Vad innebär Dataskyddsförordningen? Staffan Wikell, Förbundsjurist Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet Jörgen Sandström, IT-chef
Webbinarier om Dataskyddsförordningen Den 18/5: Introduktion till det nya regelverket Vad bör man göra redan nu för att förbereda sig? Till hösten: Utbildningar Fler webbinarier med olika tema Biträdesavtal och leverantörer Vad händer med PDL och SoL-PuL Med mera
Från PuL till Dataskyddsförordningen PuL baseras på EUs Dataskyddsdirektiv från 1995 Dataskyddsförordningen börjar gälla som svensk lag den 25 maj 2018 Då ska all behandling av personuppgifter vara anpassad till de nya reglerna Två år att förbereda sig
Länk till dokumenten: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L:2016:119:TOC
Varför vill man ändra reglerna? Behov av förändring: Utvecklingen av Internet Överföring av information mellan länder inom EU pga. skillnader i implementeringen E-handel över gränserna /handelshinder Konsumenträttigheter Sociala medier och integritetsskydd M.m.
Vad blir de största nyheterna? En förordning gäller som svensk lag Harmonisering, inga nationella varianter Missbruksregeln i 5 a § PUL försvinner Behandling efter intresseavvägning försvinner för myndigheter Stärkt ställning för den registrerade ”Rätten att bli glömd” Dataportabilitet Ökat ansvar för ansvariga och biträden Data Protection Impact Assessment (DPIA) Skyldighet att anmäla personuppgiftsincidenter Sanktionsavgifter
Vad är likt nuvarande regler? Strukturen är i stora delar densamma som i PUL Tillämpningsområdet Grundläggande krav Rättslig grund Känsliga personuppgifter Överföring till tredje land
Vad händer fram till 2018? Dataskyddsförordningen börjar gälla den 25 maj 2018 PUL upphör All svensk lagstiftning inom förordningens tillämpningsområde måste ses över Europeiska dataskyddsstyrelsen ersätter den s.k. 29-gruppen Personuppgiftsansvariga (PUA) och personuppgiftsbiträden (PUB) ska vara förberedda och följa GDPR
Flera områden är inte klara än: Grunder för laglig behandling t.ex.: Behandling för ett viktigt allmänt intresse Behandling för att fullgöra rättslig förpliktelse Vid myndighetsutövning Åldersregler för webbtjänster mot barn och unga Sanktionsavgifterna för myndigheter
Men vad ska vi göra? 10 000 000 EUR? Riskanalyser? Privacy by design? Incidentrapporter? Dataskyddsombud?
Vad ska man förbereda? A. Starta arbete med införande Förankra hos ledningen att ett projekt för att anpassa verksamheten behöver startas Gör en förstudie / nulägesanalys / GAP-analys Planera, bemanna, resurser Se Datainspektionens checklista: http://www.datainspektionen.se/press/nyheter/2016/ny-checklista-forbereder-organisationer-for-den-nya-eu-forordningen/
B. Vem ansvarar? Vem ansvarar för dataskyddsfrågor i kommunen, landstinget eller regionen? På övergripande nivå? För respektive nämnd? Gör en genomgång och tydliggör ansvar och roller: Ansvarig nämnd Ansvar inom ledningen Projektledare? Dokumentera
C. Kartläggning i organisationen Vilka personuppgiftsbehandlingar finns det i organisationen? Inventera och dokumentera! Undersök inom varje nämnds ansvarsområde (Artikel 30)
D. Vilken information ska lämnas till registrerade personer? Granska den information som ni lämnar när uppgifter samlas in direkt från registrerade personer på blanketter och i formulär Komplettera innehållet (Artikel 13-14)
E. Utse Dataskyddsombud Har ni Personuppgiftsombud (= Dataskyddsombud) Behövs utbildning? Nya krav på kompetens Behöver ni rekrytera? Är ombudet rätt placerad i organisationen? Ska rapportera direkt till organisationens högsta ledning Se över arbetsuppgifterna – ändrat jämfört med idag (Artikel 37-39)
Dags för frågor!