Från PuL till nya dataskyddsförordningen Riktlinjer för en lyckad implementering

Relevanta dokument
Dataskyddsförordningen. GDPR (General Data Protection Regulation)

PwC Digital Trust Introduktion till GDPR. GRC-dagarna oktober 2017

Kunskapsdagen Nya ränteavdragsbegränsningsregler vad innebär den nya lagstiftningen i praktiken? Andreas Paulsson och Ingemar Ritseson

Lagförslag om obligatorisk hållbarhetsredovisning CSR Öresund 19 maj 2016

Kommittén för God revisors- och revisionssed 2015/2016. PwC

Kunskapsdagen 2018 Civilrätt för dig som företagare och privatperson Angelica Persson Ewö

8. Vad innebär den nya dataskyddsförordningen för er? Kunskapsdagen Malmö 21 november 2017

Din personlig cybersäkerhet

36. GDPR-sex månader kvar november 2017

GDPR efter 25e maj Vad händer nu? 28 november 2018

Nyheter och tillämpningsfrågor K2/K3. Olle Nilsson och Daniela Casadei

Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen GDPR

Förstudie rörande den interna kontrollen av etik, korruption och oegentligheter Danderyds kommun november 2016

GDPR UTBILDNINGSDAG SKKF

Dataskyddsförordningen

21. Svenska kyrkan - mycket på gång!

Dataskyddsförordningen

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen GDPR - General Data Protection Regulation

Lindesbergs kommuns arbete med dataskyddsförordningen

GDPR Presentation Agenda

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen

GDPR. Dataskyddsförordningen

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

GDPR- Seminarium 2017

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Handlingsplan för persondataskydd

Trygga Betalningar Få kontroll över leverantörer och betalningar

Axholmen:s Integritetspolicy

EU:s dataskyddsförordning

PwC + Ekelöw = Sant 26 maj 2016

INTEGRITETSPOLICY för Webcap i Sverige AB

Riktlinjer för dataskydd

Policy för behandling av personuppgifter

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Erfarenheter efter första året av lagstadgad hållbarhetsrapportering november 2018

DATASKYDD (GDPR) Del 2: Förvaltningsledning

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Framtidens Internrevision 27 november 2018

Dataskyddsförordningen

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen

Det tuffaste styrelseuppdraget att vara ledamot i föreningar och stiftelser november 2018

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Framtidens kommun 28 november 2018

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

GDPR. General Data Protection Regulation. dataskyddsförordningen

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Välkomna till kurs i den nya dataskyddsförordningen

GDPR efter 25e maj Vad händer nu? 21 november 2018

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Behandling av personuppgifter vid Göteborgs universitet

WHITE PAPER. Dataskyddsförordningen

Information om dataskyddsförordningen

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Integritetspolicy Upplev Norrköping

GDPR och hantering av personuppgifter

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

Policy för behandling av personuppgifter

Nordic Waterproofings AB Integritetspolicy 1 Inledning Vilka personuppgifter samlar vi in om dig och varför?... 2

Anna Borg och Fredrik Ljungdahl

Att hantera personuppgifter

Vården och reglerna om dataskydd

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

GDPR NYA DATASKYDDSFÖRORDNINGEN

Omvärlden tränger sig på - Hot och trender november 2018

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

EU:s allmänna dataskyddsförordning:

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Vad är en personuppgift och vad är en behandling av personuppgifter?

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Upprätthållandet av korrekta och uppdaterade uppgifter. Skicka relevant information och erbjudanden

(5) Integritetspolicy - Kumla Bostäder AB

Översikt av GDPR och förberedelser inför 25/5-2018

Personuppgiftsinformation för Svedala kommun

PuL och GDPR en översiktlig genomgång

Dataskyddsförordningen

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

INFORMATIONSSÄKERHET OCH DATASKYDD

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Rapportering från PwC

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

Dataskyddsförordningen 2018

Transkript:

www.pwc.se Från PuL till nya dataskyddsförordningen Riktlinjer för en lyckad implementering Regionförbundet i Kalmar Län Kommunchefsmöte 2017-02-02

Agenda 1. Kort bakgrund och vad som förändras 2. Vad behöver man göra? 3. Så lyckas du med genomförandet 4. Tips på Verktyg 5. Fallgropar Henrik Hammarberg Director, Cyber Security henrik.hammarberg@se.pwc.com 2

Bakgrund och vad som förändras Bakgrund - Varför behövdes det nya regler? Exempel på nuvarande och nya regler 3

Bakgrund varför behövdes det nya regler? Förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter Olika regler inom EU Dataskyddslagarna inom EU är olika i varje land, trots att de bygger på samma Dataskyddsdirektiv från 1995 Teknisk utveckling Dataskyddsdirektivet från 1995 hade inte hängt med i den tekniska utvecklingen, med internet, laptops, smart phones, sociala medier, sökmotorer, direktmarknadsföring och big data som medförde att många affärsidéer bygger på användning och analys av personuppgifter Ny Dataskyddsförordning 25:e maj 2018 Minskade kostnader Gemensamma regler i EU:s medlemsstater beräknades minska kostnaderna för företagen på 2,3 miljarder Euro per år Privatpersoners integritet Man ville stärka privatpersoners rättigheter, förenkla och ge dem bättre kontroll över sina personuppgifter 4

Exempel på nuvarande och nya regler Lagen gäller alla (utom för rent privat behandling) Nuvarande regler i PuL gäller företag och utrustning i Sverige Anmälningsplikt om man inte utsett personuppgiftsombud eller har register Personuppgiftsansvarig kravställer på personuppgiftsbiträde Personuppgiftsombud frivillig roll Känsliga personuppgifter särskilt skydd Samtycke Information till de registrerade Rättelser av uppgifter på begäran Radering när uppgifterna inte längre behövs Säkerhetsåtgärder Överföring till tredje land Sanktioner upp till max två års fängelse Nya regler i dataskyddsförordningen gäller tjänster och produkter inom EU och EES Anmälningsplikt tas bort Dataskyddsombud obligatorisk roll i vissa fall. Kompetenskrav Känsliga personuppgifter nya tillkommer Skärpta rättigheter för de registrerade t.ex. informationskrav, dataportabilitet, rättelser, radering, samtycke, profilering Anmäla personuppgiftsincident inom 72 h Inbyggt dataskydd från början Säkerhetsåtgärder risk och konsekvensbedömningar, pseudonymisering och anonymisering tillkommer. Överföring till tredje land Sanktioner upp till 20 miljoner Euro (samt skadestånd, varning etc.) 5

Den registrerade individens rättigheter Transparens Tydlig och lättförståelig information samt kopia av all personlig data och individens rättigheter Rätt att rätta och komplettera personlig data Rätt att bli glömd (raderad) Rätt att motsäga sig viss behandling av personuppgifter (Data Portability) Rätten att inte behandlas i automatiserat beslutsfattande Introduction to GDPR december 2016 6

Vad behöver man göra? 7

Vad behöver man göra? Övergripande Strategi Riskbaserad ansats Demonstrera hur ni lever upp till kraven Nyckelfrågor Projektorganisation Kostnadsdrivare Tidplan 1. Kartlägg Vilka personuppgifter hanterar vi, och varför? 3. Rådfråga Vilka intressenter behöver du rådfråga? 5. Dokumentera Hur ska vi bevisa att du uppfyller kraven? 7. Utmaning Hur ska vi hantera incidenter, problem och klagomål? 9. Sanktioner 2. Analysera Vilka är integritetsriskerna och vilken skada kan de orsaka? 4. Inbyggt dataskydd Hur ska vi bygga in integritetsskydd från början i våra processer? 6. Informera Vilken information ska vi ge till allmänheten och anställda samt när behövs samtycken? 8. Följ upp Hur ska vi säkerställa kunders och anställdas rättigheter och tillsyn? Hur ska vi klara de allvarligaste regulatoriska sanktionerna och skadeståndskrav? 8

1 Kartläggning: Personuppgifter enligt GDPR Vad är personuppgifter? All typ av information som kan användas direkt eller indirekt för att identifiera en person, såsom Namn Personnummer Foto (om individen kan identifieras) Videoupptagning Ljudupptagning Telefonnummer och IP-adresser Kontonummer Kreditkortsnummer Vad är känsliga personuppgifter (också känt som särskilda kategorier av personuppgifter)? Ras/Etniskt ursprung Politisk uppfattning Religiös eller filosofisk övertygelse Fackligt medlemskap Hälsa Genetik och biometri 9

Kartläggning forts.: Förteckning över personuppgifter 1. Datainspektionens förslag på blankett 2. Vilka personuppgiftsbehandlingar ni har i er verksamhet 3. Vad man kan använda förteckningen till För att få överblick, och säkerställa att det finns laglig grund Visa upp vid ett eventuellt tillsynsärende För uppföljning av efterlevnad (t.ex. processer och säkerhetsåtgärder) För att användas i samband med begäran om registerutdrag För att hitta personuppgiftsbiträdesavtal som behöver uppdateras För att hitta dokumenterade åtgärder, t ex konsekvensbedömningar 10

2 Analysera vilka integritetsriskerna är, och vilken skada kan de orsaka Risker som nämns i förordningen, som ska analyseras: Profilering Känsliga personuppgifter Kameraövervakning av allmänna platser i stor skala Datainspektionen kommer också att ha möjlighet att publicera listor på vilka behandlingar som kommer att kräva att man gör konsekvensbedömningar Tips: Analysera även sådant som kan leda till diskriminering, ekonomisk skada, identitetsstöld eller vara pinsamt för de registrerade 11

3 Rådfråga dataskyddsombud och andra som har delansvar Vilka behöver involveras för att få ledningens beslut och stöd från dem som har ledningsansvar? 12

4 Inbyggt dataskydd: Konsekvensbedömning Tag fram beslutsunderlag i anskaffnings- och utvecklingsprocesser Konsekvensbedömning Beskrivning av personuppgiftsbehandling och ändamål Principer för behandling av personuppgifter Beskrivning av organisationens legitima intresse Identifierade integritetsrisker Analys av integritetsrisker för de registrerade Åtgärder för att minska riskerna Säkerhetsåtgärder Konsultation: Om det inte är görligt att minimera riskerna måste Datainspektionen rådfrågas. De har sista ordet om behandlingen är tillåten. 13

5 Dokumentation Vilken dokumentation behövs (för att styra upp hur personuppgifter behandlas och att kunna demonstrera att behandlingen uppfyller förordningens krav)? Förteckning över personuppgiftsbehandlingar Styrdokument (policy, instruktioner, riktlinjer m.m.) Avtal (t. ex personuppgiftsbiträdesavtal) Inträffade incidenter, effekter och åtgärder Överföring till tredje part och tredje land Genomförda konsekvensbedömningar Risklista Utbildning, generell och målgruppsanpassad 14

6 Informera Informera innan personuppgifter samlas in från den registrerade Identitet och kontaktuppgifter för den personuppgiftsansvarige. Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall. Ändamål och rättslig grund för behandlingen. Personuppgiftsansvariges eller en tredje parts berättigade intressen. Mottagare som ska ta del av personuppgifterna. Vid överföring till ett tredjeland och huruvida adekvat skyddsnivå föreligger eller saknas eller, och hur en kopia av dem kan erhållas. Period eller kriterier för lagring. De registrerades rättigheter (tillgång och rättelse, radering, begränsning av behandling, dataportabilitet, klagomål till en tillsynsmyndighet). Grunden för begäran om personuppgifterna (lagkrav, eller nödvändigt för avtal och konsekvens om de inte lämnas) Information om eventuella ytterligare ändamål. 15

7 Utmaningar För att undvika att brister i personuppgiftsbehandlingen leder till anmälningar till Datainspektionen är det viktigt att etablera en bra hantering av problem, klagomål och incidenter. 16

8 Uppföljning Egen uppföljning av Juridik, internrevisionen, säkerhet och IT, avseende efterlevnad av egna styrdokument och lagkrav Följ upp efterlevnad av ev. personuppgiftsbiträdesavtal Ledningen kan vilja ha oberoende uppföljning av både förändringsarbete och linjeansvar Se till att personuppgiftshantering ingår i riskrapportering om sådan process finns 17

Tips på verktyg Gapanalys Riskanalys Säkerhetsklassning 18

Tips på verktyg: Gapanalys Översikt 19

Tips på verktyg: Gapanalys Översikt Detalj 20

Riskanalys Åtgärder Riskmatris Sannolikhet Hög Acceptabel risk Oacceptabel risk Oacceptabel risk Undvik T.ex genom en annan approach Medium Acceptabel risk Acceptabel risk Oaacceptabel risk Minska T. ex. genom att minska snnolikheten med lämpliga säkerhetsåtgärder Låg Acceptabel risk Acceptabel risk Acceptabel risk Dela T. ex. genom att avtala med någon leverantör om t. ex. IT-drift Försumbar Medel Acceptera risken, men det måste vara ett medvetet beslut, I så fall Allvarlig Acceptera Konsekvens 21

Säkerhetsklassning exempel 1 Informationsägaren klassar informationen Informationsägaren klassar informationen. Alla måste sedan hantera informationen I enlighet med beslutad klass. 2 Hur klassas och märks informationen? Konsekvens om information exponeras: Märkning: Till fördel for organisationen Varken fördel eller nackdel Skada för organisationen/ kunder /anställda Allvarlig skada för organisationen/ kunder /anställda Publik Intern Konfidentiell Hemlig 22

Säkerhetsklassning exempel, fortsättning 3 Informationsanvändaren hanterar informationen i enlighet med märkt klass Informationsanvändaren är den person som är behörig att ta del av informationen. 4 Vem är behörig användare? Publik Intern Inga begränsningar Anställda och andra som arbetar för organisationen Konfidentiell Beslutas av informationsäga ren. Anges med en distributionslista Hemlig Beslutas av informationsäga ren. Anges med en distributionslista 23

Så lyckas du implementera förordningen i din organisation Ledningen Förbered projekt 24

Checklista för att lyckas Ledningen Orientering för ledningen - Ledningens engagemang och insikt är kritisk, särskilt då tiden är knapp, så what s in it for you? System och organisationsförändringar Deadline Sanktioner Medborgarnas förtroende Synligt stöd Identifiera ägare och intressenter som har delansvar (Juridik, CIO, CISO, dataskyddsombud, HR, marknad, SÄK, kommunikation, Compliance) - Din egen roll? Beslut om ledning, styrning och budget GAP-Analys Samordningsbeslut (gränsdragning centralt lokalt) 25

Checklista för att Lyckas Principer för hantering av personuppgifter 01 Lagligt, transparent och rättvist Laglig grund. Information till individer: Innan insamling Vid förfrågan Vid incident Annars Samtycke! Introduction to GDPR Specifikt, explicit och legitimt Ha analyserat varför informationen behövs innan den samlas in. Använd enbart för avsett syfte. Enbart det nödvändiga Riktigt och underhållet Samla inte in mer information än vad som är absolut nödvändigt och behåll den inte när den spelat ut sin roll/sitt syfte. Felaktigheter i, eller avsaknad av, information skall rättas till. december 2016 26

Checklista för att lyckas Principer för hantering av personuppgifter, forts. 01 Radera när behovet inte längre kvarstår Ex: Om en individs anställning upphör kvarstår ej längre behovet av personuppgifterna varför de skall raderas. Introduction to GDPR Adekvat skydd Personlig data skall inte exponeras för obehörig, förloras eller ändras samt vara tillgänglig för behörig personal. Förmågan att visa compliance Det skall vara möjligt att demonstrera GDPR-compliance i händelse av en granskning. december 2016 27

Technology Process Checklista för att lyckas Förbered ett projekt 28

Checklista för att lyckas - Data Protection Officer (DPO) En DPO är obligatorisk om: Om organisationen har en stor mängd personupgifter eller dess behandling orsakar integritetsrelaterade risker Kärnverksamheten innebär systematisk övervakning av registrerade individer Organisationen är en myndighet Senior roll med givna kompetenskrav utan intressekonflikt Rapporterar direkt till organisationens högsta ledning Ska ha tillräckliga resurser och erforderligt stöd Introduction to GDPR december 2016 29

Checklista för att lyckas Vad kan samordnas? Tänkbara samordningsområden Awareness och utbildning GAP-Analyser Dokumentation/mallar DPO Integritetsbrottsrapportering Metodik 30

Fallgropar 31

Exempel på fallgropar Ofullständigt kartlagda personuppgiftsbehandlingar (t. ex. i laptops, molntjänster, skyddade identiteter, allergiuppgifter vid event m.m.) Missar i hur projekt sätts i gång och genomförs, t ex oklar finansiering, styrning, oklara mål eller ej förankrat hos ledningen. Samtycke Beroendeförhållande mellan arbetsgivare och anställd Vad gör man vid återtaget samtycke? Många organisationer vill undvika sanktioner men med minsta möjliga ansträngning. Det kan vara svårt att få det att gå ihop. 32

Tack! henrik.hammarberg@se.pwc.com Tel. 070-778 87 93 Denna presentation har tagits fram endast som allmän information och/eller generell vägledning. Den utgör således inte någon professionell rådgivning. Du bör därför inte förlita dig på presentationen eller vidta några åtgärder på grundval av den utan att dessförinnan ha gjort avstämningar med en professionell rådgivare utifrån de förutsättningar som gäller i din situation. Med hänsyn härtill lämnar Öhrlings PricewaterhouseCoopers AB/PricewaterhouseCoopers AB ingen utfästelse eller garanti (uttrycklig eller underförstådd) för att informationen i presentationen är korrekt och/eller fullständig för dina syften och ändamål. Öhrlings PricewaterhouseCoopers AB/PricewaterhouseCoopers AB tar således inte något som helst ansvar för eventuella konsekvenser av att du väljer att förlita dig på eller agera utifrån informationen i denna presentation. This publication or presentation has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication/presentation without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, Öhrlings PricewaterhouseCoopers AB, PricewaterhouseCoopers AB, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication/presentation or for any decision based on it. 2017 PricewaterhouseCoopers i Sverige AB. All rights reserved. In this document, refers to Öhrlings PricewaterhouseCoopers AB or PricewaterhouseCoopers AB which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss