Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

Relevanta dokument
Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Nya Dataskyddsförordningen. Agnes Hammarstrand

GDPR- Seminarium 2017

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

GDPR NYA DATASKYDDSFÖRORDNINGEN

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen (GDPR)

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

GDPR. Dataskyddsförordningen

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

GDPR. Ulrika Harnesk 17 oktober 2018

Dataskyddsförordningen

PUL OCH DATASKYDDSFÖRORDNINGEN

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Koncernkontoret Enheten för juridik

Dataskyddsförordningen GDPR

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen och kvalitetsregister

Personuppgiftsinformation för Svedala kommun

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Dataskyddsförordningen

Ny personuppgiftsförordning Försäkringsjuridiska Föreningen. Agnes A Hammarstrand / Advokat 3 mars 2016

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Riktlinjer för att tillvarata enskildas rättigheter

Dataskyddsförordningen

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

GDPR definition och hur utbildningen berör(t)s av förordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

För att tillvarata medlemmarnas enskildas rättigheter

Dataskyddsförordningen

PuL och GDPR en översiktlig genomgång

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

EU:s dataskyddsförordning

Personuppgiftsbehandling Dataskydd

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Riktlinjer för behandling av personuppgifter i Årjängs kommun

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Riktlinjer för dataskydd

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

EU:s dataskyddsförordning

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

EU:s nya dataskyddsförordning Lotta Wikman Öman

Policy för behandling av personuppgifter

Instruktion för att tillvarata enskildas rättigheter

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Dataskyddsförordningen i utbildningsverksamhet

Svensk författningssamling

Dataskyddsförordningen GDPR - General Data Protection Regulation

Nya Dataskyddsförordningen. Agnes Hammarstrand

GDPR General data protection regulation Dataskyddsförordningen

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

GDPR- Vad har hänt och hur ser tillämpningen ut?

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Dataskyddsförordningen ( GDPR ) Agnes Hammarstrand Advokatfirman Delphi 23 mars 2018

EU:s allmänna dataskyddsförordning:

Instruktion till mall för registerförteckning

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Kerstin Wardman, 25 april 2018

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Dataskyddsförordningen ( GDPR ) Agnes Hammarstrand Advokatfirman Delphi

Riktlinjer för hantering av personuppgifter

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Behandling av personuppgifter vid Göteborgs universitet

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

GDPR Presentation Agenda

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Den nya Dataskyddsförordningen

GDPR- Vad är det? Frukostmöte hösten Advokatfirman VICI

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Dataskyddsförordningen

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Transkript:

Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi 2017-08-30 Nya dataskyddsförordningen 1

Agenda Introduktion Svenska utredningar Vem ansvarar? Överföring av personuppgifter De grundläggande principerna och hur får personuppgifter behandlas? Konsekvensbedömningar Registerförteckning Samtycke Registrerades rättigheter Vem ansvarar internt? Dataskyddsombud m.m. Säkerhet och IT-krav Sammanfattning och avslutning 2017-08-30 Nya dataskyddsförordningen 2

Introduktion

Ny dataskyddsförordning ( GDPR ) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 Direkt gällande förordning som ersätter PuL och motsvarande lagar i hela EU (EES) De nya reglerna gäller från och med den 25 maj 2018 Principerna bygger på nuvarande lag, men också ett stort antal nyheter Tydlig strävan efter enhetlighet, men finns vissa möjligheter till nationella avvikelser, t.ex. vad gäller offentlighetsprincipen och hälsodata Gäller all behandling av personuppgifter 2017-08-30 Nya dataskyddsförordningen 4

Vad är en personuppgift? Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras Allt som går att kopplas till en individ, t.ex. En e-mail adress 83.248.106.125 (en IP-adress) En adressuppgift Ett bilregistreringsnummer En bild: Oavsett kryptering 2017-08-30 Nya dataskyddsförordningen 5

Vad är en behandling? Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter Exempel Insamling Registrering Lagring Spridning Samkörning Radering Undantag för bl.a. rent personligt bruk 2017-08-30 Nya dataskyddsförordningen 6

I praktiken. Anställningsregister och kandidatdatabaser Register respektive nämnd för över vissa kommunmedborgare, t.ex. Elever Brukare Politiker Klienter inom individ- och familjeomsorg Registrerade för ansökningar, kommuntjänster, m.m. Leverantörsregister Eventuella andra registrerade, t.ex. nyhetsbrev Annan behandling t.ex. GPS-övervakning, digitala tjänster, molntjänster, appar, mejl, dokument, whistleblowingsystem, passersystem, sociala medier och hemsidan Även ostrukturerad data, t.ex. mejl och dokument 2017-08-30 Nya dataskyddsförordningen 7

Tillsyn Nationell tillsynsmyndighet Behörig inom sitt land Tillsynsmyndigheten för den ansvariges eller biträdets huvudsakliga verksamhetsställe behörig även vid gränsöverskridande behandling Europeisk dataskyddsstyrelse Består av chefen för en tillsynsmyndighet per medlemsstat och Europeiska datatillsynsmannen 2017-08-30 Nya dataskyddsförordningen 8

Sanktioner Rätt för individer att kräva skadestånd och straff föreskrivs av varje medlemsstat Varning, reprimand eller beordran Begränsning eller förbud Medlemsstaterna ska fastställa sanktioner för de överträdelser som inte är föremål för böter och säkerställa att sanktionerna genomförs Administrativa böter ( böter ) hur blev det? 2017-08-30 Nya dataskyddsförordningen 9

Svenska utredningar

Kompletterande lagstiftning Förordningen behöver kompletteras av nationella regler Ett flertal utredningar tillsatta i Sverige, t.ex. apoteksmarknad, forskning och utbildning Dessutom finns kompletterande lag som får stor betydelse på enskilda områden 2017-08-30 Nya dataskyddsförordningen 11

SOU 2017:39 Ny dataskyddslag Utredningen föreslår en nya dataskyddslag Målsättning: Bevara så mycket som möjligt av tidigare bestämmelser en del personuppgiftsbehandling kommer därför förbli densamma Preciserar vad som ska gälla för svenska förhållanden 2017-08-30 Nya dataskyddsförordningen 12

När kan en kommun få böter? 1: Upp till det högre beloppet av 10 000 000 kr Mindre allvarliga överträdelser 2: Upp till det högre beloppet av 20 000 000 kr Allvarliga överträdelser Underlåtenhet att följa förlägganden och beslut av tillsynsmyndigheten Underlåtenhet att bistå tillsynsmyndigheten Vid bestämmandet av avgiftens storlek i det enskilda fallet ska dataskyddsförordningens bestämmelser tillämpas 2017-08-30 Nya dataskyddsförordningen 13

Administrativa böter hur? Administrativa böter ska beroende på omständigheterna i det enskilda fallet åläggas utöver eller i stället för andra åtgärder Böterna ska vara effektiva, proportionella och avskräckande Harmoniserade bötesnivåer Hänsyn till ett antal faktorer, t.ex. Överträdelsens natur, svårighetsgrad och varaktighet De åtgärder som vidtagits för att lindra skada Graden samarbete med myndigheterna/egen anmälan Genomförda säkerhetsåtgärder 2017-08-30 Nya dataskyddsförordningen 14

Exempel på fler förslag från utredningen Specificeringar av vad som ska gälla, slår fast det som redan följer av lagen Rättslig förpliktelse, även kollektivavtal eller beslut som har meddelats med stöd av lag eller författning Individ ska efter tre månader kunna kräva att Datainspektionen ska behandla klagomål från registrerade inom två veckor Fler grunder för behandling av känsliga uppgifter Se vidare nedan 2017-08-30 Nya dataskyddsförordningen 15

Förhållandet till offentlighetsprincipen PuL inskränker inte en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen Skyldigheten att lämna ut uppgifter gäller efter att en medborgare begärt ett sådant utlämnande När skyldighet att lämna ut information inte finns (t.ex. elektroniskt) måste kommunen pröva noga om det är möjligt att lämna ut med hänsyn till PuL Inga förändringar vad gäller offentlighets- och sekretesslagstiftningen föreslås 2017-08-30 Nya dataskyddsförordningen 16

Andra utredningar Kameraövervakningslagen föreslås ersattas av ny kamerabevakningslag SOU 2017:55 - En ny kamerabevakningslag En ny lag om en hög gemensam nivå av säkerhet i nätverk och informationssystem föreslås SOU 2017:36 Informationssäkerhet för samhällsviktiga och digitala tjänster Förslag har lämnats till ändringar inom utbildningsområdet SOU 2017:49 - EU:s dataskyddsförordning och utbildningsområdet Integritetskommitténs utredning SOU 2017:52 - Så stärker vi den personliga integriteten Föreslår upprättande av uppförandekoder inom skolan och hälso- och sjukvården, speciellt inom patientdatalagens område Kompletterande bestämmelser till patientdatalagen föreslås, t.ex. för att konkretisera några av de krav som ställs på ett informationssystem som har den typen av uppgifter 2017-08-30 Nya dataskyddsförordningen 17

Pågående utredningar Socialdataskyddsutredningen, inklusive översyn av Patientdatalagen, Socialförsäkringsbalken och Lagen om behandling av personuppgifter inom socialtjänsten Redovisas den 31 augusti 2017 S 2016:05 Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde Utredningen utreder bl.a. Behovet av bestämmelser om undantag från förbudet att behandla känsliga personuppgifter Behovet av nationella regler om registrerades rätt att göra invändningar mot behandling av personuppgifter Behovet av kompletterande föreskrifter för vissa myndigheter och verksamheter som idag saknar särskilda registerförfattningar Utredningen om Rättsmedicinalverkets verksamhet Redovisas 31 oktober 2017 JU 2016:18 stärkt integritet i Rättsmedicinalverkets verksamhet Tar ställning till möjligheten och behovet av särskild personuppgiftsreglering för RMV 2017-08-30 Nya dataskyddsförordningen 18

Vem ansvarar?

Personuppgiftsansvarig ( PuA ) En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter Ansvarar alltid självständigt för att lagen uppfylls och ska kunna visa att lagen följs Det är alltså ni som är personuppgiftsansvarig som ytterst ansvarar för att t.ex. era IT-system uppfyller lagens krav (inte leverantören) Jfr. personuppgiftsombud (nu dataskyddsombud) En fysisk person 2017-08-30 Nya dataskyddsförordningen 20

Personuppgiftsansvarig i kommunen i dag I en kommun är typiskt sätt både kommunstyrelsen och de kommunala nämnderna personuppgiftsansvariga för sina egna behandlingar Självständig nämnd = egen förvaltningsmyndighet = eget personuppgiftsansvar Om olika nämnder är olika juridiska personer då kan inte uppgifter föras ut mellan nämnderna hur som helst Vårdgivare är alltid personuppgiftsansvarig Sannolikt samma under nya förordningen 2017-08-30 Nya dataskyddsförordningen 21

Gemensamt personuppgiftsansvar Om två eller flera personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen av personuppgifter Ofta fallet vid gemensamt använda system, webbportaler, m.m. Ska gemensamt fastställa sitt respektive ansvar avseende den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla information Delge väsentliga drag i arrangemanget för registrerade d.v.s. publicera i praktiken Den registrerade kan utöva sina rättigheter mot var och en av de personuppgiftsansvariga 2017-08-30 Nya dataskyddsförordningen 22

Personuppgiftsbiträde ( PuB ) En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Finns alltid utanför den personuppgiftsansvariges organisation Exempel på vanliga biträden IT-leverantörer Rekryteringsbyråer Reklambyråer Molntjänstleverantörer IT-support Utökade direkta skyldigheter Tillsynsobjekt kan också åläggas sanktionsavgift 2017-08-30 Nya dataskyddsförordningen 23

Hur avgöra vem som är personuppgiftsansvarig? Vem bestämmer syftena med behandlingen? Vem bestämmer hur behandlingen ska ske? T.ex. vilka uppgifter ska behandlas, vilka ska få tillgång till dem och när ska uppgifter raderas Den som enbart har tillgång till ett system är normalt inte ansvarig (om denne inte bestämmer någonting) 2017-08-30 Nya dataskyddsförordningen 24

Förhållandet mellan PuA och PuB Krav på avtal mellan parterna som anger hur behandlingen ska ske Den ansvarige ska endast anlita biträden som ger tillräckliga garantier om att behandling av personuppgifter sker i enlighet med kraven i dataskyddsförordningen Biträdet får endast behandla personuppgifter utifrån dokumenterade instruktioner från den ansvarige 2017-08-30 Nya dataskyddsförordningen 25

Ansvarsfördelning mellan personuppgiftsansvarig och biträde Ersättningsskyldighet om en person lider skada genom överträdelse av dataskyddsförordningen Solidariskt ansvar den skadelidande kan kräva full ersättning från antingen den personuppgiftsansvarige eller personuppgiftsbiträdet Om full ersättning betalas ut av en personuppgiftsansvarig eller ett biträde har denne i sin tur rätt att återkräva den del av ersättningen som orsakades av någon annan som medverkade vid behandlingen 2017-08-30 Nya dataskyddsförordningen 26

Överföring av personuppgifter

Krav på personuppgiftsbiträdesavtal Krav på skriftligt avtal mellan ansvarig och biträde I vissa fall är bägge parter personuppgiftsansvariga och personuppgiftsbiträden åt varandra Viktigt att tänka på vid alla samarbeten som innebär utbyte av personuppgifter, t.ex. marknadsföring, IT och rekrytering Ska ha visst innehåll mycket mer omfattande information än enligt personuppgiftslagen viktigare avtal Nya avtal och mallar behöver tas fram Personuppgiftsbiträde Personuppgiftsansvarig Åtgärd: Uppdatera gamla personuppgiftsbiträdesavtal Personuppgiftsbiträdesavtal Individ 2017-08-30 Nya dataskyddsförordningen 28

Biträdesavtal obligatoriska punkter Föremålet för behandlingen Behandlingens varaktighet, art och ändamål Typ av personuppgift och kategorier av registrerade Den personuppgiftsansvariges skyldigheter och rättigheter Biträdets skyldigheter Endast får behandla personuppgifter enligt dokumenterade instruktioner Iaktta konfidentialitet Vidta lämpliga säkerhetsåtgärder samt bistå den personuppgiftsansvarige med att skyldigheterna om säkerhet för personuppgifter fullgörs Respektera villkoren för anlitandet av underbiträden Hjälpa personuppgiftsansvariga att fullgöra skyldigheterna i GDPR om säkerhet och avseende registrerades rättigheter Ge den personuppgiftsansvarige rätt till inspektion Radera eller återlämna personuppgifter efter avslutad behandling 2017-08-30 Nya dataskyddsförordningen 29

Dokumenterade instruktioner Dokumenterade instruktioner krav på instruktionsbilaga eller liknande med detaljerade krav på behandlingen Krav på skriftlighet Inga andra särskilda formkrav Ska vara så detaljerade att otillåten behandling inte kommer att utföras av personuppgiftsbiträdet 2017-08-30 Nya dataskyddsförordningen 30

Viktiga förhandlingspunkter Ansvarsfördelning Hur biträdet får överföra utanför EES-området Hur biträdet får anlita underbiträden Särskilt förhandstillstånd Allmänt förhandstillstånd De dokumenterade instruktionerna Ersättning Vad ska ske efter avslutat behandling? Återlämna Radera 2017-08-30 Nya dataskyddsförordningen 31

Anlitande av underbiträden Särskilt eller allmänt skriftligt förhandstillstånd krävs Om allmänt tillstånd ges: informationskrav innan och en möjlighet att göra invändningar Underbiträdet ska, genom avtal (eller annan rättsakt), åläggas samma skyldigheter i fråga om dataskydd som fastställts i avtalet mellan ansvarig och biträdet Individ ( den registrerade ) Personuppgiftsansvarig (PuA) biträdesavtal Instruktioner Personuppgiftsbiträde (PuB) Biträdet ska i avtalet uttryckligen åta sig att följa regler för anlitande av underbiträden OBS! Biträdet ansvarar gentemot ansvarig om underbiträden inte fullföljer sina åtaganden Underbiträde Underbiträde Underbiträde Underbiträde 2017-08-30 Nya dataskyddsförordningen 32

Överföring av personuppgifter Huvudregeln är ett förbud mot överföring av personuppgifter utanför EU Lagstiftningen ska inte kunna kringgås genom att flytta ut data Behöver ha koll på var data behandlas Innebär viss tjänst eller support överföring till länder som inte är tillåtna? Räcker att någon ges tillgång till data t.ex. för support 2017-08-30 Nya dataskyddsförordningen 33

Exempel på undantag när är överföring tillåten? Överföring till land inom EU och vissa tillåtna länder Användning av modellklausuler Binding Corporate Rules Safe Harbor-anslutna företag i USA underkänt av EU-domstolen Privacy shield Åtgärder: Säkerställ att ingen överföring sker utanför EES. Alternativt: Säkerställ att överföringen sker med stöd av laglig grund 2017-08-30 Nya dataskyddsförordningen 34

Åtgärder: Hur göra i praktiken? Säkerställ laglig överföring inom organisationen och med etablerade samarbetspartners Utbilda organisationen om t.ex. cloudtjänster och andra varningsklockor För enstaka avtal: Använd modellklausulerna Säkerställ att biträdesavtalen innehåller praktiska möjligheter att kontrollera var behandling sker och av vem exempelvis genom krav på informationsskyldighet, audits, biträdets anlitande av underbiträden etc. 2017-08-30 Nya dataskyddsförordningen 35

De grundläggande principerna och hur får personuppgifter behandlas?

Accountability Ni ska kunna visa att lagen följs Krav på att 1) Identifiera varje behandling 2) Varje behandling ska vara laglig 3) Följa grundläggande krav på behandlingen, t.ex. gallring, lagring, etc. 4) Krav på att ha olika rutiner, dokumentation och policyer på plats för att följa reglerna 5) Krav att arbeta aktivt med lagen, skapa medvetenhet m.m. Skyldighet för personuppgiftsansvariga (och biträden) att föra register över alla behandlingar ( registerförteckning ) 2017-08-30 Nya dataskyddsförordningen 37

Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål Får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen Lagringsminimering Uppgifter får inte sparas längre tid än nödvändigt för ändamålen Integritet och konfidentialitet Krav på säkerhet, inbegripet skydd mot obehörig/otillåten behandling och mot förlust Ansvarsskyldighet Den ansvarige ska kunna visa att de grundläggande principerna efterlevs 2017-08-30 Nya dataskyddsförordningen 38

Integritetstrappan vilka regler gäller enligt lagen (exempel)? Speciella krav för känsliga uppgifter Information till registrerade (personuppgiftspolicy) Säkerhet, rutiner för dataportability, etc. Avtal, dokumentation, rutiner, m.m. Förbud att flytta uppgifter utanför EU Är behandlingen laglig? Grundläggande principer att följa, t.ex. gallring, tid 2017-08-30 Nya dataskyddsförordningen 39

När är behandling tillåten? Samtycke från den registrerade Nödvändig för att ett avtal med den registrerade ska kunna fullgöras Nödvändig för att fullgöra rättslig förpliktelse (eller kollektivavtal och beslut enl. SOU 2017:39) Nödvändig för att skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person Nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning Intresseavvägning 2017-08-30 Nya dataskyddsförordningen 40

Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse Obs! Kan inte användas av myndigheter när de fullgör sina uppgifter 2017-08-30 Nya dataskyddsförordningen 41

Intresseavvägning STOPP! Den registrerades intresse mot kränkning av den Enligt personliga förordningen kan inte en intresseavvägning Personuppgiftsansvariges integriteten användas för behandling av kommuner berättigade när fullgör intresse sina uppgifter Obs! Kan inte användas av myndigheter när de fullgör sina uppgifter 2017-08-30 Nya dataskyddsförordningen 42

Laglighetsbedömning Vilka är ändamålen med en viss behandling? Finns laglig grund enligt förordningen? Annars behövs samtycke! Är samtycke en rimlig och proportionell åtgärd eller ska vi låta bli att utföra behandlingen? Hur samlar vi in samtycket? 2017-08-30 Nya dataskyddsförordningen 43

Åtgärder laglighetsbedömning m.m. Se över laglig grund för alla era behandlingar Säkerställ att inte fler uppgifter hanteras än nödvändigt med hänsyn till ändamålet Säkerställ gallringsrutiner att inte uppgifter behandlas längre än nödvändigt med hänsyn till ändamålet Säkerställ åtkomstkontroll att inte fler personer än nödvändigt behandlar uppgifterna Säkerställ att de grundläggande rutinerna i övrigt följs 2017-08-30 Nya dataskyddsförordningen 44

Känsliga personuppgifter Känsliga personuppgifter Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Biometriska och genetiska uppgifter, t.ex. fingeravtryck Hälsa Sexuell läggning/sexualliv Får fortfarande bara behandlas i undantagsfall, exempelvis Uttryckligt samtycke Nödvändig behandling för vissa syften inom arbetsrätten och angivna syften enligt nationell lag, t.ex. omsorg, socialt skydd Åtgärd: Är behandlingen strikt nödvändig för att uppfylla vår skyldighet enligt lag? 2017-08-30 Nya dataskyddsförordningen 45

Förslag till undantag för hantering av känsliga uppgifter (SOU 2017:39) Myndigheter ska få behandla känsliga personuppgifter I löpande text om uppgifterna lämnats i ett ärende eller är nödvändiga för handläggning av ett ärende Om uppgifterna lämnats till myndigheten och behandlingen krävs enligt lag I enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och den inte innebär otillbörligt intrång i den registrerades rättigheter OBS! Sökbegrepp som avslöjar känsliga uppgifter får ej användas 2017-08-30 Nya dataskyddsförordningen 46

Särskilt om vissa personuppgifter Förslag enligt SOU 2017:39 Specialregel om personnummer föreslagen. Får behandlas utan samtycke endast när det är klart Motiverat med hänsyn Till ändamålet med behandlingen Vikten av en säker identifiering eller Något annat beaktansvärt skäl Förbjudet att hantera uppgifter om fällande domar och överträdelser (tidigare brott) förutom i undantagsfall t.ex. för att anmäla brott 2017-08-30 Nya dataskyddsförordningen 47

Konsekvensbedömningar

Konsekvensbedömning ( PIA ) Nytt krav på att göra en konsekvensbedömning (Data Protection Impact Assessment) och dokumentera grunderna för beslutet När? Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter 2017-08-30 Nya dataskyddsförordningen 49

När ska en konsekvensbedömning avseende dataskydd göras? Konsekvensbedömning krävs särskilt i följande fall a) En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer b) Behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av personuppgifter som rör fällande domar i brottmål och överträdelser som avses i artikel 10 c) Systematisk övervakning av en allmän plats i stor omfattning 2017-08-30 Nya dataskyddsförordningen 50

Vilken vägledning finns att få? Bedömningen ska göras i förväg Konsekvensbedömning bör göras för personuppgiftsbehandling som påbörjas redan innan GDPR träder ikraft En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker Förhandssamråd med tillsynsmyndigheten om konsekvensbedömningen visar att behandlingen skulle leda till en hög risk Artikel 29-gruppens vägledning för konsekvensbedömningar avseende dataskydd Datainspektionen ska upprätta en förteckning Åtgärd: Inför rutiner för konsekvensbedömningar samt en ev. mall för dessa 2017-08-30 Nya dataskyddsförordningen 51

Exempel på när PIA bör göras om fler än två av nedan gäller Behandlingen innehåller element av bedömning eller värderingar Behandlingen syftar till att fatta automatiserade beslut med rättsliga följder eller liknande för den registrerade Behandlingen innefattar systematisk övervakning Behandlingen omfattar känsliga personuppgifter Behandlingen innebär att personuppgifter behandlas i stor skala Behandlingen innefattar samkörning av uppgifter mellan olika register Behandlingen omfattar personuppgifter om särskilt utsatta eller skyddsvärda typer av registrerade Personuppgifterna behandlas på ett innovativt sätt Personuppgifter ska föras över till ett land utanför EES Personuppgiftsbehandlingen i sig förhindrar registrerade från att utöva en rättighet eller att använda en tjänst eller ett avtal 2017-08-30 Nya dataskyddsförordningen 52

Registerförteckning

Vad ska en registerförteckning för personuppgiftsansvariga innehålla? Namn och kontaktuppgifter för den personuppgiftsansvarige Namn och kontaktuppgifter till eventuella gemensamma personuppgiftsansvariga Namn och kontaktuppgifter till dataskyddsombudet Ändamål med alla behandlingar Beskrivning av kategorierna av registrerade och kategorierna av personuppgifter Kategorier av mottagare Eventuell överföring till tredjeland Om möjligt, förutsedda tidsfrister för radering Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder 2017-08-30 Nya dataskyddsförordningen 54

Vad mer kan vara bra att ha i en registerförteckning? Namn på behandling Laglig grund Applikationer/system där behandlingen sker Lagras personuppgifter i en molntjänst? Har information lämnats? Kommentar 2017-08-30 Nya dataskyddsförordningen 55

Registerförteckning praktiska tips Hur vill ni föra ert register? Excelark, köpt applikation eller egenutvecklad applikation? Tänk på hur många som behöver access Hur förvaltar ni registret på sikt? Påbörja registerförteckningen så tidigt som möjligt för att undvika dubbelarbete 2017-08-30 Nya dataskyddsförordningen 56

Samtycke

Samtycke Varje slag av frivillig, specifik, informerad, och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande behandling, godtar behandling av personuppgifter Informerat samtycke information först 2017-08-30 Nya dataskyddsförordningen 58

Exempel på samtycken i kommunen Formulär för anmälan av klotter och nedskräpning som innehåller en uppmaning till anmälaren att lämna sitt namn, telefonnummer och sin e-postadress. Behandling av personuppgifter rörande anmälaren själv kan ske med stöd av samtycke Bibliotekets låneregister Skolfotografering OBS! Samtycke kan bara ges av den som det berör (eller dess vårdnadshavare) 2017-08-30 Nya dataskyddsförordningen 59

Ett samtycke måste vara frivilligt Det får inte råda betydande ojämlikhet mellan parterna (t.ex. normalt ej anställd) Fri valmöjlighet eller inte? Det ska vara lika lätt att återkalla sitt samtycke som att lämna det Samtycke inte frivilligt om Det inte medger att separata samtycken lämnas för olika behandlingar av uppgifter trots att detta är lämpligt i det enskilda fallet, eller Genomförandet av ett avtal/tjänst görs avhängigt av samtycket trots att detta inte nödvändigt 2017-08-30 Nya dataskyddsförordningen 60

Hur inhämta samtycke? Personuppgiftsansvarig ska kunna visa att samtycke har lämnats till behandlingen Skriftlig (inklusive elektronisk) förklaring Muntlig förklaring Kryssrutor Val av inställningsalternativ för tjänster på informationssamhällets område Annan förklaring eller beteende som tydligt visar den registrerades vilja (dock ej för särskilda kategorier av personuppgifter) Separata samtycken för olika behandlingar Välj lämplig form (muntlig eller skriftlig beroende på situationen) Skriftligt enklare att bevisa 2017-08-30 Nya dataskyddsförordningen 61

Skriftligt samtycke Jag har läst och godkänner användarvillkoren. Begriplig och lättillgänglig form Klart och tydligt språk Kunna särskiljas från andra frågor i en begriplig och lättillgänglig form Jag har läst och godkänner användarvillkoren. Jag samtycker till behandling av mina personuppgifter i enlighet med Bolagets integritetspolicy. 2017-08-30 Nya dataskyddsförordningen 62

Hur skriva samtycken i praktiken? Utred om samtycke behöver inhämtas för behandlingen Ta hjälp av en jurist för att bedöma om samtycke behövs och för att skriva samtyckesförklaringen Skriv enkelt och tydligt den registrerade ska kunna förstå vad samtycket innebär Lämna information om behandlingen i samband med att samtycket inhämtas, t.ex. i en integritetspolicy 2017-08-30 Nya dataskyddsförordningen 63

Samtycke från barn Gäller Vid erbjudande av informationssamhällets tjänster direkt till ett barn Behandling (samtycke) som rör barn är tillåten om barnet är minst 16 år Föräldrars samtycke krävs för behandling om barnet är under 13 år (SOU 2017:39) Metod för att kontrollera att vuxen ger samtycke online? Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik 2017-08-30 Nya dataskyddsförordningen 64

Inhämta nytt samtycke? När förordningen börjar tillämpas upphävs det direktiv som PuL grundas på Alla samtycken behöver då följa nya dataskyddsförordningen Om behandlingen grundar sig på samtycke enligt direktivet är det inte nödvändigt att inhämta samtycke på nytt för att behandlingen ska kunna fortsätta efter att förordningen börjar tillämpas Om det sätt på vilket samtycket gavs överensstämmer med förordningens bestämmelser 2017-08-30 Nya dataskyddsförordningen 65

Åtgärder samtycke Se över om gamla samtycken är giltiga Kan information behöva raderas? Behöver nya samtycken inhämtas? Kan vi finna alternativ laglig grund istället för samtycke? Skriv nya samtyckestexter och utvärdera hur många samtycken som behövs i visst fall? 2017-08-30 Nya dataskyddsförordningen 66

Registrerades rättigheter

Information som ska lämnas självmant Information ska lämnas självmant till alla registrerade Mer omfattande information än enligt PuL Olika krav beroende på om uppgifterna samlats in från den registrerade själv eller ej Uppgifter behöver inte ges om sådant den registrerade redan förfogar över 2017-08-30 Nya dataskyddsförordningen 68

Information som ska lämnas självmant Om uppgifterna inte samlats in från den registrerade själv så finns vissa undantag Sekretesslag eller tystnadsplikt Erhållande uttryckligen föreskrivs i lag som även fastställer lämpliga åtgärder för att skydda den registrerades intressen Omöjligt under vissa omständigheter, bl.a. allmänt intresse Åtgärd: Uppdatera informationshandlingar och integritetspolicyer Anställda och kandidater Kunder för ex. kommunala bostadsbolag Leverantörer Andra registrerade, t.ex. nyhetsbrev 2017-08-30 Nya dataskyddsförordningen 69

Vad ska informationen innehålla? Identitet och kontaktuppgifter för den personuppgiftsansvarige Kontaktuppgifter till dataskyddsombudet Ändamål och rättslig grund för behandlingen. Om den rättsliga grunden är intresseavvägning ska även den personuppgiftsansvariges eller tredje parts berättigade intressen anges Mottagare eller kategorier av mottagare Ev. överföring till tredje land eller internationell organisation samt laglig grund för överföringen Lagringstid eller kriterierna för lagringstiden 2017-08-30 Nya dataskyddsförordningen 70

Vad ska informationen innehålla? Information om den registrerades rättigheter Om uppgifterna krävs enligt lag eller avtal, om den registrerade är skyldig att lämna uppgifterna och följderna av att uppgifterna inte lämnas Ev. automatiskt beslutsfattande och profilering Om personuppgifterna inte har inhämtats från den registrerade själv även vilka kategorier av personuppgifter som behandlas, varifrån personuppgifterna kommer och om de har sitt ursprung i allmänt tillgängliga källor 2017-08-30 Nya dataskyddsförordningen 71

Information på begäran registerutdrag Registrerade har rätt att begära ut information om t.ex. kategorier av uppgifter som behandlas, mottagare, period, m.m. Ska lämnas utan onödigt dröjsmål och senast inom en månad efter begäran Första förfrågan ska lämnas gratis! (jfr. journaler) Perioden får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden Gäller ej minnesanteckningar, ej färdiga utredningar m.m. (SOU 2017:39) Åtgärd: Se över rutinerna för registerutdrag! 2017-08-30 Nya dataskyddsförordningen 72

Rätten att bli bortglömd Minimera volymen av sparade personuppgifter Krav på att radera bara under vissa förutsättningar och endast om ingen legitim grund för fortsatt behandling finns Radera mina uppgifter NEJ Legitima grunder för att behålla uppgifterna och ej behandlats olagligt? JA RADERA BEHÅLL Åtgärd: Säkerställ att det är möjligt att bli glömd? 2017-08-30 Nya dataskyddsförordningen 73

Hur ska en begäran om att få uppgifter raderade hanteras? Vid en begäran om att bli bortglömd ska personuppgifterna raderas utan onödigt dröjsmål om: Uppgifterna inte längre är nödvändiga för de ändamål för vika de samlats in eller på annat sätt behandlas Den registrerade återkallar sitt samtycke och det inte finns någon annan rättslig grund för behandlingen Den registrerade invänder mot behandlingen och det saknas berättigade skäl för behandlingen som väger tyngre Den registrerade invänder mot behandling för marknadsföring och profilering Personuppgifterna har behandlats på olagligt sätt Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller nationell rätt Personuppgifterna har samlats in efter samtycke från barn i samband med erbjudanden av informationssamhällets tjänster Om uppgifterna har offentliggjorts ska den personuppgiftsansvarige vidta rimliga åtgärder för att underrätta andra personuppgiftsansvariga 2017-08-30 Nya dataskyddsförordningen 74

Hur ska en begäran om att få uppgifter raderade hanteras? Undantag från kravet att radera personuppgifterna Behandlingen är nödvändig för att utöva rätten till yttrande- och informationsfrihet För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller nationell rätt För att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning För skäl som rör ett viktigt allmän intresse på folkhälsoområdet För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål dock endast i den utsträckning som raderingen sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen För att kunna fastställa, göra gällande eller försvara rättsliga anspråk 2017-08-30 Nya dataskyddsförordningen 75

Rätt till rättelse och begränsning Den registrerade har rätt att kräva att uppgifterna rättas, raderas eller begränsas Vid rättelse, begränsning eller radering: Viktigt meddela personuppgiftsbiträden/mottagare av uppgifter att också rätta, begränsa och radera! Åtgärd: Se över rutiner för att säkerställa rättning, radering och begränsning 2017-08-30 Nya dataskyddsförordningen 76

Vem ansvarar internt? Dataskyddsombud m.m.

Vem ansvarar internt? Tidigare: Personuppgiftsombud, nu dataskyddsombud Måste utses av alla kommuner Förändrad roll Tydligare regler och krav för dataskyddsombudet 2017-08-30 Nya dataskyddsförordningen 78

Krav på dataskyddsombud Speciell anställd eller konsult med ansvar för personuppgiftshantering Skapa medvetenhet, övervaka efterlevnad m.m. Kriterier för utnämnande Yrkesmässiga kvalifikationer Sakkunskap om lagstiftning och praxis om dataskydd Förmågan att fullgöra sina uppgifter Dataskyddsombudets kontaktuppgifter ska offentliggöras och meddelas till Datainspektionen Dataskyddsombudet ska vara kontaktbar för de registrerade 2017-08-30 Nya dataskyddsförordningen 79

Dataskyddsombudets ställning Ska på ett korrekt sätt och i god tid delta i alla frågor som rör skyddet av personuppgifter Ska erhålla stöd från registeransvarig vid utförandet av sina arbetsuppgifter Ska få tillräckliga resurser, tillgång till personuppgifter och behandlingsförfaranden och upprätthållande av kunskap Får inte motta instruktioner som gäller utförandet av arbetsuppgifterna Får inte avsättas eller bli föremål för sanktioner Ska rapportera direkt till högsta förvaltningsnivå Får ha andra uppgifter och uppdrag, men den registeransvarige ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt Åtgärder: Utvärdera om ni behöver anställa, vidareutbilda eller anlita en utomstående uppdragstagare! 2017-08-30 Nya dataskyddsförordningen 80

Vem utser ni? Kan vara anställd eller konsult Ska anmälas till Datainspektionen Ett dataskyddsombud kan utses för flera myndigheter eller offentliga organ med hänsyn till deras organisationsstruktur och storlek Samma dataskyddsombud för flera nämnder inom en kommun? Samarbete mellan mindre kommuner? 2017-08-30 Nya dataskyddsförordningen 81

Säkerhet och IT-krav

Säkerhetskrav Ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken Tekniska åtgärder Antivirus, auktorisationskrav, behörighetsstyrning Brandväggar och krypteringsfunktioner, osv. Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott osv. Organisatoriska åtgärder Organisation och rutiner Instruktioner och policyer Åtgärder: Säkerställ att IT- och säkerhetsansvariga har kompetens och resurser för att arbeta med dataskydd. Se över era säkerhetsrutiner (såväl teknisk som organisatorisk, t.ex. NDA) Säkerhetsnivå i förhållande till risk 2017-08-30 Nya dataskyddsförordningen 83

Informationskrav vid personuppgiftsincident Informera tillsynsmyndigheten utan onödigt dröjsmål Om det inte är osannolikt att incidenter medför en risk för fysiska personers rättigheter och friheter Som huvudregel inom 72 timmar efter vetskap om intrånget Informationen ska innehålla åtminstone Incidentens art och, om möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs Kategorier av och det ungefärliga antalet personuppgiftsposter som berörs Namn och kontaktuppgifter till dataskyddsombudet eller andra kontaktpunkter Sannolika konsekvenser av incidenten En beskrivning av vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten och minska dess konsekvenser 2017-08-30 Nya dataskyddsförordningen 84

Informationskrav vid personuppgiftsincident Om det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål Biträden ska underrätta ansvarig utan onödigt dröjsmål efter vetskap om incident Alla incidenter, dessas effekter och åtgärderna som vidtagits ska dokumenteras 2017-08-30 Nya dataskyddsförordningen 85

Informationskrav vid personuppgiftsincident Informera varje registrerad individ utan onödigt dröjsmål Om sannolikt leder till hög risk för enskildas rättigheter Undantag, t.ex. om system finns för att bevisa att de förlorade uppgifterna gjorts oläsbara för utomstående, t.ex. kryptering Oproportionerlig ansträngning: Istället informera allmänheten Informationen ska innehålla Tydlig och klar beskrivning av personuppgiftsincidentens art Namn och kontaktuppgifter till dataskyddsombudet eller andra kontaktpunkter Sannolika konsekvenser av incidenten En beskrivning av vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten och minska dess konsekvenser 2017-08-30 Nya dataskyddsförordningen 86

Rutin vid personuppgiftsincident Skapa en rutin så att ni vet vad ni ska göra om olyckan är framme Vem gör vad? Ta fram en manual/guide med blankett att fylla i Se över/stärk era säkerhetsåtgärder och inför rutiner för att meddela registrerade individer 2017-08-30 Nya dataskyddsförordningen 87

Sammanfattning och avslutning

Och ett antal andra regler att följa... Privacy by design Dataportabilitet Rutiner för att visa efterlevnad Code of Conducts? 2017-08-30 Nya dataskyddsförordningen 89

Hur gör vi då? Inled ett projekt för att följa lagen om ni inte redan börjat (jfr. min presentation Tips för ett lyckat efterlevnadsprojekt ) Ta hjälp av t.ex. SKL Involvera jurist tidigt, t.ex. genom en inledande workshop Tänk på att anpassa checklistor, mallar, m.m. till er situation och det specifika fallet! 2017-08-30 Nya dataskyddsförordningen 90

Agnes Hammarstrand / Partner / Advokat Mobil: 0730-83 50 70 agnes.hammarstrand@delphi.se @IT_advokaten Advokatfirman Delphi / Östra Hamngatan 29 / 411 10 Göteborg / Sweden Telefon: + 46 (0)31 10 72 00 / Fax: +46 (0)31 13 94 69 / delphi.se 2017-08-30 Nya dataskyddsförordningen 91

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

Hur kan vi förbereda oss? Skapa medvetande internt om de nya reglerna och den nya rollen informera och utbilda Ett projekt för att följa lagen behövs 1. Gör en nulägesanalys ( Gap analysis ) 2. Efterlevnadsprojekt 2017-08-30 Nya dataskyddsförordningen 93

Tips för ett lyckat efterlevnadsprojekt Budgetera och avsätt resurser noga Ha en intern projektledare och ev. även en inhyrd Lägg mycket tid i början på att identifiera rätt personer som ska delta i projektet Lägg stor vikt vid planeringsstadiet Starta med en utbildning eller workshop för alla i projektet Ha själv kontroll över projektet och inventeringen över data Ta extern hjälp med sådant som experter gjort förut och som tar lång tid för er, t.ex. mallar för avtal, information till registrerade och övriga juridiska dokument 2017-08-30 Nya dataskyddsförordningen 94

Olika typer av kompetens behövs Juridik IT Informationssäkerhet Kunskap om er kommun och just er nämnd Kunskap om hur bra rutiner och organisation implementeras 2017-08-30 Nya dataskyddsförordningen 95

Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policyer Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policyer för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv. 2017-08-30 Nya dataskyddsförordningen 96

Nulägesanalys ( Gap analysis ) Identifiera och mappa behandlingar och system Utgå gärna från registerförteckningens krav redan nu Undvik att mappa system endast, det är behandlingar som lagens krav utgår från Involvera alltid jurist innan ni påbörjar jobbet Identifiera och mappa tredjeparter, biträden, m.m. Mappa vilka legala enheter i kommunen som är personuppgiftsansvariga och biträden Vilka juridiska dokument, rutiner och samtycken finns idag? Identifiera brister och områden att hantera inför att förordningen träder i kraft 2017-08-30 Nya dataskyddsförordningen 97

Efterlevnadsprojekt Hur säkerställa ett effektivt efterlevnadssystem ( Data Protection Management System )? 1. Säkerställ att behandlingen är laglig 2. Sätt ansvar och organisation 3. Uppdatera juridiska dokument, avtal, samtycken och policyer 4. IT- och säkerhetsåtgärder 5. Organisatoriska åtgärder och rutiner accountability 2017-08-30 Nya dataskyddsförordningen 98

1. Säkerställ att behandlingen är laglig För varje behandling säkerställ laglig grund Säkerställ gallringsfrister Säkerställ att inte fler uppgifter behandlas än nödvändigt, osv. Policy och gallringspolicy 2017-08-30 Nya dataskyddsförordningen 99

2. Sätt ansvar och organisation Behöver vi ett dataskyddsombud? Vem är i så fall högst ansvarig? Olika kompetens informationssäkerhet, projektledning och juridik Ansvar över olika system/behandlingar Rapportordningar och arbetsbeskrivningar Övervakning av efterlevnad (internt/externt) 2017-08-30 Nya dataskyddsförordningen 100

3. Juridisk dokumentation/policyer (exempel) Personuppgiftsbiträdesavtal och ev. underbiträdesavtal Information till registrerade (personuppgiftspolicy) Samtyckestexter Mall och rutiner för konsekvensbedömning Ev. dokumentation/avtal för överföring till tredje land Rutiner och dokumentation för incidenthantering Rutiner inför upphandling Interna policyer för behandlingen, lagrings- och gallringsrutiner 2017-08-30 Nya dataskyddsförordningen 101

4. IT- och säkerhetsåtgärder (exempel) Radera data som inte ska finnas kvar Säkerhetskrav är de tillräckliga utifrån de krav som ställs i lag och med hänsyn till vilka uppgifter det rör sig om? Börja tillämpa inbyggd integritet (privacy by design) vid egen utveckling Tekniska rutiner för gallring, behörighetsstyrning, autentisering Tekniska rutiner för att undvika personuppgiftsincidenter 2017-08-30 Nya dataskyddsförordningen 102

5. Organisatoriska åtgärder och rutiner Utbildningsrutiner (och rutiner för att övervaka att utbildning genomförts) Utelämnande av information Dokumentationsrutiner Samtycken checklistor Register över behandling Rutiner för anmälan av personuppgiftsincident Konsekvensbedömning vid ny behandling Rutiner vid upphandlingar Contract management Sekretessavtal Med mera 2017-08-30 Nya dataskyddsförordningen 103

Agnes Hammarstrand / Partner / Advokat Mobil: 0730-83 50 70 agnes.hammarstrand@delphi.se @IT_advokaten Advokatfirman Delphi / Östra Hamngatan 29 / 411 10 Göteborg / Sweden Telefon: + 46 (0)31 10 72 00 / Fax: +46 (0)31 13 94 69 / delphi.se 2017-08-30 Nya dataskyddsförordningen 104

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss