Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Relevanta dokument
Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Nya Dataskyddsförordningen. Agnes Hammarstrand

GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

GDPR. Dataskyddsförordningen

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

EU:s dataskyddsförordning

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

GDPR NYA DATASKYDDSFÖRORDNINGEN

Nya Dataskyddsförordningen. Agnes Hammarstrand

GDPR Presentation Agenda

GDPR- Seminarium 2017

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Dataskyddsförordningen

Välkomna till kurs i den nya dataskyddsförordningen

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Dataskyddsförordningen (GDPR)

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

Status panik? GDPR-update! Disposition

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Dataskyddsförordningen GDPR

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

Dataskyddsförordningen

GDPR. General Data Protection Regulation. dataskyddsförordningen

BESKRIVNING AV PERSONUPPGIFTSHANTERING

Dataskyddsförordningen ( GDPR ) Agnes Hammarstrand Advokatfirman Delphi 23 mars 2018

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Dataskyddsförordningen ( GDPR ) Agnes Hammarstrand Advokatfirman Delphi

PuL och GDPR en översiktlig genomgång

Översikt av GDPR och förberedelser inför 25/5-2018

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Dataskyddsförordningen

Dataskyddsförordningen GDPR - General Data Protection Regulation

Dataskyddsförordningen 2018

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Dataskyddsförordningen

Dataskyddsförordningen 2018

Dataskyddsförordningen

Dataskyddsförordningen

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

GDPR General data protection regulation Dataskyddsförordningen

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

EU:s nya dataskyddsförordning Lotta Wikman Öman

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

EU:s dataskyddsförordning

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Dataskyddsförordningen och kvalitetsregister

Ny personuppgiftsförordning Försäkringsjuridiska Föreningen. Agnes A Hammarstrand / Advokat 3 mars 2016

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Riktlinjer för dataskydd

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Dataskyddsförordningen

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

36. GDPR-sex månader kvar november 2017

Underbiträdesavtal. Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Idrottens Uppförandekod

Policy för behandling av personuppgifter

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Handlingsplan för persondataskydd

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

Kerstin Wardman, 25 april 2018

Dataskyddsförordningen

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Policy för behandling av personuppgifter

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Information om behandling av personuppgifter

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

GDPR viktiga nyheter jämfört med PuL

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

GDPR UTBILDNINGSDAG SKKF

För det fall att handlingarnas innehåll inte överensstämmer har huvuddokumentet företräde framför bilagan.

Koncernkontoret Enheten för juridik

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

INFORMATIONSSÄKERHET OCH DATASKYDD

Transkript:

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Ny EU-lag för personuppgifter Nya dataskyddsförordningen ( GDPR ) Ersätter nuvarande PuL och gäller i hela EU De nya reglerna gäller från och med den 25 maj 2018 Principer för en enhetlig tolkning i hela EU 2017-09-21 Nya dataskyddsförordningen 2

Sanktioner Företag riskerar böter upp till det högre beloppet av 20.000.000 EUR eller 4 % av koncernens globala omsättning Registrerade kan kräva skadestånd Även andra sanktioner, t.ex. förelägganden, varning, m.m. 2017-09-21 Nya dataskyddsförordningen 3

2017-09-21 Nya dataskyddsförordningen 4

När gäller lagen? Personuppgifter varje uppgift varigenom en fysisk person direkt eller indirekt kan identifieras Såväl B2K som B2B all data om individer Gäller allt ni gör med uppgifterna all behandling Gäller även krypterade uppgifter! 2017-09-21 Nya dataskyddsförordningen 5

Förordningen i korthet Principerna bygger på nuvarande lag, men också ett stort antal nyheter Krav på när personuppgifter får behandlas Ett stort antal andra regler om hur uppgifter får behandlas och krav på rutiner och processer Ska kunna visa att lagen följs 2017-09-21 Nya dataskyddsförordningen 6

Personuppgiftsansvarig Den som själv eller tillsammans med andra bestämmer ändamål och medel med behandlingen är personuppgiftsansvarig Ansvarar alltid självständigt för att lagen följs Ni inte ert biträde (t.ex. IT-leverantör) ansvarar för att lagen följs 2017-09-21 Nya dataskyddsförordningen 7

Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning Typiska biträden: IT-leverantörer, IT-support, molntjänstleverantörer Krav på skriftliga personuppgiftsbiträdesavtal samt dokumenterade instruktioner över bl.a. säkerhet Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ 2017-09-21 Nya dataskyddsförordningen 8

Integritetstrappan vilka regler gäller enligt lagen (exempel)? Speciella krav för känsliga uppgifter Information till registrerade (personuppgiftspolicy) Säkerhet, rutiner för dataportabilitet, etc. Avtal, dokumentation, rutiner, m.m. Förbud att flytta uppgifter utanför EU Är behandlingen laglig? Grundläggande principer att följa, t.ex. gallring, tid 2017-09-21 Nya dataskyddsförordningen 9

Grundläggande principer (exempel) Uppgiftsminimering Inte hantera fler uppgifter än som krävs för ändamålet Lagringsminimering Uppgifter får inte sparas länge tid än nödvändigt Integritet och konfidentialitet 2017-09-21 Nya dataskyddsförordningen 10

När är behandling tillåten? Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras Nödvändigt fullgöra rättslig förpliktelse Skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person En arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning Intresseavvägning Samtycke 2017-09-21 Nya dataskyddsförordningen 11

Åtgärder Laglighetsbedömning Inventera alla era behandlingar Identifiera laglig grund - ändamål Säkerställ att de grundläggande rutinerna följs, t.ex.: Inte fler uppgifter än nödvändigt Gallringsrutiner Rutiner för integritet och sekretess, t.ex. behörighetsstyrning 2017-09-21 Nya dataskyddsförordningen 12

Registrerades rättigheter Krav på att självmant ge information policy Information ska ges efter begäran registerutdrag Rätt för registrerade att kräva rättelse, begränsning eller radering Rätten att bli bortglömd Hur säkerställer ni att detta kan ske i praktiken? IT-mässigt Rutiner Åtgärd: Uppdatera integritetspolicy samt se över IT-system och rutiner 2017-09-21 Nya dataskyddsförordningen 13

Särskilt om säkerhetskraven i GDPR 14

Utökade säkerhetskrav Ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken Åtgärderna ska vidtas med beaktande av Den senaste utvecklingen Genomförandekostnaderna Behandlingens art, omfattning och ändamål Riskerna 2017-09-21 Nya dataskyddsförordningen 15

Utökade säkerhetskrav Kan inbegripa t.ex.: Pseudonymisering och kryptering av personuppgifter Förmågan att fortlöpande säkerställa konfidentialitet och motståndskraft av de system som behandlar uppgifterna och System för att testa effektiviteten hos åtgärder som ska säkerställa behandlingens säkerhet 2017-09-21 Nya dataskyddsförordningen 16

Riskbaserad approach Centralt att ha riskbaserad approach Vid bedömning av lämplig säkerhetsnivå ska risk för följande särskilt beaktas: Oavsiktlig eller olaglig förstöring, förlust eller ändring Obehörigt röjande av eller obehörig åtkomst till personuppgifter = Ni måste göra bedömningen utifrån kraven på de personuppgifter ni behandlar Att följa en uppförandekod eller en standard kan användas för att visa att följer kraven 2017-09-21 Nya dataskyddsförordningen 17

Säkerhetskrav Tekniska åtgärder Förfarande för att kontinuerligt testa Antivirus, auktorisationskrav, behörighetsstyrning Brandväggar och krypteringsfunktioner, osv. Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott osv. Organisatoriska åtgärder Organisation och rutiner Instruktioner och Policies Åtgärder: Säkerställ att IT- och säkerhetsansvariga har kompetens och resurser för att arbeta med dataskydd. Se över era säkerhetsrutiner (såväl teknisk som organisatorisk, t.ex. NDA) Säkerhetsnivå i förhållande till risk 2017-09-21 Nya dataskyddsförordningen 18

Privacy by design Inbyggd integritet Säkerhets- och integritetsaspekter ska tas hänsyn till redan vid planering och utveckling av IT-system De grundläggande principerna, t.ex. undvika fritextfält, behörighet, standardinställningar för lagring, m.m. Anpassa systemen efter vilka dataskyddskrav som gäller för just ert företag och varje situation Kommissionen får fastställa förordningar om tolkningen samt tekniska standarder Åtgärder: Inför rutiner för att ställa krav vid ITupphandlingar samt utbilda eventuella arkitekter 2017-09-21 Nya dataskyddsförordningen 19

Privacy by design exempel Behörighet Uppgiftsminimering Anonymisera om möjligt, undvik peka ut individer Begränsa åtkomsten till uppgifterna Hög säkerhet Möjligheter till kryptering, säkerhetskopiering och loggar, säker utplåning Funktioner för autentisering Enkel möjlighet till gallring, automatisk och enkel radering av uppgifter som inte behövs Möjliggöra utelämnande av information till registrerade Minimera fritextfält 2017-09-21 Nya dataskyddsförordningen 20

Privacy by default Integritet som standard Ska vidta lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Skyldigheten avser: Mängden insamlade uppgifter Behandlingens omfattning Lagringstid Tillgänglighet 2017-09-21 Nya dataskyddsförordningen 21

Informationskrav vid personuppgiftsincident Informera om personuppgiftsincident utan oskäligt dröjsmål Informera tillsynsmyndigheten Som huvudregel: Inom 72 timmar efter vetskap om intrånget I vissa fall även informera varje registrerad individ Biträden ska underrätta ansvarig utan onödigt dröjsmål efter vetskap om incident 2017-09-21 Nya dataskyddsförordningen 22

Era IT-system Vilka system har ni? Hur uppfyller ni kraven i era egna system? Vilka leverantörer behöver ni kravställa mot? Hur kan vi uppfylla de grundläggande kraven i våra system? 2017-09-21 Nya dataskyddsförordningen 23

Hur hanterar ni säkerhetskrav? Vem ansvarar? Vilken kompetens har ni internt? Rutiner för personuppgiftsincident? Vad kan göras för att undvika incidenter? 2017-09-21 Nya dataskyddsförordningen 24

Hur kan ni uppfylla de grundläggande kriterierna? Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet åtkomstkontroll De registrerades rättigheter Rätt bli raderad Rätt få registerutdrag Rätt till rättelse 2017-09-21 Nya dataskyddsförordningen 25

Exempel på andra regler

Dataportabilitet underlätta att flytta uppgifter mellan olika leverantörer Individer ska lättare kunna få ut och överföra uppgifter från en personuppgiftsansvarig till en annan (från ett företag till ett annat) Gäller när grunden för behandlingen är samtycke eller avtal och behandlingen sker automatiserat Den ansvarige ska tillhandahålla uppgifterna i i ett strukturerat, allmänt använt och maskinläsbart format Åtgärd: Kommer ni rent praktiskt sannolikt träffas av denna skyldighet? Hur säkerställer vi i sådant fall rutiner? 2017-09-21 Nya dataskyddsförordningen 27

Uppförandekoder specifik tolkning av lagen? Lagen uppmuntrar utarbetandet av uppförandekoder Sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden får utarbeta uppförandekoder som ges in till tillsynsmyndigheten Åtgärd: Överväg om ni bör arbeta för en uppförandekod i er bransch 2017-09-21 Nya dataskyddsförordningen 28

Certifiering Förordningen ger möjlighet till certifiering - att personuppgiftsbehandling är i enlighet med förordningen För detta krävs ackrediterat certifieringsorgan (finns ej idag) Dataskyddsstyrelsen ska samla alla certifieringsmekanismer i ett offentligt register Idag finns alltså ingen möjlighet till certifiering 2017-09-21 Nya dataskyddsförordningen 29

Konsekvenser och hur ska vi arbeta med lagen?

Konsekvenser av lagen Dataskydd blir en (lednings)fråga Viktigare att följa lagen Integritetsfrågorna får mer uppmärksamhet och kräver resurser, organisation och budget Ökat fokus på förebyggande åtgärder och dokumentation System och databaser kan bli olagliga 2017-09-21 Nya dataskyddsförordningen 31

Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policyer Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policyer för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder - rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv. 2017-09-21 Nya dataskyddsförordningen 32

Hur kan vi förbereda oss? Budgetera och planera, skapa medvetenhet internt om de nya reglerna och undersök nuvarande status Efterlevnadsprojekt Säkerställ laglig behandling Fördela ansvar och sätt organisation Juridiska dokument, avtal och policys IT-åtgärder, inklusive IT-säkerhet Organisatoriska åtgärder Utbilda din organisation om privacy by design Tillämpa krav på dataskydd och integritet i ITupphandlingar Uppdatera personuppgiftsbiträdesavtal och ITpolicies New General Data Protection Regulation 33

Tips för ett lyckat efterlevnadsprojekt Ha en intern projektledare och ev. även en inhyrd Lägg mycket tid i början på att identifiera rätt personer som ska delta Lägg stor vikt vid planeringsstadiet Diskutera ambitionsnivå av compliance riskapproach Börja nu! 2017-09-21 Nya dataskyddsförordningen 34

Nulägesanalys ( Gap analysis ) Identifiera behandlingar och system Laglig grund för behandlingen Identifiera tredjeparter Mappa vilka legala enheter i koncernen som är personuppgiftsansvariga och biträden Vilka juridiska dokument, rutiner och samtycken finns idag? Identifiera brister och områden att hantera inför att förordningen träder i kraft 2017-09-21 Nya dataskyddsförordningen 35

Efterlevnadsprojekt Hur säkerställa ett effektivt efterlevnadssystem ( Data Protection Management System )? Säkerställ att behandlingen är laglig Sätt ansvar och organisation Uppdatera juridiska dokument, avtal, samtycken och policyer IT- och säkerhetsåtgärder Organisatoriska åtgärder och rutiner accountability 2017-09-21 Nya dataskyddsförordningen 36

Sätt ansvar och organisation Behöver vi ett dataskyddsombud? Vem är annars högst ansvarig? Olika kompetens informationssäkerhet, projektledning och juridik Vad är en lämplig organisering för er? Lands eller bolagsvis: Lokala kontaktpersoner Områdesvis: HR/Kunddata/Leverantörsdata/Marknad/Kundklubb Ansvar över olika system/behandlingar Rapportordningar och arbetsbeskrivningar Övervakning av efterlevnad (internt/externt) 2017-09-21 Nya dataskyddsförordningen 37

Juridisk dokumentation/policyer (exempel) Personuppgiftsbiträdesavtal och ev. underbiträdesavtal Information till registrerade (personuppgiftspolicy) Samtyckestexter Mall och rutiner för konsekvensbedömning Ev. dokumentation/avtal för överföring till tredje land Rutiner och dokumentation för incidenthantering Rutiner inför upphandling Interna policyer för behandlingen, lagrings- och gallringsrutiner 2017-09-21 Nya dataskyddsförordningen 38

IT- och säkerhetsåtgärder (exempel) Säkerhetskrav är de tillräckliga utifrån de krav som ställs i lag och med hänsyn till vilka uppgifter det rör sig om? Börja tillämpa inbyggd integritet (privacy by design) vid egen utveckling Tekniska rutiner för gallring, behörighetsstyrning, autentisering Tekniska rutiner för att undvika personuppgiftsincidenter 2017-09-21 Nya dataskyddsförordningen 39

Organisatoriska åtgärder och rutiner Utbildningsrutiner (och rutiner för att övervaka att utbildning genomförts) Utelämnande av information Dokumentationsrutiner Samtycken checklistor Register över behandling Rutiner för anmälan av personuppgiftsincident Konsekvensbedömning vid ny behandling Rutiner vid upphandlingar Contract management Sekretessavtal Med mera.. 2017-09-21 Nya dataskyddsförordningen 40

Lycka till och kör hårt! 2017-09-19 Nya dataskyddsförordningen 41

Marielle Eide / Associate lawyer Telefon: 0709-25 26 13 marielle.eide@delphi.se Advokatfirman Delphi / Östra Hamngatan 29 / 411 10 Göteborg / Sweden Tel: + 46 (0)31 10 72 00 / Fax: +46 (0)31 13 94 69 / delphi.se 2017-09-21 Nya dataskyddsförordningen 42

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss