GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Relevanta dokument
GDPR - nya dataskyddsförordningen. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Next Generation Threats 17 maj 2017 Caroline Sundberg, Advokat

Hur ska man förbereda sin organisation inför den nya dataskyddsförordningen? Johan Hübner, Partner / Advokat

Nya Dataskyddsförordningen. Agnes Andersson Hammarstrand

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Nya Dataskyddsförordningen. Agnes Hammarstrand

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

GDPR de första månaderna. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

GDPR NYA DATASKYDDSFÖRORDNINGEN

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

Nya Dataskyddsförordningen. Agnes Hammarstrand

Ny personuppgiftsförordning Försäkringsjuridiska Föreningen. Agnes A Hammarstrand / Advokat 3 mars 2016

GDPR. Dataskyddsförordningen

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

GDPR- Seminarium 2017

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Välkomna till kurs i den nya dataskyddsförordningen

Dataskyddsförordningen

Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

Dataskyddsförordningen

Dataskyddsförordningen

Dataskyddsförordningen

GDPR General data protection regulation Dataskyddsförordningen

EU:s dataskyddsförordning

Dataskyddsförordningen

Dataskyddsförordningen (GDPR)

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Dataskyddsförordningen

Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

Status panik? GDPR-update! Disposition

GDPR. General Data Protection Regulation. dataskyddsförordningen

PuL och GDPR en översiktlig genomgång

GDPR. Dataskyddsförordningen 27 april Emil Lechner

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Information om dataskyddsförordningen

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen ( GDPR ) Agnes Hammarstrand Advokatfirman Delphi 23 mars 2018

Dataskyddsförordningen GDPR

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Kerstin Wardman, 25 april 2018

GDPR Presentation Agenda

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Riktlinjer för dataskydd

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Dataskyddsförordningen och kvalitetsregister

Dataskyddsförordningen

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Regler för behandling av personuppgifter vid Högskolan Dalarna

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

GDPR viktiga nyheter jämfört med PuL

Policy för behandling av personuppgifter

Koncernkontoret Enheten för juridik

Dataskyddsförordningen ( GDPR ) Agnes Hammarstrand Advokatfirman Delphi

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

Handlingsplan för persondataskydd

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

GDPR och annat om personlig integritet som man bör tänka på

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Dataskyddsförordningen GDPR

Dataskyddsförordningen

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Behandling av personuppgifter vid Göteborgs universitet

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Översikt av GDPR och förberedelser inför 25/5-2018

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Integritet och behandling av personuppgifter. Näringslivets Regelnämnd samt Näringslivets Regelnämnd NNR AB

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Integritetspolicy SYFTE & BAKGRUND PERSONUPPGIFTER VI BEHANDLAR. Örebro BEHANDLING AV PERSONUPPGIFTER

Integritet och behandling av personuppgifter

GDPR ur verksamhetsperspektiv

36. GDPR-sex månader kvar november 2017

PERSONUPPGIFTER NY DATASKYDDSFÖRORDNING INOM EU

Victoria Behandlingscenter AB Integritetspolicy

EU:s dataskyddsförordning

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Data i egna händer. Kommentar. Katarina Tullstedt Datainspektionen

INFORMATIONSSÄKERHET OCH DATASKYDD

BESKRIVNING AV PERSONUPPGIFTSHANTERING

INFORMATION OM BEHANDLING AV PERSONUPPGIFTER

Behandling av personuppgifter - Maskinentreprenörerna

Transkript:

GDPR - nya dataskyddsförordningen Agnes Hammarstrand, IT-advokat och partner Advokatfirman Delphi @IT_advokaten

Intro

Ny EU-förordning för personuppgifter Nya dataskyddsförordningen ( GDPR ) Direkt gällande förordning som ersätter personuppgiftslagen ( PuL ) och motsvarande lagar i hela EES Syftar bl.a. till att stärka integritetsskyddet De nya reglerna gäller från och med den 25 maj 2018 2018-04-05 GDPR 3

När gäller lagen? Brett tillämpningsområde: alla europeiska företag, myndigheter. Och alla företag som säljer till EU Lagen gäller alla myndigheter, företag, kommuner, föreningar och enskilda Undantag för behandling av privatpersoner av rent privat karaktär (ej publicering på internet) Gäller all behandling av personuppgifter 2018-04-05 GDPR 4

Vad är en personuppgift? Personuppgifter varje uppgift varigenom en fysisk person direkt eller indirekt kan identifieras Oavsett om B2B eller B2K Allt som går att kopplas till en individ, t.ex. Kontaktpersoner (e-post, namn, osv) En adressuppgift Ett bilregistreringsnummer Data som kopplas samman med individ, t.ex. köphistorisk eller omdömen En bild: 2018-04-05 GDPR 5

Sanktioner Företag kan få böter upp till det högre beloppet av 20 000 000 euro eller 4 % av koncernens globala omsättning Ersättning till den som lidit skada Även andra sanktioner, varning, krav på att åtgärda (t.ex. radera data), m.m. 2018-04-05 GDPR 6

Tillsyn Nationell tillsynsmyndighet Datainspektionen - Integritetsmyndigheten Europeisk dataskyddsstyrelse Består av chefen för en tillsynsmyndighet per medlemsstat och Europeiska datatillsynsmannen 2018-04-05 GDPR 7

Vem ansvarar och vad innebär ansvaret?

Personuppgiftsansvarig Den som själv eller tillsammans med andra bestämmer ändamål och medel med behandlingen Ansvarar alltid självständigt för att lagen uppfylls Ska kunna visa att lagen följs 2018-04-05 GDPR 9

Vad innebär GDPR i korthet? Ha koll - Identifiera alla behandlingar och lista dessa i en registerförteckning Inga onödiga uppgifter - Uppgifter får inte behandlas (t.ex. lagras) om ni inte har ett lagligt stöd för det. Rensa! Krav på rutiner, dokumentation och policys på plats för att följa reglerna Krav på dataskydd - informationssäkerhet 2018-04-05 GDPR 10

Personuppgiftsansvarig i praktiken Ni är ansvariga för all personuppgiftsbehandling inom ert företag Register Era kund- och prospektsregister Register med leverantörer och samarbetspartners Anställningsregister Kandidater (för anställningar) Eventuella andra registrerade, t.ex. nyhetsbrev Annan behandling t.ex. GPS-övervakning, digitala tjänster, molntjänster, appar, dokument, whistleblowingsystem, passersystem, sociala medier och hemsidan Även ostrukturerad data, t.ex. mejl och dokument 2018-04-05 GDPR 11

Ha koll på era personuppgifter! Identifiera varje behandling och lista dessa i en registerförteckning Varje behandling ska ha lagligt stöd Uppgifter får inte behandlas (t.ex. lagras) om ni inte har ett lagligt stöd för det inga onödiga uppgifter Undvik att ha personuppgifter var som helst ordning och reda 2018-04-05 GDPR 12

Integritetstrappan vilka regler gäller enligt lagen (exempel)? Speciella krav för känsliga uppgifter Information till registrerade (personuppgiftspolicy) Andra krav, t.ex. säkerhet, rutiner för dataportabilitet, etc. Avtal, dokumentation, rutiner, m.m. Förbud att flytta uppgifter utanför EU Är behandlingen laglig? Grundläggande principer att följa, t.ex. gallring, tid 2018-04-05 GDPR 13

När är behandling tillåten? Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras Nödvändigt fullgöra rättslig förpliktelse (Skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person) (En arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning) Intresseavvägning Samtycke 2018-04-05 GDPR 14

Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse 2018-04-05 GDPR 15

Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse Marknadsföring är berättigat intresse Samtycke huvudregel ok i vissa fall med stöd av intresseavvägning i B2B samt i B2K om kund gjort köp inom 1år om getts möjlighet tacka nej, m.m. 2018-04-05 GDPR 16

Laglighetsbedömning - Sammanfattning Vilka är ändamålen med en viss behandling? Finns laglig grund enligt förordningen? Nödvändigt p.g.a. avtal med den registrerade Laglig skyldighet att utföra behandling Intresseavvägning (praxis eller bedömning) Annars behövs samtycke! Är samtycke en rimlig och proportionell åtgärd eller ska vi låta bli att utföra behandlingen? Hur samlar vi in samtycket? 2018-04-05 GDPR 17

Skriftligt samtycke Muntligt eller skriftligt? Informerat Frivilligt - En möjlighet att inte vara med Klart och tydligt språk Kunna särskiljas från andra frågor i en begriplig och lättillgänglig form Separata samtycken för olika ändamål krävs som huvudregel Jag har läst och godkänner användarvillkoren. Jag har läst och godkänner användarvillkoren. Jag samtycker till behandling av mina personuppgifter i enlighet med Bolagets integritetspolicy. 2018-04-05 GDPR 18

Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgifterna får bara behandlas med hänsyn till vissa särskilda, uttryckligt angivna och berättigade ändamål Inte senare behandlas på sätt som oförenligt med detta ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i relation till ändamålet Lagringsminimering Uppgifter får inte sparas länge tid än nödvändigt Integritet och konfidentialitet Krav på säkerhet, inkl. skydd mot obehörig förlust, åtkomstkontroll 2018-04-05 GDPR 19

Säkerställ att ni inte behandlar de uppgifter ni inte ska ha kvar Radera uppgifter som ni inte ska ha kvar Rätta felaktiga uppgifter Säkerställ åtkomstkontroll Skapa utbildning och rutiner för att undvika att fel uppgifter hanteras Undvik känsliga uppgifter Undvik värderande omdömen eller annan kränkande info 2018-04-05 GDPR 20

Registrerades rätt till information och rättelse m.m.

Privacy policy Information ska lämnas självmant till alla registrerade ( Integritetspolicy / Personuppgiftspolicy / Privacy Policy ) Mer omfattande informationskrav som ska anpassas till just er går ej att använda en mall Åtgärd: ta fram informationsdokument Anställda Kandidater Kunder Nyhetsbrev Andra registrerade 2018-04-05 GDPR 22

Information på begäran (registerutdrag) och rätt att bli rättad Registrerade har rätt att begära ut information om t.ex. kategorier av uppgifter som behandlas, mottagare, period, m.m. Som huvudregel inom en månad Den registrerade har rätt att kräva att uppgifterna begränsas eller rättas Åtgärd: Se över rutinerna och säkerställ era system uppfyller kraven! 2018-04-05 GDPR 23

Rätten att bli bortglömd Minimera volymen av sparade personuppgifter Krav på att radera bara under vissa förutsättningar och endast om ingen legitim grund för fortsatt behandling finns Radera mina uppgifter NEJ Legitima grunder för att behålla uppgifterna och ej behandlats olagligt? JA RADERA BEHÅLL Åtgärd: Säkerställ att det är möjligt att bli glömd? 2018-04-05 GDPR 24

Utlämnande av uppgifter och IT-säkerhet

Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning Typiskt biträde är en molntjänstleverantörer Utökade skyldigheter enligt nya förordningen - kan bli utsatta för sanktioner Obs! Är inte alla som mottar uppgifter 2018-04-05 GDPR 26

Krav på personuppgiftsbiträdesavtal Vilka biträden har ni? Lista! Inte längre ett standardavtal Viktigt anpassa till situationen förhandla Dokumenterade instruktioner Hur ska just ert biträde behandla uppgifterna? Svårt ha en mall Men försök skapa malldokument för olika typsituationer! Hur säkerställs bra rutiner för hur ni kan arbeta med avtal? När anlita jurist? När klara själv? Personuppgiftsbiträde Personuppgiftsansvarig Individ Personuppgiftsbiträdesavtal 2018-04-05 GDPR 27

Förbud mot överföring utanför EES Lagstiftningen ska inte kunna kringgås Om ni inte har en garanti att data endast behandlas inom EES behöver ni säkerställa att undantag gäller Tillåten överföring, t.ex. Användning av modellklausuler Binding Corporate Rules Privacy shield Åtgärder: Säkerställ att ingen överföring sker utanför EES. Alternativt: Säkerställ att överföringen sker med stöd av laglig grund 2018-04-05 GDPR 28

Säkerhetskrav Tekniska åtgärder Förfarande för att kontinuerligt testa Antivirus, auktorisationskrav, behörighetsstyrning Brandväggar och krypteringsfunktioner, osv. Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott osv. Organisatoriska åtgärder Organisation och rutiner Instruktioner och Polices Säkerhetsnivå i förhållande till risk 2018-04-05 GDPR 29

Upphandling av IT-tjänster och molntjänster Så snart personuppgifter ska behandlas: Viktigt hur upphandlingen görs Privacy-krav på systemet eller tjänsten - Privacy by design Risk- och sårbarhetsanalys (teknik) Krav på personuppgiftsbiträdesavtal (och avtalet i övrigt) Krav på dokumenterade instruktioner Laglig grund om överföring till tredje land (t.ex. modellklausulerna) alt. löfte i avtal att ej överföra till tredje land Vid molntjänster och outsourcing: Extra krav för att bl.a. säkerställa att lagarna inte kringgås Svårigheter kring kontroll av underbiträden Åtgärd: Säkerställ att rutiner följs vid upphandlingar 2018-04-05 GDPR 30

Och ett antal andra nyheter.. 2018-04-05 GDPR 31

Konsekvenser och åtgärder

Konsekvenser av lagen Viktigare att följa lagen - Dataskydd blir en ledningsfråga Fler personer får kunskap ökar risken Integritetsfrågorna får mer uppmärksamhet och kräver resurser, organisation och budget System och databaser kan bli olagliga 2018-04-05 GDPR 33

Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policyer Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policyer för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder - rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv. 2018-04-05 GDPR 34

Vem ansvarar internt? Dataskyddsombud: Speciell anställd eller konsult med ansvar för personuppgiftshantering Måste utses av företag som har kärnverksamhet som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning; eller behandling i stor omfattning består av känsliga uppgifter Vissa krav på rollen Behövs ett dataskyddsombud? Om inte: Vem ansvarar internt? 2018-04-05 GDPR 35

Hur kan ni arbeta med lagen? Skaffa er kunskap Är behandling av personuppgifter er kärnverksamhet viktigt att prioritera detta för försäljningens skull! Börja alltid i de juridiska kraven Inte i ITsystemen! En workshop om GDPR är ofta en bra start! 2018-04-05 GDPR 36

GDPR att tänka på Ni som företag (ledning) behöver bestämma ambitionsnivå Ni ska följa lagen inte främst 26 maj, utan på sikt Inse att: GDPR kräver olika typer av kompetens Arbetet är inte slut med projektet Det kommer kräva tid och resurser att följa lagen 2018-04-05 GDPR 37

Vad innebär ett GDPR-projekt? 1. Uppstart. Medvetandehet.. 2. Inventering över behandlingar registerförteckningen 3. Juridisk bedömning över behandlingarna 4. Rensning av personuppgifter 5. Säkerhetsåtgärder, IT-förändringar 6. Framtagande av dokument juridik och informationssäkerhet 7. Sätt rutiner, ansvar och organisation för efterlevnad på sikt 2018-04-05 GDPR 38

Agnes Hammarstrand / Partner, Advokat Mobil: 0730-83 50 70 agnes.hammarstrand@delphi.se @IT_advokaten Advokatfirman Delphi / Östra Hamngatan 29 / 411 10 Göteborg / Sweden Telefon: + 46 (0)31 10 72 00 / Fax: +46 (0)31 13 94 69 / delphi.se 2018-04-05 GDPR 39

Årets advokatbyrå Delphi har som enda byrå och alla de senaste tre åren vunnit Regis årliga kvalitets- och branschstudie - Årets Advokatbyrå Regis undersökning är Sveriges största och enda oberoende klientstudie för advokatbyråer specialiserade på affärsjuridik Delphi är topprankade i flera internationella rankinginstitut, t.ex. Chambers och Legal 500. Topprankade år efter år inom IT, Immaterialrätt och Life Science 2018-04-05 GDPR 40

Varför Delphi? Skarpa specialister vars främsta uppdrag är att ge er bra rådgivning En affärsmodell som gynnar specialisering till nytta för er som kund. Satsar mycket tid på kunskapsinhämtning och mallar möjliggör en kostnadseffektiv rådgivning Progressiv syn på juridik Samarbete utan hierarkier 2018-04-05 GDPR 41

Delphi IP/Tech - topprankade inom IT och dataskydd Topprankade av Chambers och Legal 500 inom IP och IT Två av våra partners mottog Client Choice Award 2017 bolagsjuristernas egna pris inom IT/Telecom Stort fokus på personuppgifter och nya dataskyddsförordningen Specialister inom IT-juridik, dataskydd, online och digitala tjänster En av de största grupperna i Göteborg med fokus på dataskydd 2018-04-05 GDPR 42

GDPR - Olika nivåer av stöd Utbildningar och workshops Efterlevnadsprojekt (de juridiska delarna) Bollplank i enstaka frågor Bistånd vid laglighetsbedömningen när och hur samt hur länge får uppgifter behandlas? Hjälp med juridiska texter, avtal och checklistor Upprättande och förhandling av personuppgiftsbiträdesavtal 2018-04-05 GDPR 43

Exempel för att komma igång Start-up-paket Vi erbjuder startup hjälp Inkluderar för er anpassad workshop 6-7 timmar Hjälp med hur ni kommer igång med inventeringen över behandlingar, registerförteckningen och inventeringen över biträden Inkluderar enkel registerförteckning I excel, allmänna åtgärdslistor utifrån vad som framkommit under workshopen, uppföljningssamtal 2018-04-05 GDPR 44

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss