36. GDPR-sex månader kvar
Välkommen! Agenda Inledning och bakgrund Personuppgifter Viktiga begrepp De grundläggande principerna Laglig behandling av personuppgifter Den registrerades rättigheter Personuppgiftsansvarigs skyldigheter Personuppgiftsbiträde Vägen framåt Thomas Sageland Senior Manager, Cyber Security 2
Inledning Ersätter Personuppgiftslagen (PuL) Träder i kraft 25 maj 2018 20 000 000 eller 4 % av global årlig omsättning i böter 3
Varför dataskyddsförordningen? Teknisk utveckling Ge tillbaka kontrollen till individen Öka efterlevnaden Öka transparensen 4
Vad är personuppgifter? Allt som direkt eller indirekt går att härleda till en fysisk person Namn, adress, lägenhetsnummer Bild-, video- och ljudupptagningar Loggar, backup, spellistor CV, anställningsnummer Personnummer, passnummer Transaktioner, innehav Telefonnummer, IP-adress, platsdata Kontonummer, kortnummer 5
Särskild kategori av personuppgifter Känsliga personuppgifter Ras och etniskt ursprung Religion Politiska åsikter Medlemskap i fackförening Hälsa Filosofisk övertygelse Sexualliv eller sexuell läggning Genetisk och biometrisk data 6
Viktiga begrepp Behandling Personuppgiftsansvarig Den registrerade Personuppgiftsbiträde Ostrukturerad data 7
Territoriellt tillämpningsområde Organisationer etablerade i EU, eller behandlar uppgifter om personer som befinner sig i EU 8
De grundläggande principerna Laglighet, korrekthet, öppenhet Säkerhet Syftar bl a till Inbyggt dataskydd Tillräckligt skydd en bedömningsfråga Integritet och konfidentialitet Öppenhet en nyhet, transparens vad man gör Laglighet syftar bl.a. till laglig behandling Ändamålsbegränsning Måste alltid ha ett tydligt ändamål med behandlingen Detta sätter ramen för allt annat Legitimt ändamål Uppgiftsminimering Inte fler uppgifter än vad som är nödvändigt för ändamålet Inga bra att ha uppgifter Ansvarsskyldighet Får inte sparas längre än vad som är nödvändigt för ändamålet Gallring T.ex. andra lagkrav eller branschpraxis Lagringsminimering Korrekthet Korrekt från början och uppdatera om det är nödvändigt Objektiv information Ansvarig för efterlevnad och ansvarig för att kunna bevisa efterlevnad Ökat dokumentationskrav 9
Laglig behandling av personuppgifter a Samtycke När man vill göra något extra. Mycket administration b c d Fullgöra avtal Rättslig förpliktelse Vitala intressen Uppgifter som krävs för att kunna fullgöra avtalet Om det finns krav i annan nationell eller EU-lag T.ex. om det är i en livshotande situation e Allmänt intresse och myndighetsutövning Allmänintresset kan vara utanför ett statligt organ, men lagreglerat i sådant fall f Berättigat intresse Intresseavvägning: organisationens vinst v.s. intrånget i individens integritet 10
Den registrerades rättigheter (1/2) Rätt till information - Skilj från samtycke - Ganska omfattande vad som ska vara med Rätt till tillgång Rätt till rättelse Rätt till radering - Motsvarar registerutdrag - I princip all information - Kan begära att felaktiga uppgifter rättas - Kan i vissa fall kräva att ens uppgifter raderas, dock väldigt begränsat 11
Den registrerades rättigheter (2/2) Rätt till begränsning - I vissa fall kan den registrerade begära att behandlingarna begränsas, t.ex. vid en tvist Dataportabilitet - I vissa fall rätt att få ut visa av sina uppgifter på ett maskinläsbart sätt Rätt att göra invändningar - Direkt marknadsföring - Invända mot visa typer av behandlingar 12
Registerförteckning Register över alla behandlingar Specificerat i förordningen vilken info som måste finnas med Finns även andra fördelar med ett sådant register Både personuppgiftsansvarig och personuppgiftsbiträde Ändamål Kategori av registrerade Kategori av personuppgifter Lagringstid Osv. Löneadministration Anställda Namn, inkomst personnummer, osv Två år efter avslutad anställning Kundservice Kunder Namn, kundnummer, ärendeinformation 6 månader Osv. 13
Personuppgiftsincident När någon får tillgång till personuppgifter de inte borde ha tillgång till, t.ex: - Hackad - Borttappad USB/mobil/dator som inte är krypterad - Råkar ge för många personer access till personuppgifter Anmäla inom 72 timmar - Datainspektionen - Ibland de drabbade Rutiner för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter - Incidentrapporteringssystem/rutin 14
Konsekvensbedömning Data Protection Impact Assessment Om behandlingen sannolikt leder till hög risk för den registrerades integritet - T.ex. om man använder en stor mängd personuppgifter av särskild kategori Kommer att komma riktlinjer från Datainspektionen 15
Dataskyddsombud Data Protection Officer (DPO) I vissa fall behöves ett formellt utsedd dataskyddsombud - Myndighet eller offentligt organ - Kärnverksamheten är regelbunden och systematisk övervakning av de registrerade i stor omfattning - Kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgifter eller domar i brottmål Ska ha god insyn i verksamheten och kontakt med ledningen Fristående Anmäla till Datainspektionen Även om man inte behöver ett dataskyddsombud behöver ansvaret för hantering av personuppgifter fördelas i organisationen. 16
Inbyggt dataskydd och dataskydd som standard Privacy by design och Privacy by default Tekniska och organisatoriska säkerhetsåtgärder Gäller även retroaktivt För att öka säkerheten och skydda den registrerades integritet Design: t.ex. behörighetsbegränsning, pseudonymisering, utbildning av personal Default: standardinställningarna 17
Personuppgiftsbiträde När en tredje part kan ta del av personuppgifter - T.ex. skickar uppgifter eller om någon kan logga in i era system Även biträden måste följa förordningen - Underbiträden Personuppgiftsbiträdesavtal - Bilaga med säkerhetsbestämmelser 18
Tredjelandsöverföring Utanför EU och EES Måste vidta säkerhetsåtgärder - T.ex. EUs modellklausuler Alternativt ha samtycke Vanligtvis: - Servrar (många molntjänster) - Support 19
Risker Böter Rykte = indirekta kostnader/inkomstbortfall Skadestånd, möjligheten för drabbade att tillsammans stämma företaget (class action) 20
Roller och ansvar Vem är ansvarig för vad? Vilken utbildning och information måste medarbetarna få? - Behöver inte vara samma för hela organisationen 21
Vad behöver göras? Nyckelfrågor 1. Kartlägg Vilka personuppgifter har vi och vart? 2. Analysera Vilka är integritetsriskerna? Vilken skada kan de orsaka? 3. Be om hjälp Vilka intressenter måste du konsultera? Delegera ansvar! 4. Målbild Sätt en målbild och bestäm vad er riskaptit är. Nulägesanalys Projektorganisation Tidslinje 5. Design Planera hur implementeringsfasen ska se ut. 7. Implementera Det stora arbetet med att implementera förordningen i verksamheten. 6. Informera Informera och utbilda verksamheten om förordningen och det planerade arbetet. 8. Dokumentera Hur kan vi visa att vi följer kraven i förordningen? 9. Följ upp Detta är ingen övning man gör en gång, utan ska konstant efterlevas. 22
Vägen framåt 1 Nuläge 2 Program design 3 Implementation Definiera nuläget i organisationen med hjälp av GAP analys verktyg (RAT) Scope: Alla affärsenheter/dotterbolag Definiera prioriterade områden inför design fasen Beskriv målet med GDPR-arbetet Använd en riskbaserad ansats för att prioritera åtgärder i projektet Fastställ org, roller & ansvar, mandat Fastställ mätvärden och rapportering i linje med fastställd riskaptit och mål Implementera fastställd roadmap i organisationen utifrån fastställd projektplan 23
Exempel GDPR Workstreams Månad Legal & Dokumentation DPO Data Governance Discovery & Data flow Data loss monitoring & response Data Cleansing/Anonymization Process utveckling Utbildning & awareness Utbildning & awareness Intern kontroll 24
Verktygslandskapet 25
Vill du veta mer? Kontakta mig gärna Thomas Sageland thomas.sageland@pwc.com Direkt: +46 (0) 10 212 50 75 Mobil: +46 (0) 729 80 90 75 Läs mer på: www.pwc.se Följ oss på 2017 PricewaterhouseCoopers i Sverige AB. All rights reserved. In this document, refers to PricewaterhouseCoopers i Sverige AB which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.