GDPR - nya dataskyddsförordningen Agnes Hammarstrand, IT-advokat och partner Advokatfirman Delphi @IT_advokaten
Intro
Ny EU-förordning för personuppgifter Nya dataskyddsförordningen ( GDPR ) Direkt gällande förordning som ersätter personuppgiftslagen ( PuL ) och motsvarande lagar i hela EES Syftar bl.a. till att stärka integritetsskyddet De nya reglerna gäller från och med den 25 maj 2018 2018-04-05 GDPR 3
När gäller lagen? Brett tillämpningsområde: alla europeiska företag, myndigheter. Och alla företag som säljer till EU Lagen gäller alla myndigheter, företag, kommuner, föreningar och enskilda Undantag för behandling av privatpersoner av rent privat karaktär (ej publicering på internet) Gäller all behandling av personuppgifter 2018-04-05 GDPR 4
Vad är en personuppgift? Personuppgifter varje uppgift varigenom en fysisk person direkt eller indirekt kan identifieras Oavsett om B2B eller B2K Allt som går att kopplas till en individ, t.ex. Kontaktpersoner (e-post, namn, osv) En adressuppgift Ett bilregistreringsnummer Data som kopplas samman med individ, t.ex. köphistorisk eller omdömen En bild: 2018-04-05 GDPR 5
Sanktioner Företag kan få böter upp till det högre beloppet av 20 000 000 euro eller 4 % av koncernens globala omsättning Ersättning till den som lidit skada Även andra sanktioner, varning, krav på att åtgärda (t.ex. radera data), m.m. 2018-04-05 GDPR 6
Tillsyn Nationell tillsynsmyndighet Datainspektionen - Integritetsmyndigheten Europeisk dataskyddsstyrelse Består av chefen för en tillsynsmyndighet per medlemsstat och Europeiska datatillsynsmannen 2018-04-05 GDPR 7
Vem ansvarar och vad innebär ansvaret?
Personuppgiftsansvarig Den som själv eller tillsammans med andra bestämmer ändamål och medel med behandlingen Ansvarar alltid självständigt för att lagen uppfylls Ska kunna visa att lagen följs 2018-04-05 GDPR 9
Vad innebär GDPR i korthet? Ha koll - Identifiera alla behandlingar och lista dessa i en registerförteckning Inga onödiga uppgifter - Uppgifter får inte behandlas (t.ex. lagras) om ni inte har ett lagligt stöd för det. Rensa! Krav på rutiner, dokumentation och policys på plats för att följa reglerna Krav på dataskydd - informationssäkerhet 2018-04-05 GDPR 10
Personuppgiftsansvarig i praktiken Ni är ansvariga för all personuppgiftsbehandling inom ert företag Register Era kund- och prospektsregister Register med leverantörer och samarbetspartners Anställningsregister Kandidater (för anställningar) Eventuella andra registrerade, t.ex. nyhetsbrev Annan behandling t.ex. GPS-övervakning, digitala tjänster, molntjänster, appar, dokument, whistleblowingsystem, passersystem, sociala medier och hemsidan Även ostrukturerad data, t.ex. mejl och dokument 2018-04-05 GDPR 11
Ha koll på era personuppgifter! Identifiera varje behandling och lista dessa i en registerförteckning Varje behandling ska ha lagligt stöd Uppgifter får inte behandlas (t.ex. lagras) om ni inte har ett lagligt stöd för det inga onödiga uppgifter Undvik att ha personuppgifter var som helst ordning och reda 2018-04-05 GDPR 12
Integritetstrappan vilka regler gäller enligt lagen (exempel)? Speciella krav för känsliga uppgifter Information till registrerade (personuppgiftspolicy) Andra krav, t.ex. säkerhet, rutiner för dataportabilitet, etc. Avtal, dokumentation, rutiner, m.m. Förbud att flytta uppgifter utanför EU Är behandlingen laglig? Grundläggande principer att följa, t.ex. gallring, tid 2018-04-05 GDPR 13
När är behandling tillåten? Nödvändigt för att ett avtal med den registrerade ska kunna fullgöras Nödvändigt fullgöra rättslig förpliktelse (Skydda intressen av grundläggande betydelse för registrerade eller annan fysisk person) (En arbetsuppgift av allmänt intresse ska kunna utföras eller som ett led i myndighetsutövning) Intresseavvägning Samtycke 2018-04-05 GDPR 14
Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse 2018-04-05 GDPR 15
Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse Marknadsföring är berättigat intresse Samtycke huvudregel ok i vissa fall med stöd av intresseavvägning i B2B samt i B2K om kund gjort köp inom 1år om getts möjlighet tacka nej, m.m. 2018-04-05 GDPR 16
Laglighetsbedömning - Sammanfattning Vilka är ändamålen med en viss behandling? Finns laglig grund enligt förordningen? Nödvändigt p.g.a. avtal med den registrerade Laglig skyldighet att utföra behandling Intresseavvägning (praxis eller bedömning) Annars behövs samtycke! Är samtycke en rimlig och proportionell åtgärd eller ska vi låta bli att utföra behandlingen? Hur samlar vi in samtycket? 2018-04-05 GDPR 17
Skriftligt samtycke Muntligt eller skriftligt? Informerat Frivilligt - En möjlighet att inte vara med Klart och tydligt språk Kunna särskiljas från andra frågor i en begriplig och lättillgänglig form Separata samtycken för olika ändamål krävs som huvudregel Jag har läst och godkänner användarvillkoren. Jag har läst och godkänner användarvillkoren. Jag samtycker till behandling av mina personuppgifter i enlighet med Bolagets integritetspolicy. 2018-04-05 GDPR 18
Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgifterna får bara behandlas med hänsyn till vissa särskilda, uttryckligt angivna och berättigade ändamål Inte senare behandlas på sätt som oförenligt med detta ändamål Uppgiftsminimering Uppgifter ska vara adekvata, relevanta och inte för omfattande i relation till ändamålet Lagringsminimering Uppgifter får inte sparas länge tid än nödvändigt Integritet och konfidentialitet Krav på säkerhet, inkl. skydd mot obehörig förlust, åtkomstkontroll 2018-04-05 GDPR 19
Säkerställ att ni inte behandlar de uppgifter ni inte ska ha kvar Radera uppgifter som ni inte ska ha kvar Rätta felaktiga uppgifter Säkerställ åtkomstkontroll Skapa utbildning och rutiner för att undvika att fel uppgifter hanteras Undvik känsliga uppgifter Undvik värderande omdömen eller annan kränkande info 2018-04-05 GDPR 20
Registrerades rätt till information och rättelse m.m.
Privacy policy Information ska lämnas självmant till alla registrerade ( Integritetspolicy / Personuppgiftspolicy / Privacy Policy ) Mer omfattande informationskrav som ska anpassas till just er går ej att använda en mall Åtgärd: ta fram informationsdokument Anställda Kandidater Kunder Nyhetsbrev Andra registrerade 2018-04-05 GDPR 22
Information på begäran (registerutdrag) och rätt att bli rättad Registrerade har rätt att begära ut information om t.ex. kategorier av uppgifter som behandlas, mottagare, period, m.m. Som huvudregel inom en månad Den registrerade har rätt att kräva att uppgifterna begränsas eller rättas Åtgärd: Se över rutinerna och säkerställ era system uppfyller kraven! 2018-04-05 GDPR 23
Rätten att bli bortglömd Minimera volymen av sparade personuppgifter Krav på att radera bara under vissa förutsättningar och endast om ingen legitim grund för fortsatt behandling finns Radera mina uppgifter NEJ Legitima grunder för att behålla uppgifterna och ej behandlats olagligt? JA RADERA BEHÅLL Åtgärd: Säkerställ att det är möjligt att bli glömd? 2018-04-05 GDPR 24
Utlämnande av uppgifter och IT-säkerhet
Personuppgiftsbiträde Den som behandlar personuppgifter för den personuppgiftsansvariges räkning Typiskt biträde är en molntjänstleverantörer Utökade skyldigheter enligt nya förordningen - kan bli utsatta för sanktioner Obs! Är inte alla som mottar uppgifter 2018-04-05 GDPR 26
Krav på personuppgiftsbiträdesavtal Vilka biträden har ni? Lista! Inte längre ett standardavtal Viktigt anpassa till situationen förhandla Dokumenterade instruktioner Hur ska just ert biträde behandla uppgifterna? Svårt ha en mall Men försök skapa malldokument för olika typsituationer! Hur säkerställs bra rutiner för hur ni kan arbeta med avtal? När anlita jurist? När klara själv? Personuppgiftsbiträde Personuppgiftsansvarig Individ Personuppgiftsbiträdesavtal 2018-04-05 GDPR 27
Förbud mot överföring utanför EES Lagstiftningen ska inte kunna kringgås Om ni inte har en garanti att data endast behandlas inom EES behöver ni säkerställa att undantag gäller Tillåten överföring, t.ex. Användning av modellklausuler Binding Corporate Rules Privacy shield Åtgärder: Säkerställ att ingen överföring sker utanför EES. Alternativt: Säkerställ att överföringen sker med stöd av laglig grund 2018-04-05 GDPR 28
Säkerhetskrav Tekniska åtgärder Förfarande för att kontinuerligt testa Antivirus, auktorisationskrav, behörighetsstyrning Brandväggar och krypteringsfunktioner, osv. Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott osv. Organisatoriska åtgärder Organisation och rutiner Instruktioner och Polices Säkerhetsnivå i förhållande till risk 2018-04-05 GDPR 29
Upphandling av IT-tjänster och molntjänster Så snart personuppgifter ska behandlas: Viktigt hur upphandlingen görs Privacy-krav på systemet eller tjänsten - Privacy by design Risk- och sårbarhetsanalys (teknik) Krav på personuppgiftsbiträdesavtal (och avtalet i övrigt) Krav på dokumenterade instruktioner Laglig grund om överföring till tredje land (t.ex. modellklausulerna) alt. löfte i avtal att ej överföra till tredje land Vid molntjänster och outsourcing: Extra krav för att bl.a. säkerställa att lagarna inte kringgås Svårigheter kring kontroll av underbiträden Åtgärd: Säkerställ att rutiner följs vid upphandlingar 2018-04-05 GDPR 30
Och ett antal andra nyheter.. 2018-04-05 GDPR 31
Konsekvenser och åtgärder
Konsekvenser av lagen Viktigare att följa lagen - Dataskydd blir en ledningsfråga Fler personer får kunskap ökar risken Integritetsfrågorna får mer uppmärksamhet och kräver resurser, organisation och budget System och databaser kan bli olagliga 2018-04-05 GDPR 33
Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policyer Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policyer för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder - rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv. 2018-04-05 GDPR 34
Vem ansvarar internt? Dataskyddsombud: Speciell anställd eller konsult med ansvar för personuppgiftshantering Måste utses av företag som har kärnverksamhet som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning; eller behandling i stor omfattning består av känsliga uppgifter Vissa krav på rollen Behövs ett dataskyddsombud? Om inte: Vem ansvarar internt? 2018-04-05 GDPR 35
Hur kan ni arbeta med lagen? Skaffa er kunskap Är behandling av personuppgifter er kärnverksamhet viktigt att prioritera detta för försäljningens skull! Börja alltid i de juridiska kraven Inte i ITsystemen! En workshop om GDPR är ofta en bra start! 2018-04-05 GDPR 36
GDPR att tänka på Ni som företag (ledning) behöver bestämma ambitionsnivå Ni ska följa lagen inte främst 26 maj, utan på sikt Inse att: GDPR kräver olika typer av kompetens Arbetet är inte slut med projektet Det kommer kräva tid och resurser att följa lagen 2018-04-05 GDPR 37
Vad innebär ett GDPR-projekt? 1. Uppstart. Medvetandehet.. 2. Inventering över behandlingar registerförteckningen 3. Juridisk bedömning över behandlingarna 4. Rensning av personuppgifter 5. Säkerhetsåtgärder, IT-förändringar 6. Framtagande av dokument juridik och informationssäkerhet 7. Sätt rutiner, ansvar och organisation för efterlevnad på sikt 2018-04-05 GDPR 38
Agnes Hammarstrand / Partner, Advokat Mobil: 0730-83 50 70 agnes.hammarstrand@delphi.se @IT_advokaten Advokatfirman Delphi / Östra Hamngatan 29 / 411 10 Göteborg / Sweden Telefon: + 46 (0)31 10 72 00 / Fax: +46 (0)31 13 94 69 / delphi.se 2018-04-05 GDPR 39
Årets advokatbyrå Delphi har som enda byrå och alla de senaste tre åren vunnit Regis årliga kvalitets- och branschstudie - Årets Advokatbyrå Regis undersökning är Sveriges största och enda oberoende klientstudie för advokatbyråer specialiserade på affärsjuridik Delphi är topprankade i flera internationella rankinginstitut, t.ex. Chambers och Legal 500. Topprankade år efter år inom IT, Immaterialrätt och Life Science 2018-04-05 GDPR 40
Varför Delphi? Skarpa specialister vars främsta uppdrag är att ge er bra rådgivning En affärsmodell som gynnar specialisering till nytta för er som kund. Satsar mycket tid på kunskapsinhämtning och mallar möjliggör en kostnadseffektiv rådgivning Progressiv syn på juridik Samarbete utan hierarkier 2018-04-05 GDPR 41
Delphi IP/Tech - topprankade inom IT och dataskydd Topprankade av Chambers och Legal 500 inom IP och IT Två av våra partners mottog Client Choice Award 2017 bolagsjuristernas egna pris inom IT/Telecom Stort fokus på personuppgifter och nya dataskyddsförordningen Specialister inom IT-juridik, dataskydd, online och digitala tjänster En av de största grupperna i Göteborg med fokus på dataskydd 2018-04-05 GDPR 42
GDPR - Olika nivåer av stöd Utbildningar och workshops Efterlevnadsprojekt (de juridiska delarna) Bollplank i enstaka frågor Bistånd vid laglighetsbedömningen när och hur samt hur länge får uppgifter behandlas? Hjälp med juridiska texter, avtal och checklistor Upprättande och förhandling av personuppgiftsbiträdesavtal 2018-04-05 GDPR 43
Exempel för att komma igång Start-up-paket Vi erbjuder startup hjälp Inkluderar för er anpassad workshop 6-7 timmar Hjälp med hur ni kommer igång med inventeringen över behandlingar, registerförteckningen och inventeringen över biträden Inkluderar enkel registerförteckning I excel, allmänna åtgärdslistor utifrån vad som framkommit under workshopen, uppföljningssamtal 2018-04-05 GDPR 44