Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Relevanta dokument
GDPR- Seminarium 2017

Dataskyddsförordningen

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskyddsförordningen i utbildningsverksamhet

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

PuL och GDPR en översiktlig genomgång

PUL OCH DATASKYDDSFÖRORDNINGEN

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Dataskyddsförordningen

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

GDPR. Ulrika Harnesk 17 oktober 2018

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

EU:s dataskyddsförordning

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Instruktion till mall för registerförteckning

GDPR- Vad har hänt och hur ser tillämpningen ut?

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

EU:s nya dataskyddsförordning Lotta Wikman Öman

GDPR. Dataskyddsförordningen

Personuppgiftsbehandling Dataskydd

GDPR - Riktlinjer för hantering av personuppgifter

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

Vården och reglerna om dataskydd

PERSONUPPGIFTSBITRÄDESAVTAL

GDPR definition och hur utbildningen berör(t)s av förordningen

Dataskyddsförordningen GDPR

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR NYA DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen och kvalitetsregister

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Dataskyddsförordningen

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Förändringar för hälso- och sjukvården genom EU: s dataskyddsförordningen (förordningen) GDPR

Välkomna till kurs i den nya dataskyddsförordningen

Personuppgiftsbiträdesavtal

Dataskyddsförordningen

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Behandling av personuppgifter vid Göteborgs universitet

Koncernkontoret Enheten för juridik

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Europeiska unionens L 119. officiella tidning ISSN Utdrag. Lagstiftning FÖRORDNINGAR

Dataskyddsförordningen

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Personuppgiftsbehandling i forskning

GDPR Presentation Agenda

Dataskyddsförordningen

Dataskyddsförordningen för prefekter och administrativa chefer

B EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU)

EU:s dataskyddsförordning

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Policy för behandling av personuppgifter

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Dataskyddsförordningen GDPR - General Data Protection Regulation

Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Lathund Dataskydd för krögare

GDPR General data protection regulation Dataskyddsförordningen

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Dataskyddsförordningen (GDPR) (och studieadministrativa system)

Policy för behandling av personuppgifter

Riktlinjer för att tillvarata enskildas rättigheter

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Grundkurs i dataskyddslagstiftningen. Grundkurs för personuppgiftsombud

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

INTEGRITETSPOLICY FÖR BOSTADSRÄTTSFÖRENINGEN BOKLOK Eriksbergsbergsterrassen

Kerstin Wardman, 25 april 2018

För att tillvarata medlemmarnas enskildas rättigheter

Personuppgiftsbehandling för forskningsändamål

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Svensk författningssamling

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Dataskyddsförordningen - GDPR

Instruktion för att tillvarata enskildas rättigheter

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Dataskydd och forskning i Europa och Sverige

PERSONUPPGIFTSLAGEN (PUL)

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Transkript:

Dataskyddsförordningen Kristina Blomberg PuL-Pedagogen Sverige AB www.pulpedagogen.se

Lite historia och fakta 1973 trädde datalagen i kraft (världens första nationella integritetslagstiftning) 1998 trädde personuppgiftslagen i kraft (byggde på ett EUdirektiv - 95/46/EG) Kommissionens förslag om en förordning kom 25 januari 2012 Parlamentets förslag kom 21 oktober 2013 Trialogförhandlingar (kommissionen, rådet och parlamentet) slutfördes i december 2015 14 april togs ett slutligt beslut om förordningen Förordningen ska tillämpas i alla medlemsstater från och med den 25 maj 2018 Här hittar man texten till dataskyddsförordningen: (http://eur-lex.europa.eu/legalcontent/sv/txt/pdf/?uri=oj:l:2016:119:full&from=sv)

Nationella bestämmelser Bestämmelserna i förordningen bygger i många delar på att det finns nationella bestämmelser. Omfattande lagstiftningsarbete kommer att krävas. Det förutsätts att detta arbete är klart till dess att vi ska börja tillämpa förordningen i Sverige

Några exempel på definitioner - artikel 4 Personuppgift (ungefär som idag) varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Några exempel på definitioner - artikel 4 (forts.) Behandling ungefär som idag Profilering nytt Pseudonymisering nytt Personuppgiftsansvarig ungefär som idag Personuppgiftsbiträde ungefär som idag Mottagare den till vilken uppgifter lämnas ut

Några exempel på definitioner - artikel 4 (forts.) Personuppgiftsincident nytt en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Informationssamhällets tjänster - nytt tjänster som vanligtvis utförs mot ersättning på distans, på elektronisk väg och på individuell begäran av en tja nstemottagare

Principer om behandling av personuppgifter artikel 5 Motsvarar 9 PuL inga större förändringar a) laglighet, korrekthet och öppenhet b) ändamålsbegränsning (särskilda, uttryckligt angivna och berättigade ändamål, ej behandla för oförenliga ändamål) c) uppgiftsminimering (adekvata, relevanta, ej för många) d) korrekthet (korrekta, uppdaterade, rättas utan dröjsmål) e) lagringsminimering (ej spara längre än nödvändigt) f) integritet och konfidentialitet (uppgifterna ska skyddas mot obehörig eller otillåten behandling m.m.) Ansvarsskyldighet (den personuppgiftsansvarige ska kunna ansvara för och kunna visa att punkterna ovan efterlevs)

Laglig behandling av personuppgifter artikel 6 Motsvarar 10 PuL a) samtycke, eller nödvändig behandling för b) fullgöra avtal c) rättslig förpliktelse för den personuppgiftsansvarige d) skydda intressen som är av grundläggande betydelse för den registrerade (tidigare vitala intressen) e) arbetsuppgift av allmänt intresse eller led i myndighetsutövning f) intresseavvägning Lagstiftaren får precisera tillämpningen

Villkor för samtycke artikel 7 Viljeyttring som ska vara frivillig specifik informerad otvetydig Som ges genom uttalande eller entydig bekräftande handling Personuppgiftsansvarig har bevisbördan Ska vara lika lätt att återkallas som att ges

Behandling av särskilda kategorier av personuppgifter artikel 9 Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening Behandling av genetiska och biometriska uppgifter Uppgifter om hälsa, sexualliv och sexuell läggning

Behandling av särskilda kategorier av personuppgifter artikel 9 (forts) Behandling av särskilda kategorier av personuppgifter är förbjuden Undantag a) uttryckligt samtycke (om inte lagstiftning säger att samtycke inte gäller) b) skyldigheter och rättigheter inom arbetsrätten, social trygghet och socialt skydd c) skydda den registrerades eller någon annans grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge samtycke d) stiftelse, förening, ej vinstdrivande organ (politiskt, filosofiskt, religiöst eller fackligt syfte) e) tydligt eget offentliggörande

Särskilda kategorier av uppgifter artikel 9 (forts) Undantag från förbudet (forts.) f) fastslå, göra gällande eller försvara rättsliga anspråk g) fullgörande av arbetsuppgift i ett viktigt allmänt intresse på grundval av lag h) förebyggande hälso- och sjukvård, bedömning av arbetskapacitet, diagnoser, hälso- och sjukvård, social omsorg (inklusive administration) i) allmänt intresse på folkhälsoområdet j) arkiveringsändamål för historiska, statistiska eller vetenskapliga forskningsändamål Flera av punkterna ovan kräver nationell lagstiftning

Den registrerades rätt till tillgång artikel 15 (och 12) Registerutdrag (rätt till tillgång) ungefär samma regler som idag, dessutom gäller möjlighet till elektroniska registerutdrag art. 15.3: Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt om den registrerade inte begär något annat. begriplig och lättfattlig form, även muntligt efter id-koll kopia av de uppgifter som håller på att behandlas ska lämnas gratis (för ytterligare kopior får man avslå begäran eller ta ut en administrativ avgift om begäran är oskälig p.g.a. dess repetitiva karaktär art. 12.5)

Den registrerades rätt till tillgång artikel 15 (och 12) Information ska (förutom kopia av alla uppgifter som behandlas) lämnas om a) ändamålen med behandlingen b) kategorier av personuppgifter c) mottagare eller kategorier av mottagare d) lagringsperioden e) rätt att begära rättelse, radering, begränsning och att göra invändningar f) rätt att inge klagomål till tillsynsmyndigheten + kontaktuppgifter g) varifrån uppgifterna kommer h) när det gäller beslut grundade på automatisk behandling: logiken bakom samt betydelsen och förutsedda följder av behandlingen

Den personuppgiftsansvariges ansvar artikel 24 Lämpliga tekniska och organisatoriska åtgärder ska genomföras för att försäkra och kunna visa att behandlingen följer förordningen Åtgärderna ska gås igenom och uppdateras när det är nödvändigt

Inbyggt dataskydd och dataskydd som standard artikel 25 Tekniska och organisatoriska åtgärder ska byggas in från början så att behandlingen uppfyller alla krav i förordningen och skyddar den registrerade med beaktande av tillgänglig teknik genomförandekostnader behandlingens art, omfattning, sammanhang och ändamål sannolikhet för och allvar i risken för enskildas fri- och rättigheter

Personuppgiftsbiträden artikel 28 Definition enligt artikel 4 en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Ska ge tillräckliga garantier för säkerheten Hanteringen ska regleras genom ett avtal eller liknande. Exakt vad avtalet ska innehålla framgår av artikel 28 i dataskyddsförordningen.

Register över behandlingar artikel 30 Personuppgiftsansvarig och eventuella företrädare ska föra ett register över behandlingar av personuppgifter Följande uppgifter ska dokumenteras a) namn och kontaktuppgifter för personuppgiftsansvarig, ev. företrädare och ev. dataskyddsombud b) ändamålen med behandlingen c) kategorier av registrerade och kategorier av personuppgifter d) kategorier av mottagare e) ev. överföring till tredjeland f) tidsfrist för radering (om möjligt) g) tekniska och organisatoriska säkerhetsåtgärder

Anmälan av en personuppgiftsincident till tillsynsmyndigheten artikel 33 Personuppgiftsansvarig ska anmäla till tillsynsmyndigheten utan onödigt dröjsmål (inom 72 timmar efter vetskap om händelsen) Personuppgiftsbiträde ska informera den personuppgiftsansvarige omedelbart Anmälan till tillsynsmyndigheten ska åtminstone beskriva personuppgiftsincidentens art beskriva kategorier och ungefärligt antal registrerade, kategorier av och ungefärligt antal uppgiftsposter förmedla kontaktuppgifter för dataskyddsombudet beskriva de sannolika konsekvenserna beskriva föreslagna eller vidtagna åtgärder

Utnämning av dataskyddsombudet artikel 37 Gäller både för personuppgiftsansvariga och personuppgiftsbiträden Dataskyddsombud är obligatoriskt om: myndighet eller offentligt organ behandlar personuppgifter eller om den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet kräver regelbunden och systematisk övervakning av enskilda i stor omfattning eller om den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgifter eller personuppgifter som rör fällande domar i brottmål och överträdelser

Dataskyddsombudets ställning artikel 38 Personuppgiftsansvarig och personuppgiftsbiträde ska se till att ombudet i god tid deltar i alla frågor som rör skyddet av personuppgifter stödja ombudet genom att tillhandahålla de resurser som krävs, ge tillgång till personuppgifter, underhålla hans eller hennes sakkunskap se till att ombudet inte tar emot några instruktioner rörande uppdraget Den registrerade får kontakta ombudet Ombudet får inte bli föremål för påföljder för att ha utfört sina arbetsuppgifter. Ombudet ska rapportera direkt till högsta förvaltningsnivån

Ansvar och rätt till ersättning artikel 82 Den som lidit skada även ideell har rätt att begära ersättning Om flera personuppgiftsansvariga ansvara solidariskt Personuppgiftsansvarig eller personuppgiftsbiträde kan slippa ansvar om de kan visa att de inte är ansvariga för händelsen som orsakade skadan.

Allmänna villkor för påförande av administrativa sanktionsavgifter artikel 83 Böter upp till 10 miljoner euro eller 2 % av globala årsomsättningen (beroende på vad som är högst) bl.a. om o o o inget dataskyddsombud ingen registerförteckning ingen konsekvensbedömning upp till 20 miljoner euro eller 4 % av globala årsomsättningen (beroende på vad som är högst) bl.a. om o o o man behandlar personuppgifter fast det inte är tillåtet man behandlar särskilda kategorier av personuppgifter fast man inte får man inte lämnar information som krävs

Kristina Blomberg info@pulpedagogen.se www.pulpedagogen.se

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss