Dataskyddsförordningen, privat sektor Välkomna Dataskyddsförordningen med fokus på den privata sektorn. Datainspektionen 1.

Relevanta dokument
Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen (GDPR)

GDPR- Seminarium 2017

Välkomna Dataskyddsförordningen med fokus på den offentliga sektorn

EU:s dataskyddsförordning

Disposition. Stockholm den 31 maj 2017 Lisa Johansson, Salli Fanaei, Tove Fors och Mattias Sandström

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Dataskyddsförordningen

EU:s dataskyddsförordning

Dataskyddsförordningen

Vården och reglerna om dataskydd

GDPR. Ulrika Harnesk 17 oktober 2018

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Dataskyddsförordningen

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen

Dataskyddsförordningen GDPR

GDPR. Dataskyddsförordningen

PuL och GDPR en översiktlig genomgång

Dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen 2018

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen 2018

Dataskyddsförordningen GDPR - General Data Protection Regulation

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

EU:s nya dataskyddsförordning Lotta Wikman Öman

Dataskyddsförordningen

PUL OCH DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen och kvalitetsregister

Riktlinjer för att tillvarata enskildas rättigheter

För att tillvarata medlemmarnas enskildas rättigheter

GDPR NYA DATASKYDDSFÖRORDNINGEN

EU:s allmänna dataskyddsförordning:

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Dataskyddsförordningen i utbildningsverksamhet

Personuppgiftsinformation för Svedala kommun

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Policy för behandling av personuppgifter

GDPR- Vad har hänt och hur ser tillämpningen ut?

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Personuppgiftsbehandling Dataskydd

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

GDPR definition och hur utbildningen berör(t)s av förordningen

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

GDPR - Riktlinjer för hantering av personuppgifter

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

PERSONUPPGIFTSBITRÄDESAVTAL

Instruktion för att tillvarata enskildas rättigheter

Dataskyddsförordningen

Svensk författningssamling

GDPR General data protection regulation Dataskyddsförordningen

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Behandling av personuppgifter vid Göteborgs universitet

Dataskyddsförordningen för prefekter och administrativa chefer

Policy för behandling av personuppgifter

Dataskyddsförordningen

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

LANDAHL ADVOKATBYRÅS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

FRÅGOR OCH SVAR INFÖR DATASKYDDSFÖRORDNINGENS IKRAFTTRÄDANDE

INTEGRITETSPOLICY för Webcap i Sverige AB

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

Koncernkontoret Enheten för juridik

Dataskyddsförordningen, GDPR

Kerstin Wardman, 25 april 2018

Personuppgiftsbiträdesavtal

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Fastställelsedatum: Ansvarig: Dataskyddsombud. Revideras: Följas upp: Vart fjärde år

Skolan och Dataskyddsförordningen

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

1. INLEDNING 2. PERSONUPPGIFTSANSVARIG 3. INSAMLING OCH ÄNDAMÅL

Idrottens Uppförandekod

INFORMATIONSSÄKERHET OCH DATASKYDD

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Personuppgiftsbiträdesavtal 1 Parter Detta avtal har dagen för undertecknanden ingåtts mellan parterna;

Transkript:

Välkomna Dataskyddsförordningen med fokus på den privata sektorn Stockholm den 14 mars 2017 Josefine Paulie, Malin Ricknäs, Martin Brinnen och Robin Lantz Stomilovic Disposition Rätten till privatliv och dataskyddsregleringen Personuppgiftslagen och grundläggande begrepp Dataskyddsförordningen Tillämpningsområde Grundläggande principer Laglig grund för behandling De registrerades rättigheter Skyldigheter för personuppgiftsansvariga/biträden Checklista Frågor Datainspektionen 1

Praktikaliteter Tider: Lunch 12.00 13.00 Eftermiddagskaffe 14.30 Bensträckare när det är lämpligt Faciliteter Rätten till privatliv Rätten till privatliv Europakonventionen om de mänskliga rättigheterna EU:s stadga om de grundläggande rättigheterna Dataskyddsförordningen Svenska grundlagar Svensk generell kompletteringslag Annan lagstiftning registerförfattningar Förenklad och schematisk bild Datainspektionen 2

EU:s rättighetsstadga Artikel 8 - Skydd av personuppgifter 1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. 2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. 3. En oberoende myndighet ska kontrollera att dessa regler efterlevs. EU:s dataskyddsreform EU:s dataskyddsreform - flera delar Allmän dataskyddsförordning ( GDPR ) Dataskyddsdirektiv för brottsbekämpande myndigheter Förordning om integritet och telekommunikation (e-privacy) Förordning om dataskyddsregler för EU:s institutioner Datainspektionen 3

Varför nya regler? Modernisering nu gällande regler bygger på ett direktiv från 1995 Förstärkning av enskildas rättigheter och tydliggörande av ansvar och skyldigheter för den som behandlar personuppgifter Harmonisering samma rättigheter och skyldigheter i hela EU EU:s dataskyddsförordning Förordning istället för direktiv Ett förhandlingsdokument Kompletterande lagstiftning Kompletteringslag Registerförfattningar Förslag till kompletterande lagstiftning under 2017 Artikel 29-gruppen förbereder EU-domstolens praxis får ökad betydelse Vad är (i princip) oförändrat? Strukturen och många begrepp Tillämpningsområdet Grundläggande krav Rättslig grund Känsliga personuppgifter Överföring till tredje land Datainspektionen 4

Missbruksregeln försvinner Behandling i ostrukturerat material till exempel vid publicering internet e-post ordbehandlingstext Kartlägg befintlig behandling som sker med stöd av missbruksregeln Identifiera bl.a. rättslig grund hur informationsskyldigheten kan uppfyllas Grundläggande begrepp Personuppgiftslagen på fem minuter Subsidiär Missbruksregeln för löpande text (5 a ) Undantag Grundläggande krav Tillåten behandling Känsliga personuppgifter m.m. Information till de registrerade Rättelse Säkerhet Tillsyn och skadestånd Datainspektionen 5

Personuppgifter Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade) En identifierbar person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorereller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet Artikel 4.1, skäl 26-30 Känsliga personuppgifter Personuppgifter om ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening hälsa sexualliv eller sexuella läggning genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person Artikel 9.1 Personuppgiftsansvarig En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter Personuppgiftsansvaret kan i vissa fall bestämmas genom lagstiftning. Artikel 4.7 Datainspektionen 6

Personuppgiftsbiträde En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Artikel 4.8 Dataskyddsombud En person eller organisation Sakkunskap om dataskyddslagstiftning och förfaranden Bistår den personuppgiftsansvarige eller personuppgiftsbiträdet för att Övervaka den interna efterlevnaden av dataskyddsförordningen och andra dataskyddsbestämmelser Artikel 37-39, skäl 97 Personuppgiftsansvarig Dataskyddsombud Personuppgiftsbiträde Dataskyddsombud Den registrerade Datainspektionen 7

Dataskyddsförordningens tillämpningsområde När tillämpas förordningen? Helt eller delvis automatiserad behandling av personuppgifter Manuell (om register) Artikel 2, skäl 15 När tillämpas förordningen? Personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade i EU Inom ramen för verksamheten Ingen betydelse om behandlingen utförs i unionen eller inte Personuppgiftsansvariga eller personuppgiftsbiträden som är etablerade utanför EU om Erbjuder varor och tjänster i EU eller Övervakar registrerades beteende i EU Artikel 3, skäl 22-25 Datainspektionen 8

När gäller inte förordningen? Undantag för privat behandling Uppgifter om avlidna Tryck- och yttrandefrihet Tillgången till allmänna handlingar offentlighetsprincipen Nationell säkerhet och gemensam utrikes- och säkerhetspolitik Brottsbekämpande myndigheter (nytt direktiv) Artikel 2, skäl 16-21+27, Artikel 85, skäl 153, Artikel 86, skäl 154 Grundläggande principer för behandlingen Principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Ansvarsskyldighet Artikel 5, skäl 39, artikel 6.4, skäl 50 Datainspektionen 9

Laglighet, korrekthet och öppenhet Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt så att den registrerade förstår hur dess uppgifter behandlas och varför. All information och kommunikation i samband med en personuppgiftsbehandling ska vara lättillgänglig och begriplig och ett klart och tydligt språk ska användas. Artikel 5 Ändamålsbegränsning Personuppgifter får endast behandlas för tydligt angivna ändamål och de får inte i ett senare skede behandlas för något annat oförenligt ändamål. Ramarna för behandlingen Ändamålet ska dokumenteras Oförenlighetsbedömning Artikel 5, artikel 6.4 Uppgiftsminimering Fler personuppgifter än vad som behövs för att uppfylla ändamålet får inte behandlas. Inte för att personuppgifterna kan vara bra att ha Artikel 5 Datainspektionen 10

Korrekthet Personuppgifterna ska vara korrekta och om möjligt uppdaterade. Skyldighet att vidta rimliga åtgärder för att uppgifter som inte behövs för ändamålet ska raderas eller rättas så fort som möjligt. Skyndsamhetskrav - viktigt med tydliga rutiner Artikel 5 Lagringsminimering Personuppgifter får inte sparas i identifierbart skick under en längre tid än vad som är nödvändigt för ändamålet med behandlingen. Inför tidsfrister för radering eller regelbunden kontroll Artikel 5 Integritet och konfidentialitet Personuppgifterna ska med lämpliga tekniska eller organisatoriska åtgärder skyddas så att de inte blir åtkomliga för obehöriga, förstörs eller skadas. Nyhet Säkerhet för personuppgifter Artikel 5 Datainspektionen 11

Ansvarsskyldighet Den personuppgiftsansvarige ska ansvara för och kunna visa att principerna efterlevs Tydligt ansvar Inte endast följa förordningen utan även visa att förordningen följs Hur visar man det? Artikel 5 Hur kan vi visa att vi följer förordningen? Öppenhetsprincipen Anta lämpliga strategier för dataskydd Dokumentation Uppförandekoder Certifiering Dataskyddsombud Artikel 5, 24, 30, 40-42 Hur kan vi visa att vi följer förordningen (forts.) Certifiering avseende dataskydd Produkter Tjänster Uppförandekoder Kan tas fram av företrädare för olika kategorier av personuppgiftsansvariga och biträden Tidigare branschöverenskommelser Artikel 40-43 Datainspektionen 12

Vad innebär principerna i praktiken? Identifiera rättslig grund för behandlingen Informera de som uppgifterna avser Bestäm ändamålet med behandlingen Samla endast in uppgifter som behövs för ändamålet Samla inte in fler uppgifter än nödvändigt för ändamålet Se till att uppgifterna alltid är korrekta och uppdaterade Skydda insamlade personuppgifter Radera uppgifterna när de inte längre behövs för ändamålet Se till att du kan visa att du gör rätt När får ni behandla personuppgifter? När får ni behandla personuppgifter? Samtycke Behandling är nödvändig för Avtal Rättslig förpliktelse Grundläggande intressen Arbetsuppgift av allmänt intresse och myndighetsutövning Intresseavvägning (ej för myndigheter) Datainspektionen 13

Samtycke Frivilligt, specifikt, informerat och otvetydigt Samtycke ska vara klart och tydligt Personuppgiftsansvarige ska Kunna visa att samtycke finns Informera om rätt att återkalla samtycke Artikel 4, skäl 32 och artikel 7, skäl 42-43 Samtycke Villkorat samtycke kan i vissa fall vara ogiltigt Barns samtycke kräver i vissa fall vårdnadshavares godkännande Artikel 7-8, skäl 43 Samtycke enligt förordningen Innebär: Högre krav för samtycke Vad personuppgiftsansvariga bör göra: Kontrollera och (vid behov) förnya samtycken Var klar och tydlig samt specifik Gör samtycket separat från övriga avtalsvillkor Ge tydlig information Gör det lätt att dra tillbaka samtycket Inte ha samtycken som krav för en tjänst Bevisa samtycken Datainspektionen 14

När får ni behandla personuppgifter? Samtycke Behandlingen är nödvändig för Avtal Rättslig förpliktelse* Grundläggande intressen Uppgift av allmänt intresse* Myndighetsutövning* Intresseavvägning (begränsat för myndigheter) * Nationell reglering krävs och nationell anpassning tillåts Artikel 6, skäl 44-50 När får ni behandla Känsliga personuppgifter? Principiellt förbud att behandla vissa kategorier av uppgifter nya kategorier Undantag möjliga såsom idag Uppgifter om lagöverträdelser? Personnummer? Artikel 9, skäl 10 och 51, Artikel 10, Artikel 87 När får ni föra över personuppgifter till tredje land? Datainspektionen 15

När får ni föra över personuppgifter till tredje land? En överföring kräver stöd i dataskyddsförordningen Gäller även överföring till internationella organisationer Gäller både för personuppgiftsansvariga och personuppgiftsbiträden... Artikel 45, skäl 103-107, Artikel 46, skäl 108-109, Artikel 47, skäl 110, Artikel 49, skäl 111 När får ni föra över personuppgifter till tredje land? (forts.) Överföring tillåten om stöd i kommissionsbeslut om adekvat skyddsnivå omfattas av lämpliga skyddsåtgärder undantag i särskilda situationer Artikel 45-47, 49 Överföring som omfattas av lämpliga skyddsåtgärder Utan tillstånd med godkända Binding Corporate Rules standardavtalsklausuler uppförandekoder certifieringsmekanismer Endast efter tillstånd avtalsklausuler administrativa överenskommelser mellan myndigheter Datainspektionen 16

Undantag i särskilda situationer Samtycke Fullgöra avtal Allmänintresse Rättsliga anspråk Skydda grundläggande intressen Register för allmänhetens information Tvingande intressen Registrerades rättigheter Registrerades rättigheter Information och registerutdrag Rättelse och radering Begränsning av behandling Dataportabilitet Invändning mot behandling Motsätta sig automatiserad behandling Personuppgiftsansvariga har en skyldighet att underlätta utövandet av rättigheterna. Artiklarna 12-23 Datainspektionen 17

Information och registerutdrag Information en viktig del av integritetsskyddet Skyldighet att ge klar och tydlig information Får kombineras med standardiserade symboler Kortare tidsfrister Kostnadsfritt Skyldigheten att informera - mer omfattande Artikel 12, skäl 58-62 Skyldighet att lämna information När personuppgifter När personuppgifter Den registrerades rätt till samlas in från den registrerade (art. 13) (art. 14) (art. samlas in från annan tillgång (registerutdrag) 15) PUA:s register över behandling (art. 30.1) Personuppgiftsansvarige Ja Ja Nej Ja Dataskyddsombudet Ja Ja Nej Ja Ändamålen Ja Ja Ja Ja Rättslig grund Ja Ja Nej Nej Kategorier av personuppgifter Nej Ja Ja Ja Intresse vid intresseavvägning Ja Ja Nej Nej Mottagarna Ja Ja Ja Ja Tredjelandsöverföring m.m. Ja Ja Ja Ja Lagringstid Ja Ja Ja Ja De registrerades rättigheter Ja Ja Ja Nej Rätten att dra tillbaka ett samtycke Ja Ja Nej Nej Rätten att lämna klagomål till DPA Ja Ja Ja Nej Uppgiftsskyldighet enligt avtal eller lag Ja Nej Nej Nej Automatiserat beslutsfattande Ja Ja Ja Nej Källa varifrån uppgifterna har hämtats Nej Ja Ja Nej Säkerhetsåtgärder Nej Nej Nej Ja OBS. Tabellen är förenklad och ej fullständig. Ytterligare skyldigheter att informera finns i andra bestämmelser. Rättelse Rätta felaktiga uppgifter Komplettera ofullständiga uppgifter Informera mottagare av uppgifterna om rättelsen Artikel 16 och 19, skäl 65 Datainspektionen 18

Radering rätten att bli glömd Radera personuppgifter om den registrerade Informera, i vissa fall, andra personuppgiftsansvariga och mottagare av uppgifterna Förutsättningar, bl.a. Uppgifterna behövs inte längre Återkallat samtycke Undantag, bl.a. Nödvändig för yttrande- och informationsfriheten Nödvändig för rättslig förpliktelse, allmänt intresse och myndighetsutövning eller rättsliga anspråk Artikel 17 och 19, skäl 65-66 Begränsning av behandling På begäran av den registrerade Vid begäran om rättelse eller invändning Som alternativ till radering Behövs för rättsliga anspråk I vissa fall tillåtet med behandling trots begränsningen, t.ex. efter samtycke Skyldighet att underrätta Artikel 18, skäl 67 Dataportabilitet Rätt att få ut och överföra egna personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format om uppgifterna har tillhandahållits av den registrerade, behandlingen sker med stöd av samtycke eller avtal, behandlingen sker automatiserat inte påverkar andra rättigheter och friheter Artikel 20, skäl 68 Datainspektionen 19

Invända mot behandling Rätt att invända mot behandling som grundas på allmänt intresse, myndighetsutövning eller intresseavvägning Ny prövning utifrån den registrerades situation Behandlingen måste upphöra om inte den personuppgiftsansvarige kan visa på tvingande berättigade skäl, eller behandlingen sker för rättsliga anspråk Vid direkt marknadsföring ska behandlingen alltid upphöra Artikel 21, skäl 69-70 Automatiserade beslut - profilering Rätt att inte bli föremål för beslut som grundas enbart på automatiserad behandling (inkl. profilering), vilka får rättslig eller liknande effekt Automatiserade beslut är endast tillåtna om nödvändigt för avtal stöd i lagstiftning uttryckligt samtycke Artikel 22, skäl 71-72 Skyldigheter för den som behandlar personuppgifter Datainspektionen 20

Skyldigheter för personuppgiftsansvariga Personuppgiftsansvariga är skyldiga att se till att de registrerades rättigheter upprätthålls Den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att förordningen följs, och för att kunna visa att förordningen följs Artikel 24, 25, 28, 30 och 32-35 Skyldigheter för personuppgiftsansvariga Inbyggt dataskydd och dataskydd som standard Konsekvensbedömningar och förhandssamråd Anmälan av personuppgiftsincidenter Säkerhet Register över behandlingar Inbyggt dataskydd Inbyggt dataskydd ska skydda registrerads rättigheter Påverkar systemets hela livscykel Den personuppgiftsansvarige ska före och under behandling vidta åtgärder som främjar uppfyllande av dataskyddsprinciper och integrering av nödvändiga säkerhetsåtgärder Artikel 25 skäl 78 Datainspektionen 21

Dataskydd som standard PUA ska minimera mängden, omfattningen, tiden och tillgängligheten för personuppgifter. Styra användaren mot ett integritetssäkert arbetssätt. Artikel 25 skäl 78 Konsekvensbedömningar och förhandssamråd Den personuppgiftsansvarige ska utreda om behandling leder till hög risk Om hög risk ska konsekvensbedömning göras I vissa fall ska en konsekvensbedömning alltid göras Om konsekvensbedömning visar hög risk åtgärda och/eller samråda med Datainspektionen Artikel 35 skäl 83 Personuppgiftsincident En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Ska anmälas till Datainspektionen om det inte är osannolikt att incidenten medför risk. Anmälan ska innehålla bl.a. incidentens art, kategorier av och antal berörda registrerade, sannolika konsekvenser, vidtagna åtgärder Artikel 4, 33, skäl 85-88 Datainspektionen 22

Personuppgiftsincident (forts.) Om personuppgiftsincidenten sannolikt leder till hög risk ska den registrerade informeras om incidenten Informationen ska vara tydlig och klar Det krävs inte information om lämpliga åtgärder genomförts [för att minska risken], om ytterligare åtgärder [som sänker risken tillräckligt] vidtagits eller när det skulle utgöra en oproportionell ansträngning [i så fall kan allmänheten informeras istället]. Artikel 34, skäl 85-88 Säkerhet Med beaktande av den senaste utvecklingen, genomförandekostnader, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter Ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa En säkerhetsnivå som är lämplig i förhållande till risken Artikel 32-34, skäl 83, 85 Register över behandlingar Namn och kontaktuppgifter Ändamålen med behandlingen Kategorier av registrerade, mottagare och personuppgifter Överföring till tredje land Om möjligt: tidsfrister och säkerhetsåtgärder Artikel 30 Datainspektionen 23

Skyldigheter för personuppgiftsbiträden Lämna garantier för att förordningen följs Krav på biträdesavtalet Bistå den personuppgiftsansvarige Register över behandlingar Artikel 28 och 30 Skyldigheter för personuppgiftsbiträden Eventuella underbiträden måste godkännas av den personuppgiftsansvariga Eget ansvar för säkerhet Anmälan av personuppgiftsincidenter till den personuppgiftsansvarige Utse dataskyddsombud Artikel 32-34 Dataskyddsombud Datainspektionen 24

När ska ett dataskyddsombud utses? Skyldighet att utse ombud Myndigheter Kärnverksamhet som innebär systematisk övervakning av personer i stor skala Kärnverksamhet som innebär behandling i stor skala av integritetskänsliga personuppgifter Även personuppgiftsbiträden ska utse dataskyddsombud Inget hinder att utse dataskyddsombud även i andra fall Artikel 37, skäl 97 Dataskyddsombudets uppgifter Informera och ge råd Övervaka efterlevnaden Samarbeta med tillsynsmyndigheten Ge råd vid konsekvensbedömningar Artikel 39 Dataskyddsombudets ställning Yrkesmässiga kvalifikationer och sakkunskap om dataskydd Delta i god tid i alla frågor som rör skyddet av personuppgifter Fullgöra sitt uppdrag och utföra sina uppgifter på ett oberoende sätt Ska inte kunna bestraffas för sitt uppdrag Ska rapportera till högsta förvaltningsnivå Tystnadsplikt Artikel 37, 38 Datainspektionen 25

Behandling inom EU - One stop shop Tillsyn vid behandling i flera EU-länder One-stop-shop Samarbete mellan dataskyddsmyndigheter Enhetlig tillämpning Europeiska dataskyddsstyrelsen One-stop-shop vid gränsöverskridande behandling inom EU Ansvarig tillsynsmyndighet Verksamhetsställe Tillsynsmyndighet DPA Berörda DPA Tillsynsmyndighet Berörda Berörda (klagomål) DPA DPA Ansvarig / Biträde Verksamhetsställe Klagande Klagande Klagande Datainspektionen 26

Gränsöverskridande behandling Behandling som sker vid flera verksamhetsställen inom EU som finns i olika medlemsstater vid ett verksamhetsställe inom EU men som i väsentlig grad påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat Artikel 4.23 Situation 1: gränsöverskridande behandling Koncern Dotterbolag Filial Kontor Klagomål Artikel 4.23 Situation 2: gränsöverskridande behandling Nättjänst Tillsynsmyndighet Tillsynsmyndighet Tillsynsmyndighet Tillsynsmyndighet Huvudkontor Tillsynsmyndighet Tillsynsmyndighet Tillsynsmyndighet Tillsynsmyndighet Tillsynsmyndighet Huvudkontor Tillsynsmyndighet Klagomål Artikel 4.23 Datainspektionen 27

Ansvarig tillsynsmyndighet Ansvarig tillsynsmyndighet är där det huvudsakliga verksamhetsstället finns Ansvarig tillsynsmyndighet leder det gemensamma arbetet vid eventuell tillsyn Att fastställa ansvarig tillsynsmyndighet har betydelse för Registrering av dataskyddsombud Begäran om förhandssamråd Anmälan av personuppgiftincident Artikel 56 Ansvarig tillsynsmyndighet Dotterbolag Filial Kontor Beslut om ändamål och medel för behandling Tillsynsmyndighet Tillsynsmyndighet Central förvaltning Tillsynsmyndighet Ansvarig Tillsynsmyndighet Huvudkontor Tillsynsmyndighet Klagomål Artikel 4.16 och 56 Vilken tillsynsmyndighet är ansvarig? Ansvarig tillsynsmyndighet fastställs per behandling, inte per bolag etc. Personuppgiftsansvariga Tillsynsmyndigheten i landet där personuppgiftsansvarig har sin centrala förvaltning eller sitt verksamhetsställe där beslut om ändamål och medel fattas och som har sådan befogenhet Artikel 4.16 och 56.1 Datainspektionen 28

Vilken tillsynsmyndighet är ansvarig? (forts.) Personuppgiftsbiträden Tillsynsmyndigheten i landet där personuppgiftsbiträde har sin centrala förvaltning eller ett verksamhetsställe där den huvudsakliga behandlingen sker Artikel 4.16 och 56.1 Undantag från one-stop-shop Behandling som sker för fullgörande av en rättslig skyldighet arbetsuppgift av allmänt intresse myndighetsutövning Lokala ärenden Ärenden som rör ett verksamhetsställe i en medlemsstat eller i väsentlig grad påverkar registrerade i endast en medlemsstat Ansvarig myndighet kan dock ta över ärendet Artikel 55.2 och 56.2 Samarbete mellan tillsynsmyndigheter Ömsesidigt bistånd Gemensamma insatser Artikel 60-62 Datainspektionen 29

Enhetlig tillämpning Europeiska dataskyddsstyrelsen inrättas Dataskyddsstyrelsen kan fatta bindande beslut Vid oenighet mellan tillsynsmyndigheterna Om en tillsynsmyndighet inte lyfter en fråga som ska lyftas till styrelsen Om en tillsynsmyndighet inte följer styrelsens yttranden Tillsynsmyndigheter är skyldiga att fatta beslut på grundval av styrelsens beslut Artikel 65, 68-76 Enhetlig tillämpning (forts) Tillsynsmyndigheternas beslut kan överklagas i nationella domstolar Nationella domstolar är bundna till beslut av dataskyddsstyrelsen kan begära förhandsavgörande av EU-domstolen Dataskyddsstyrelsens beslut kan förklaras ogiltiga av EU-domstolen Artikel 78, skäl 143 TFEU art. 263 Vad händer om ni bryter mot reglerna? Datainspektionen 30

Vad händer om ni bryter mot reglerna? Datainspektionens verktyg Tillsyn och föreläggande, varning, reprimand Administrativa sanktionsavgifter Den registrerades egna möjligheter Klagomål Skadestånd Artikel 58, 77, 78, 82, 83, 84 Administrativa sanktionsavgifter Kompletterar andra förelägganden Avgiften ska i det enskilda fallet vara effektiv, proportionell och avskräckande Hänsyn ska tas till ett stort antal faktorer, bl.a. Antal personuppgifter Ändamål Vidtagna åtgärder för att minska intrång Tidigare överträdelser Samarbetsvilja Artikel 83, skäl 148-152 Sanktionsavgifter (forts) Högre avgiftsnivån (upp till 20 milj euro eller 4 % av globala omsättningen) Gäller för överträdelser av bl.a. De grundläggande principerna De registrerades rättigheter Överföring till tredje land Underlåtenhet att rätta sig efter förelägganden Artikel 83, skäl 148-152 Datainspektionen 31

Sanktionsavgifter (forts) Lägre avgiftsnivån (upp till 10 milj euro eller 2 % av globala omsättningen) Gäller för överträdelser av bl.a. Inbyggt dataskydd Föra register över behandlingar Utse dataskyddsombud Vidta säkerhetsåtgärder Anmäla dataskyddsincident Artikel 83, skäl 148-152 Skadestånd Materiella och immateriella skador som uppstår vid behandling i strid med förordningen och nationella bestämmelser som fyller ut förordningen Solidariskt skadeståndsansvar med regressrätt Även biträden har ett skadeståndsansvar Artikel 82, skäl 145-147 Checklista Datainspektionen 32

Checklista Skapa medvetenhet inom organisationen Är ledningen insatt? Finns det resurser för arbetet? Utse dataskyddsombud? Inventera personuppgiftsbehandlingar Vilka kategorier av personuppgifter behandlas? Känsliga personuppgifter? Uppgifter om barn? Hur samlas uppgifterna in och till vem lämnas de ut? Upprätta ett register över personuppgiftsbehandlingar Särskilda integritetsrisker ( hög risk ) Checklista (forts) Se över vilken rättslig grund för behandlingen Missbruksregeln försvinner, alternativ? Hur inhämtas samtycke? Se över vilken information som lämnas till de registrerade Uppfyller ni informationskraven? Lättillgänglig form samt klart och tydligt språk Checklista (forts) Ta fram rutiner för de registrerades rättigheter Registerutdrag, rättelse, radering, begränsning, dataportabilitet, invändning, automatiserade beslut Verksamhet i flera länder? Vilken dataskyddsmyndighet inom EU blir ansvarig myndighet för era personuppgiftsbehandlingar? Överförs personuppgifter till tredje land? Se över säkerheten för behandlade personuppgifter Ta fram rutiner för incidentrapportering Inbyggt dataskydd och dataskydd som standard Datainspektionen 33

Checklista (forts) Det räcker inte bara att göra rätt utan ni ska kunna visa att ni gör rätt! Utarbeta lämpliga strategier för dataskydd Följ utvecklingen (nationell lagstiftning) Tänk på att skyddet för personuppgifter inte bara är en grundläggande rättighet utan även en fråga om de registrerades förtroende http://www.datainspektionen.se/dataskyddsreformen/ Datainspektionen 34

Frågor? Datainspektionen 35

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss