www.pwc.se Från PuL till nya dataskyddsförordningen Riktlinjer för en lyckad implementering Regionförbundet i Kalmar Län Kommunchefsmöte 2017-02-02
Agenda 1. Kort bakgrund och vad som förändras 2. Vad behöver man göra? 3. Så lyckas du med genomförandet 4. Tips på Verktyg 5. Fallgropar Henrik Hammarberg Director, Cyber Security henrik.hammarberg@se.pwc.com 2
Bakgrund och vad som förändras Bakgrund - Varför behövdes det nya regler? Exempel på nuvarande och nya regler 3
Bakgrund varför behövdes det nya regler? Förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter Olika regler inom EU Dataskyddslagarna inom EU är olika i varje land, trots att de bygger på samma Dataskyddsdirektiv från 1995 Teknisk utveckling Dataskyddsdirektivet från 1995 hade inte hängt med i den tekniska utvecklingen, med internet, laptops, smart phones, sociala medier, sökmotorer, direktmarknadsföring och big data som medförde att många affärsidéer bygger på användning och analys av personuppgifter Ny Dataskyddsförordning 25:e maj 2018 Minskade kostnader Gemensamma regler i EU:s medlemsstater beräknades minska kostnaderna för företagen på 2,3 miljarder Euro per år Privatpersoners integritet Man ville stärka privatpersoners rättigheter, förenkla och ge dem bättre kontroll över sina personuppgifter 4
Exempel på nuvarande och nya regler Lagen gäller alla (utom för rent privat behandling) Nuvarande regler i PuL gäller företag och utrustning i Sverige Anmälningsplikt om man inte utsett personuppgiftsombud eller har register Personuppgiftsansvarig kravställer på personuppgiftsbiträde Personuppgiftsombud frivillig roll Känsliga personuppgifter särskilt skydd Samtycke Information till de registrerade Rättelser av uppgifter på begäran Radering när uppgifterna inte längre behövs Säkerhetsåtgärder Överföring till tredje land Sanktioner upp till max två års fängelse Nya regler i dataskyddsförordningen gäller tjänster och produkter inom EU och EES Anmälningsplikt tas bort Dataskyddsombud obligatorisk roll i vissa fall. Kompetenskrav Känsliga personuppgifter nya tillkommer Skärpta rättigheter för de registrerade t.ex. informationskrav, dataportabilitet, rättelser, radering, samtycke, profilering Anmäla personuppgiftsincident inom 72 h Inbyggt dataskydd från början Säkerhetsåtgärder risk och konsekvensbedömningar, pseudonymisering och anonymisering tillkommer. Överföring till tredje land Sanktioner upp till 20 miljoner Euro (samt skadestånd, varning etc.) 5
Den registrerade individens rättigheter Transparens Tydlig och lättförståelig information samt kopia av all personlig data och individens rättigheter Rätt att rätta och komplettera personlig data Rätt att bli glömd (raderad) Rätt att motsäga sig viss behandling av personuppgifter (Data Portability) Rätten att inte behandlas i automatiserat beslutsfattande Introduction to GDPR december 2016 6
Vad behöver man göra? 7
Vad behöver man göra? Övergripande Strategi Riskbaserad ansats Demonstrera hur ni lever upp till kraven Nyckelfrågor Projektorganisation Kostnadsdrivare Tidplan 1. Kartlägg Vilka personuppgifter hanterar vi, och varför? 3. Rådfråga Vilka intressenter behöver du rådfråga? 5. Dokumentera Hur ska vi bevisa att du uppfyller kraven? 7. Utmaning Hur ska vi hantera incidenter, problem och klagomål? 9. Sanktioner 2. Analysera Vilka är integritetsriskerna och vilken skada kan de orsaka? 4. Inbyggt dataskydd Hur ska vi bygga in integritetsskydd från början i våra processer? 6. Informera Vilken information ska vi ge till allmänheten och anställda samt när behövs samtycken? 8. Följ upp Hur ska vi säkerställa kunders och anställdas rättigheter och tillsyn? Hur ska vi klara de allvarligaste regulatoriska sanktionerna och skadeståndskrav? 8
1 Kartläggning: Personuppgifter enligt GDPR Vad är personuppgifter? All typ av information som kan användas direkt eller indirekt för att identifiera en person, såsom Namn Personnummer Foto (om individen kan identifieras) Videoupptagning Ljudupptagning Telefonnummer och IP-adresser Kontonummer Kreditkortsnummer Vad är känsliga personuppgifter (också känt som särskilda kategorier av personuppgifter)? Ras/Etniskt ursprung Politisk uppfattning Religiös eller filosofisk övertygelse Fackligt medlemskap Hälsa Genetik och biometri 9
Kartläggning forts.: Förteckning över personuppgifter 1. Datainspektionens förslag på blankett 2. Vilka personuppgiftsbehandlingar ni har i er verksamhet 3. Vad man kan använda förteckningen till För att få överblick, och säkerställa att det finns laglig grund Visa upp vid ett eventuellt tillsynsärende För uppföljning av efterlevnad (t.ex. processer och säkerhetsåtgärder) För att användas i samband med begäran om registerutdrag För att hitta personuppgiftsbiträdesavtal som behöver uppdateras För att hitta dokumenterade åtgärder, t ex konsekvensbedömningar 10
2 Analysera vilka integritetsriskerna är, och vilken skada kan de orsaka Risker som nämns i förordningen, som ska analyseras: Profilering Känsliga personuppgifter Kameraövervakning av allmänna platser i stor skala Datainspektionen kommer också att ha möjlighet att publicera listor på vilka behandlingar som kommer att kräva att man gör konsekvensbedömningar Tips: Analysera även sådant som kan leda till diskriminering, ekonomisk skada, identitetsstöld eller vara pinsamt för de registrerade 11
3 Rådfråga dataskyddsombud och andra som har delansvar Vilka behöver involveras för att få ledningens beslut och stöd från dem som har ledningsansvar? 12
4 Inbyggt dataskydd: Konsekvensbedömning Tag fram beslutsunderlag i anskaffnings- och utvecklingsprocesser Konsekvensbedömning Beskrivning av personuppgiftsbehandling och ändamål Principer för behandling av personuppgifter Beskrivning av organisationens legitima intresse Identifierade integritetsrisker Analys av integritetsrisker för de registrerade Åtgärder för att minska riskerna Säkerhetsåtgärder Konsultation: Om det inte är görligt att minimera riskerna måste Datainspektionen rådfrågas. De har sista ordet om behandlingen är tillåten. 13
5 Dokumentation Vilken dokumentation behövs (för att styra upp hur personuppgifter behandlas och att kunna demonstrera att behandlingen uppfyller förordningens krav)? Förteckning över personuppgiftsbehandlingar Styrdokument (policy, instruktioner, riktlinjer m.m.) Avtal (t. ex personuppgiftsbiträdesavtal) Inträffade incidenter, effekter och åtgärder Överföring till tredje part och tredje land Genomförda konsekvensbedömningar Risklista Utbildning, generell och målgruppsanpassad 14
6 Informera Informera innan personuppgifter samlas in från den registrerade Identitet och kontaktuppgifter för den personuppgiftsansvarige. Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall. Ändamål och rättslig grund för behandlingen. Personuppgiftsansvariges eller en tredje parts berättigade intressen. Mottagare som ska ta del av personuppgifterna. Vid överföring till ett tredjeland och huruvida adekvat skyddsnivå föreligger eller saknas eller, och hur en kopia av dem kan erhållas. Period eller kriterier för lagring. De registrerades rättigheter (tillgång och rättelse, radering, begränsning av behandling, dataportabilitet, klagomål till en tillsynsmyndighet). Grunden för begäran om personuppgifterna (lagkrav, eller nödvändigt för avtal och konsekvens om de inte lämnas) Information om eventuella ytterligare ändamål. 15
7 Utmaningar För att undvika att brister i personuppgiftsbehandlingen leder till anmälningar till Datainspektionen är det viktigt att etablera en bra hantering av problem, klagomål och incidenter. 16
8 Uppföljning Egen uppföljning av Juridik, internrevisionen, säkerhet och IT, avseende efterlevnad av egna styrdokument och lagkrav Följ upp efterlevnad av ev. personuppgiftsbiträdesavtal Ledningen kan vilja ha oberoende uppföljning av både förändringsarbete och linjeansvar Se till att personuppgiftshantering ingår i riskrapportering om sådan process finns 17
Tips på verktyg Gapanalys Riskanalys Säkerhetsklassning 18
Tips på verktyg: Gapanalys Översikt 19
Tips på verktyg: Gapanalys Översikt Detalj 20
Riskanalys Åtgärder Riskmatris Sannolikhet Hög Acceptabel risk Oacceptabel risk Oacceptabel risk Undvik T.ex genom en annan approach Medium Acceptabel risk Acceptabel risk Oaacceptabel risk Minska T. ex. genom att minska snnolikheten med lämpliga säkerhetsåtgärder Låg Acceptabel risk Acceptabel risk Acceptabel risk Dela T. ex. genom att avtala med någon leverantör om t. ex. IT-drift Försumbar Medel Acceptera risken, men det måste vara ett medvetet beslut, I så fall Allvarlig Acceptera Konsekvens 21
Säkerhetsklassning exempel 1 Informationsägaren klassar informationen Informationsägaren klassar informationen. Alla måste sedan hantera informationen I enlighet med beslutad klass. 2 Hur klassas och märks informationen? Konsekvens om information exponeras: Märkning: Till fördel for organisationen Varken fördel eller nackdel Skada för organisationen/ kunder /anställda Allvarlig skada för organisationen/ kunder /anställda Publik Intern Konfidentiell Hemlig 22
Säkerhetsklassning exempel, fortsättning 3 Informationsanvändaren hanterar informationen i enlighet med märkt klass Informationsanvändaren är den person som är behörig att ta del av informationen. 4 Vem är behörig användare? Publik Intern Inga begränsningar Anställda och andra som arbetar för organisationen Konfidentiell Beslutas av informationsäga ren. Anges med en distributionslista Hemlig Beslutas av informationsäga ren. Anges med en distributionslista 23
Så lyckas du implementera förordningen i din organisation Ledningen Förbered projekt 24
Checklista för att lyckas Ledningen Orientering för ledningen - Ledningens engagemang och insikt är kritisk, särskilt då tiden är knapp, så what s in it for you? System och organisationsförändringar Deadline Sanktioner Medborgarnas förtroende Synligt stöd Identifiera ägare och intressenter som har delansvar (Juridik, CIO, CISO, dataskyddsombud, HR, marknad, SÄK, kommunikation, Compliance) - Din egen roll? Beslut om ledning, styrning och budget GAP-Analys Samordningsbeslut (gränsdragning centralt lokalt) 25
Checklista för att Lyckas Principer för hantering av personuppgifter 01 Lagligt, transparent och rättvist Laglig grund. Information till individer: Innan insamling Vid förfrågan Vid incident Annars Samtycke! Introduction to GDPR Specifikt, explicit och legitimt Ha analyserat varför informationen behövs innan den samlas in. Använd enbart för avsett syfte. Enbart det nödvändiga Riktigt och underhållet Samla inte in mer information än vad som är absolut nödvändigt och behåll den inte när den spelat ut sin roll/sitt syfte. Felaktigheter i, eller avsaknad av, information skall rättas till. december 2016 26
Checklista för att lyckas Principer för hantering av personuppgifter, forts. 01 Radera när behovet inte längre kvarstår Ex: Om en individs anställning upphör kvarstår ej längre behovet av personuppgifterna varför de skall raderas. Introduction to GDPR Adekvat skydd Personlig data skall inte exponeras för obehörig, förloras eller ändras samt vara tillgänglig för behörig personal. Förmågan att visa compliance Det skall vara möjligt att demonstrera GDPR-compliance i händelse av en granskning. december 2016 27
Technology Process Checklista för att lyckas Förbered ett projekt 28
Checklista för att lyckas - Data Protection Officer (DPO) En DPO är obligatorisk om: Om organisationen har en stor mängd personupgifter eller dess behandling orsakar integritetsrelaterade risker Kärnverksamheten innebär systematisk övervakning av registrerade individer Organisationen är en myndighet Senior roll med givna kompetenskrav utan intressekonflikt Rapporterar direkt till organisationens högsta ledning Ska ha tillräckliga resurser och erforderligt stöd Introduction to GDPR december 2016 29
Checklista för att lyckas Vad kan samordnas? Tänkbara samordningsområden Awareness och utbildning GAP-Analyser Dokumentation/mallar DPO Integritetsbrottsrapportering Metodik 30
Fallgropar 31
Exempel på fallgropar Ofullständigt kartlagda personuppgiftsbehandlingar (t. ex. i laptops, molntjänster, skyddade identiteter, allergiuppgifter vid event m.m.) Missar i hur projekt sätts i gång och genomförs, t ex oklar finansiering, styrning, oklara mål eller ej förankrat hos ledningen. Samtycke Beroendeförhållande mellan arbetsgivare och anställd Vad gör man vid återtaget samtycke? Många organisationer vill undvika sanktioner men med minsta möjliga ansträngning. Det kan vara svårt att få det att gå ihop. 32
Tack! henrik.hammarberg@se.pwc.com Tel. 070-778 87 93 Denna presentation har tagits fram endast som allmän information och/eller generell vägledning. Den utgör således inte någon professionell rådgivning. Du bör därför inte förlita dig på presentationen eller vidta några åtgärder på grundval av den utan att dessförinnan ha gjort avstämningar med en professionell rådgivare utifrån de förutsättningar som gäller i din situation. Med hänsyn härtill lämnar Öhrlings PricewaterhouseCoopers AB/PricewaterhouseCoopers AB ingen utfästelse eller garanti (uttrycklig eller underförstådd) för att informationen i presentationen är korrekt och/eller fullständig för dina syften och ändamål. Öhrlings PricewaterhouseCoopers AB/PricewaterhouseCoopers AB tar således inte något som helst ansvar för eventuella konsekvenser av att du väljer att förlita dig på eller agera utifrån informationen i denna presentation. This publication or presentation has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication/presentation without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, Öhrlings PricewaterhouseCoopers AB, PricewaterhouseCoopers AB, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication/presentation or for any decision based on it. 2017 PricewaterhouseCoopers i Sverige AB. All rights reserved. In this document, refers to Öhrlings PricewaterhouseCoopers AB or PricewaterhouseCoopers AB which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.