EU:s nya dataskyddsförordning Lotta Wikman Öman

Relevanta dokument
PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Dataskyddsförordningen 2018

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskyddsförordningen 2018

GDPR- Seminarium 2017

PERSONUPPGIFTSBITRÄDESAVTAL

Dataskyddsförordningen

Dataskyddsförordningen i utbildningsverksamhet

Dataskyddsförordningen

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

EU:s dataskyddsförordning

Personuppgiftsbiträdesavtal

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Dataskyddsförordningen

Underbiträdesavtal. Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.

Personuppgiftsbiträdesavtal

GDPR NYA DATASKYDDSFÖRORDNINGEN

PERSONUPPGIFTSBITRÄDESAVTAL

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Dataskyddsförordningen

GDPR. Dataskyddsförordningen

Policy för behandling av personuppgifter

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Dataskyddsförordningen

Personuppgiftsinformation för Svedala kommun

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Svensk författningssamling

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

För det fall att handlingarnas innehåll inte överensstämmer har huvuddokumentet företräde framför bilagan.

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen för prefekter och administrativa chefer

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Personuppgiftsbiträdesavtal

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Dataskyddsförordningen GDPR

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

PERSONUPPGIFTSBITRÄDESAVTAL

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

Personuppgiftsbiträdesavtal

Instruktion för personuppgiftsbiträdesavtal

PUL OCH DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

PERSONUPPGIFTSBITRÄDESAVTAL

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Dataskyddsförordningen GDPR - General Data Protection Regulation

GDPR. Ulrika Harnesk 17 oktober 2018

Samarbetsavtal behandling av personuppgifter 1. Bakgrund och syfte 2. Samarbetsavtalets giltighetstid

GDPR - Riktlinjer för hantering av personuppgifter

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

Södertörns brandförsvarsförbund

Instruktion till mall för registerförteckning

PERSONUPPGIFTSBITRÄDESAVTAL

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Dataskyddsförordningen (GDPR)

Behandling av personuppgifter vid Göteborgs universitet

Att hantera personuppgifter

Personuppgiftsbiträdesavtal 1 Parter Detta avtal har dagen för undertecknanden ingåtts mellan parterna;

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Vården och reglerna om dataskydd

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

I de fall du är direkt kund hos NS är NS den personuppgiftsansvarige.

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Nya dataskyddsförordningen GDPR

Välkomna till kurs i den nya dataskyddsförordningen

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

REV Informerar. GDPR-Dataskyddsförordningen. Riktlinjer för enskilda väghållare RIKSFÖRBUNDET ENSKILDA VÄGARS INFORMATIONSHÄFTE.

PuL och GDPR en översiktlig genomgång

Lathund Dataskydd för krögare

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Dataskyddsförordningen

Dataskydd och forskning i Europa och Sverige

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Dataskyddsförordningen

Mertzig Asset Management AB

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Strand Kapitalförvaltning AB:s integritetspolicy

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Personuppgiftsbiträdesavtal

Personuppgiftsbehandling Dataskydd

Personuppgiftsbiträdesavtal Fastighetsägarna Dokument

Transkript:

EU:s nya dataskyddsförordning Lotta Wikman Öman

EU:s Dataskyddsförordning 2016/679 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG ( allmän dataskyddsförordning )

Allmänt om dataskyddsreformen EU-förordning som ersätter dataskyddsdirektivet Kommissionens förslag kom 2012 Mycket stora lobbyinsatser Politisk kompromiss i december 2015 Antagen den 27 april 2016 Börjar tillämpas den 25 maj 2018 Omfattande: 99 artiklar och 173 ingresspunkter

Dataskyddsförordningen Syften: att enskilda ska få större kontroll över sina personuppgifter att företag bara ska ha ett regelverk att förhålla sig till när de verkar inom flera EU-länder

Nyheter Direkt tillämplig De grundläggande dataskyddsprinciperna är väsentligen desamma som i PUL - Kodifiering av gällande rätt - Mer utförligt beskrivet - Kan ibland vara svårt att bedöma om en ändring är avsedd eller inte Vissa nya förutsättningar för behandling av personuppgifter (intresseavvägning, samtycke m.m.)

Nyheter (forts.) Förstärkta rättigheter för registrerade (mer information, rätten att bli glömd, dataportabilitet m.m.) Viss ökad administration (integritetsanalys, dokumentera behandling, dataskyddsombud m.m.) Direkta skyldigheter (och ansvar) för personuppgiftsbiträden Kraftiga administrativa avgifter (upp till 20 miljoner EUR eller, om högre, 4% av global årsomsättning) Samordnad tillsyn ( One stop shop, Europeiska dataskyddsstyrelsen m.m.)

Praktiska konsekvenser Alla organisationer påverkas på något sätt vissa mer och vissa mindre Behov av att inleda översyn, framför allt att se över förändringar av IT-system, rutiner och arbetssätt De höga sanktionerna gör det nödvändigt att lyfta frågan i organisationen

Definitioner (art 4) I stort sett samma definitioner Nya definitioner läggs till, t.ex.: - Profilering (p 4) - Pseudonymisering (p 5) - Personuppgiftsincident (p 12) - Genetiska och biometriska uppgifter (p 13-14)

Definitioner Personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet

Definitioner Behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring

Definitioner Personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter;

Definitioner Personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning

Definitioner Samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne

Definitioner (Samtycke forts) Definitionen i grunden densamma - Dock tillägg genom ett uttalande eller genom en entydig bekräftande handling Uttryckligt krav på att kunna visa samtycke Krav på att samtycket särskiljs Det ska vara lika lätt att återkalla ett samtycke som att lämna det DOKUMENTATION

Definitioner Pseudonymisering Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

Definitioner Personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Grundläggande regler om behandling I stort sett detsamma som tidigare Uttryckligt krav på att kunna visa att behandlingsregler följs Behandlingen måste ha en rättslig grund (t.ex. avtal, samtycke, rättslig förpliktelse eller intresseavvägning) Intresseavvägning: behandlingen nödvändig för ändamål som rör den PA:s eller tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre (gäller ej myndigheter!)

Dokumentation av rättslig grund Viktigt att utreda och DOKUMENTERA vilket rättsligt stöd PA har för behandling av personuppgifter. PA kommer att behöva informera registrerade om den rättsliga grunden för behandlingen Mot bakgrund av de nya administrativa sanktionsavgifterna som införs, blir det extra viktigt för PA att kunna visa att dennes behandling av personuppgifter sker i enlighet med DSF/GDPR.

Den registrerades rättigheter Väsentligt utökade krav vilken information som ska lämnas till den registrerade, men samma grundläggande principer för när och hur Rätt till rättelse genom komplettering Right to be forgotten (under vissa förutsättningar) Rätt till begränsning av behandling Skyldighet att anmäla till tredje man vid rättelse eller radering Dataportabilitet Rätt att göra invändning mot behandling Rätt att göra invändning mot profilering och annat automatiserat beslutsfattande

Information till registrerade Utökade krav på vilken information som ska lämnas till registrerade. Utöver den information som måste lämnas enligt PUL ska PA också informera om 1) den rättsliga grunden för behandlingen, 2) hur länge personuppgifterna lagras och 3) möjligheten att lämna klagomål till Datainspektionen om att personuppgifter har hanterats felaktigt. Krav på att informationen ska vara kortfattad, lättbegriplig och utformad med ett enkelt och tydligt språk. Tänk på att PA ska kunna VISA vilken information som har lämnats (och att information har lämnats). DOKUMENTATION! Glöm inte att säkerställa att det är rätt person som begär ut uppgifterna. Detta kommer således PA att kräva av de system som PA kommer att använda

Säkerhet vid behandlingen Privacy by design = att bygga in dataskydd i sina system. Skyldighet att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna för fysiska personers fri- och rättigheter, exempel på nästa sida Certifieringsmekanism kan användas för att visa att kraven uppfylls.

Säkerhet (forts) Exempel på vad som bör göras: Pseudonymisering och kryptering av personuppgifter Tillse att det går att: säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid en incident Förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet Börja nu! Bygg in dataskydd i systemen och vidta organisatoriska åtgärder för att säkerställa skydd för personuppgifter.

Personuppgiftsansvar samt biträdets roll Delat personuppgiftsansvar skyldighet att tydliggöra roller Personuppgiftsbiträden - Underbiträden kräver skriftligt förhandstillstånd från PA. - Krav på avtalens innehåll (se längre fram) - Egna direkta skyldigheter för biträden. OBS!!! - Biträde blir ansvarig under vissa förutsättningar

Dokumentation av behandlingsaktiviteter Personuppgiftsansvariga och biträden ska själva föra register över behandlingarna om organisationen har fler än 250 st anställda Om färre än 250 anställda ska register föras om behandlingarna: - Sannolikt kommer att medföra risk för registrerades fri- och rättigheter, - Inte är tillfälliga, eller - omfattar känsliga personuppgifter eller uppgifter om lagöverträdelser Ersätter anmälningsskyldighet

Dokumentation av behandlingsaktiviteter Personuppgiftsbiträdens register ska innehålla: Namn och kontaktuppgifter för PB och PA Vilka kategorier av behandling som utförs för varje PA:s räkning Information om tredjelandsöverföring Allmän beskrivning av säkerhetsåtgärder

Definitioner Personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Personuppgiftsincidenter Nya bestämmelser om vad PA måste göra om det sker dataintrång eller att kontrollen på annat sätt förloras över de personuppgifter som PA behandlar. Personuppgiftsbiträdet ska utan onödigt dröjsmål meddela PA att intrång har skett eller kontroll över personuppgifter förlorats.

Skärpta sanktioner üdatainspektionen kan ge förelägganden ungefär som idag ü Nyhet: Även personuppgiftsbiträden kan drabbas üskadestånd till registrerade ü Nyhet: Personuppgiftsbiträden får eget ansvar ünyhet: Datainspektionen får möjlighet till administrativa böter ü Max 20 miljoner eller 4 % av globala årsomsättningen

Personuppgiftsbiträdesavtal Ange i avtalen ü Föremålet för behandlingen, ü behandlingens varaktighet, art och ändamål, ü typen av personuppgifter och kategorier av registrerade, samt ü den registeransvariges skyldigheter och rättigheter. ü + allt övrigt som framgår av Artikel 28

Vad behöver göras? Sammanfattning Säkerhetsåtgärder ü üförbered för att bygga in säkerhet i systemen Vidta organisatoriska åtgärder för att säkerställa lämplig säkerhetsnivå Se över (tillsammans med PA) personuppgiftsbiträdesavtal Se över underbiträdesavtal Utse ansvariga för att rapportera personuppgiftsincidenter till PA Register över den behandling som utförs för PA:s räkning (troligen inget krav för PB men rekommenderas ändå)

Vad behöver göras? Sammanfattning Se över informationen till de registrerade ü Rättslig grund ü Se över inhämtande av samtycke (hur visa i efterhand?) üdataportabilitet üdokumentationsunderlag üpseudonymisering och dataminimering

Tack! Kontakta gärna mig med frågor mm! Lotta Wikman Öman, lwo@ahlford.se tel 0703 908663

Känsliga personuppgifter ras och etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening genetiska uppgifter biometriska uppgifter hälsa sexualliv eller sexuell läggning Huvudregel förbud. Undantag vid samtycke, el nödvändigt vid skyldigheter/rättigheter inom arbetsrätt, social trygghet och skydd

Personuppgiftsbiträdesavtal forts ü Skriftligt tillstånd från PA krävs för att anlita underbiträden. Om generellt tillstånd erhållits måste PA informeras vid plan på byte så att PA kan invända. ü Underbiträdesavtal ska tecknas som medför att underbiträdet omfattas av samma skyldigheter som PB har gentemot PA. PB fullt ansvarig gentemot PA för underbiträden.

Personuppgiftsbiträdesavtal forts I avtalen ska särskilt föreskrivas att PB a) endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av, och i så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt,

Personuppgiftsbiträdesavtal forts b) säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt, c) ska vidta alla åtgärder som krävs enligt artikel 32, (handlar om säkerhetsåtgärder) d) ska respektera de villkor som avses i punkterna 2 och 4 för anlitandet av ett annat personuppgiftsbiträde (underbiträde), e) med tanke på behandlingens art, ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med förordningen,

Personuppgiftsbiträdesavtal forts f) ska bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32 36 fullgörs (krav på säkerhetsåtgärder, anmälan av och info till registrerade om incidenter, konsekvensbedömningar etc), med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå, g) beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt, och

Personuppgiftsbiträdesavtal forts h) ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i denna artikel har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige. Med avseende på led h i första stycket ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om han anser att en instruktion strider mot denna förordning eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss