen Viktigt att iaktta reglerna om tredjelandsöverföring vid exempelvis användande av molntjänster Bestämmelserna gäller även för personuppgiftsbiträden Artikel 44-50, skäl 101-116, artikel 96 14

Registrerades rättigheter Registrerades rättigheter Information och registerutdrag Rättelse och radering Begränsning av behandling Dataportabilitet Invändning mot behandling Motsätta sig automatiserad behandling Personuppgiftsansvariga har en skyldighet att underlätta utövandet av rättigheterna Artiklarna 12-23 Information och registerutdrag Informationen är en väsentlig del av integritetsskyddet Skyldighet att ge klar och tydlig information Får kombineras med standardiserade symboler Kortare tidsfrister Kostnadsfritt Informationsskyldigheten är mer omfattande än tidigare Artikel 12, skäl 58-62 15

Skyldighet att lämna information När personuppgifter När personuppgifter Den registrerades rätt till samlas in från den registrerade (art. 13) (art. 14) (art. samlas in från annan tillgång (registerutdrag) 15) PUA:s register över behandling (art. 30.1) Personuppgiftsansvarige Ja Ja Nej Ja Dataskyddsombudet Ja Ja Nej Ja Ändamålen Ja Ja Ja Ja Rättslig grund Ja Ja Nej Nej Kategorier av personuppgifter Nej Ja Ja Ja Intresse vid intresseavvägning Ja Ja Nej Nej Mottagarna Ja Ja Ja Ja Tredjelandsöverföring m.m. Ja Ja Ja Ja Lagringstid Ja Ja Ja Ja De registrerades rättigheter Ja Ja Ja Nej Rätten att dra tillbaka ett samtycke Ja Ja Nej Nej Rätten att lämna klagomål till DPA Ja Ja Ja Nej Uppgiftsskyldighet enligt avtal eller lag Ja Nej Nej Nej Automatiserat beslutsfattande Ja Ja Ja Nej Källa varifrån uppgifterna har hämtats Nej Ja Ja Nej Säkerhetsåtgärder Nej Nej Nej Ja OBS. Tabellen är förenklad och ej fullständig. Ytterligare skyldigheter att informera finns i andra bestämmelser. Rättelse Rätta felaktiga uppgifter Komplettera ofullständiga uppgifter Informera mottagare om rättelsen Artikel 16 och 19, skäl 65 Radering rätten att bli glömd Radera personuppgifter om den registrerade Förutsättningar, bl.a. om uppgifter inte längre behövs för ändamålen återkallat samtycke Informera, i vissa fall, andra personuppgiftsansvariga och mottagare Undantag, bl.a. Artikel 17 och 19, skäl 65-66 Nödvändig för yttrande- och informationsfriheten Nödvändig för rättslig förpliktelse, allmänt intresse och myndighetsutövning, rättsliga anspråk Nödvändig för arkiv, forskning, statistik 16

Begränsning av behandling På begäran av den registrerade vid begäran om rättelse eller invändning, som alternativ till radering, om den registrerade behöver uppgifterna för rättsliga anspråk Uppgifterna får endast användas i vissa särskilt angivna fall, bl.a. den registrerades samtycke Den registrerade ska underrättas när begränsningen upphör Artikel 18, skäl 67 Dataportabilitet Rätt att få ut och överföra egna personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format om uppgifter har tillhandahållits av den registrerade behandling sker med stöd av samtycke eller avtal behandling sker automatiserat inte påverkar andras rättigheter och friheter ogynnsamt Gäller inte om behandling nödvändig för att utföra en uppgift av allmänt intresse eller myndighetsutövning Artikel 20, skäl 68 Invända mot behandling Rätt att invända mot behandling som grundas på allmänt intresse, myndighetsutövning eller intresseavvägning Ny prövning utifrån den registrerades situation Behandlingen måste upphöra om inte Tvingande berättigade skäl eller behandlingen sker för rättsliga anspråk Vid direkt marknadsföring måste behandling upphöra Även rätt att invända vid forskningsändamål eller statistik, om inte nödvändigt för att utföra uppgift av allmänt intresse Artikel 21, skäl 69-70 17

Automatiserade beslut Rätt att inte bli föremål för beslut som Grundas enbart på automatiserad behandling (inkl. profilering), vilka får rättslig eller liknande effekt Automatiserade beslut är endast tillåtna om Avtal Lagstiftning Samtycke Artikel 22, skäl 71-72 Begränsningar i unionsrätt eller nationell rätt Rättigheter och skyldigheter får begränsas Om nödvändig och proportionerlig åtgärd Skydda vissa angivna intressen Artikel 23, skäl 73 Undantag arkiv, forskning, statistik Forskning eller statistik Registerutdrag, rättelse, begränsad behandling, invändning (art. 15-16, 18, 21) Arkivändamål Registerutdrag, rättelse, begränsad behandling, anmälningsskyldighet, dataportabilitet, invändning (art.15-16, 18-21) Om omöjligt eller mycket svårare att uppfylla dessa ändamål och undantag krävs för att uppnå ändamålen Artikel 89.2-3 18

Skyldigheter för den som behandlar personuppgifter Skyldigheter för personuppgiftsansvariga Personuppgiftsansvariga är skyldiga att se till att de registrerades rättigheter upprätthålls Den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att förordningen följs och för att kunna visa att förordningen följs Artikel 24 Skyldigheter för personuppgiftsansvariga (forts) Inbyggt dataskydd och dataskydd som standard Säkerhet vid behandling Anmälan av personuppgiftsincidenter Konsekvensbedömningar och förhandssamråd Register över behandlingar Utse dataskyddsombud Artikel 25, 28, 30, 32-35 och 37 19

Artikel 25, skäl 78 Inbyggt dataskydd Inbyggt dataskydd ska skydda registrerades rättigheter Den personuppgiftsansvarige ska före och under en behandling vidta åtgärder som främjar uppfyllandet av dataskyddsprinciper och integrerar nödvändiga säkerhetsåtgärder Krav på lämpliga tekniska och organisatoriska åtgärder med beaktande av senaste utvecklingen kostnader behandlingens art, omfattning, sammanhang och ändamål samt riskerna Dataskydd som standard Handlar om att styra användaren mot ett integritetssäkert arbetssätt Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast uppgifter som är nödvändiga för ändamålet behandlas Här ska särskilt mängden uppgifter, behandlingens omfattning, lagringstid och tillgängligheten beaktas Artikel 25, skäl 78 Säkerhet Artikel 32, skäl 83 Den personuppgiftsansvarige ska vid en behandling ha en säkerhetsnivå som är lämplig i förhållande till risken vid behandlingen Faktorer som vägs in vid bedömningen av säkerhetsnivå är den senaste utvecklingen kostnader behandlingens art, omfattning, sammanhang och ändamål samt risker Säkerhetsnivån ska uppnås genom lämpliga tekniska och organisatoriska åtgärder 20

Personuppgiftsincidenter En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som har överförts, lagrats eller på annat sätt behandlats Ska anmälas till Datainspektionen om det inte är osannolikt att incidenten medför en risk för fysiska personers fri- och rättigheter Krav på innehåll i anmälan och dokumentation av alla incidenter Artikel 4, 33-34, skäl 85-88 Personuppgiftsincidenter - information Om personuppgiftsincidenten sannolikt leder till hög risk ska den registrerade informeras om incidenten Informationen ska vara tydlig och klar Det finns tre undantag när information inte behöver lämnas Uppgifterna skyddas av kryptering eller liknande Vidtagit ytterligare åtgärder så att det inte längre är en hög risk för de registrerades rättigheter Att det skulle krävas en oproportionerlig ansträngning att informera Artikel 4, 33-34, skäl 85-88 Konsekvensbedömningar Ska utföras om en behandling sannolikt bedöms leda till en hög risk för fysiska personers rättigheter Risken bedöms utifrån behandlingens art omfattning sammanhang ändamål användningen av ny teknik I tre särskilt angivna fall ska en konsekvensbedömning alltid utföras Artikel 35, skäl 84, 89-95 21

Konsekvensbedömning (forts) Minimikrav på innehåll Ska vid behov ses över, åtminstone när risken förändras Dataskyddsombudet ska rådfrågas Datainspektionen ska komma med en lista på behandlingar som kräver konsekvensbedömning Om konsekvensbedömningen visar en hög risk ska den personuppgiftsansvarige samråda med Datainspektionen före behandlingen Artikel 35, skäl 83, 89-95, Artikel 36 Register över behandlingar Varje behandling som utförs under den personuppgiftsansvariges ansvar ska med i registret Registret ska innehålla information om namn och kontaktuppgifter ändamålen med behandlingen kategorier av registrerade, mottagare och personuppgifter överföring till tredje land om möjligt: tidsfrister för radering, och en beskrivning av säkerhetsåtgärder Det finns ett undantag från skyldigheten Artikel 30, skäl 82 Skyldigheter för personuppgiftsbiträden Lämna garantier för att förordningen följs Krav på biträdesavtalet Bistå den personuppgiftsansvarige Register över behandling Eget ansvar för säkerhet Anmälan av personuppgiftsincidenter till den personuppgiftsansvarige Utse dataskyddsombud Artikel 28, 30, 32 och 33, skäl 81 22

Dataskyddsombud När ska ett dataskyddsombud utses? Skyldighet att utse om: Myndighet Kärnverksamhet som innebär systematisk övervakning av personer i stor skala Kärnverksamhet som innebär behandling i stor skala av integritetskänsliga personuppgifter Även personuppgiftsbiträden ska utse ett dataskyddsombud Inget hinder att utse ett dataskyddsombud även i andra fall Artikel 37, skäl 97 Dataskyddsombudets uppgifter Informera och ge råd Övervaka efterlevnaden Samarbeta med tillsynsmyndigheten Ge råd vid konsekvensbedömningar Artikel 39 23

Dataskyddsombudets ställning Yrkesmässiga kvalifikationer och sakkunskap om dataskydd Delta i god tid i alla frågor som rör skyddet av personuppgifter Fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt Ska inte kunna bestraffas för sitt uppdrag Ska rapportera till högsta förvaltningsnivå Tystnadsplikt Artikel 37, 38 Behandling inom EU Tillsyn vid behandling i flera EU-länder One-stop-shop vid gränsöverskridande behandling Samarbete mellan dataskyddsmyndigheter Enhetlig tillämpning Europeiska dataskyddsstyrelsen (EDPB) 24

Undantag från one-stop-shop Behandling som sker för fullgörande av en rättslig förpliktelse uppgift av allmänt intresse myndighetsutövning Lokala ärenden ärenden som rör ett verksamhetsställe i en medlemsstat eller i väsentlig grad påverkar registrerade i endast en medlemsstat ansvarig myndighet kan dock ta över ärendet Artikel 55.2 och 56.2, skäl 127-128 Vad händer om man bryter mot reglerna? Vad händer om man bryter mot reglerna? Datainspektionens verktyg tillsyn och föreläggande, varning och reprimand administrativa sanktionsavgifter Den registrerades egna möjligheter klagomål skadestånd Artikel 58, 77, 78, 82, 83, 84 25

Dataskyddsutredningens förslag Sanktionsavgifter föreslås omfatta statliga och kommunala myndigheter Två olika nivåer max 10 000 000 kr för mindre allvarliga förseelser max 20 000 000 kr för allvarligare förseelser Administrativa sanktionsavgifter Kompletterar andra förelägganden Avgiften ska i det enskilda fallet vara effektiv, proportionell och avskräckande Hänsyn ska tas till ett stort antal faktorer, bl.a. antal personuppgifter ändamål vidtagna åtgärder för att minska intrång tidigare överträdelser samarbetsvilja Artikel 83, skäl 148-152 Sanktionsavgifter (forts) Högre avgiftsnivån (upp till 20 milj euro eller 4 % av globala omsättningen) Gäller för överträdelser av bl.a. de grundläggande principerna de registrerades rättigheter överföring till tredje land underlåtenhet att rätta sig efter förelägganden 26

Sanktionsavgifter (forts) Lägre avgiftsnivån (upp till 10 milj euro eller 2 % av globala omsättningen) Gäller för överträdelser av bl.a. inbyggt dataskydd föra register över behandlingar utse dataskyddsombud vidta säkerhetsåtgärder anmäla dataskyddsincident Skadestånd Materiella och immateriella skador som uppstår vid behandling i strid med förordningen och nationella bestämmelser som fyller ut förordningen Solidariskt skadeståndsansvar med regressrätt Även biträden har ett skadeståndsansvar Artikel 82, skäl 146 Checklista Skapa medvetenhet inom organisationen Är ledningen insatt? Finns det resurser för arbetet? Utse dataskyddsombud? Inventera personuppgiftsbehandlingar Vilka kategorier av personuppgifter behandlas? Känsliga personuppgifter? Uppgifter om barn? Hur samlas uppgifterna in och till vem lämnas de ut? Upprätta ett register över personuppgiftsbehandlingar Särskilda integritetsrisker ( hög risk ) 27

Checklista (forts) Se över vilken rättslig grund för behandlingen Missbruksregeln försvinner, alternativ? Hur inhämtas samtycke? Myndigheter kan i princip inte använda samtycke eller intresseavvägning Se över vilken information som lämnas till de registrerade Uppfyller ni informationskraven? Lättillgänglig form samt klart och tydligt språk Checklista (forts) Ta fram rutiner för de registrerades rättigheter Registerutdrag, rättelse, radering, begränsning, dataportabilitet, invändning, automatiserade beslut Verksamhet i flera länder? Vilken dataskyddsmyndighet inom EU blir ansvarig myndighet för era personuppgiftsbehandlingar? Överförs personuppgifter till tredje land? Se över säkerheten för behandlade personuppgifter Ta fram rutiner för incidentrapportering Inbyggt dataskydd och dataskydd som standard Checklista (forts) Det räcker inte bara att göra rätt utan ni ska kunna visa att ni gör rätt! Utarbeta lämpliga strategier för dataskydd Följ utvecklingen (nationell lagstiftning) Tänk på att skyddet för personuppgifter inte bara är en grundläggande rättighet utan även en fråga om de registrerades förtroende 28

Vad händer nu? Förberedelserna fortsätter Vägledningar från artikel 29-gruppen Nationella utredningar pågår Dataskyddsutredningen 12 maj 2017 (SOU 2017:39) Utbildningsinsatser Datainspektionens föreläsningsverksamhet Information på Datainspektionens webbplats utvecklas Frågor? 29

Användbara länkar http://www.datainspektionen.se/dataskyddsreformen/ http://www.datainspektionen.se/dataskyddsreformen/forbe redelser/pagaende-utredningar/ http://www.datainspektionen.se/lagar-och-regler/eusdataskyddsreform/forberedelser-forpersonuppgiftsansvariga/ http://www.datainspektionen.se/lagar-och-regler/eusdataskyddsreform/forberedelser-forpersonuppgiftsbitraden/ https://secure.pensionsmyndigheten.se/download/18.50242 85a1526bd01ab3e678/1490187664120/Bilaga+1+Juridisk+ analys_molntj%c3%a4nster+i+staten_final+1.1.pdf http://ec.europa.eu/justice/data-protection/index_en.htm 30