MEDLEMSTRÄFF i Skövde 22 september 2017

Slides:



Advertisements
Liknande presentationer
Europeiska kommissionens förslag till:
Advertisements

Datajuridik i vardagen av betydelse för kvalitetsregister
Juridik och etik kring svenska biobanker
PSI Vad är det? Vad är på gång?
1. Vad är en personuppgift?
Patientdatalagen och lite Personuppgiftslagen
Personuppgiftslagen (PuL) och Polisdatalagen (PdL)
Personuppgiftslagen.
Personuppgiftslagen (PuL) och Polisdatalagen (PdL)
Datainspektionen Personuppgiftslagen
IT-rätt – en introduktion
Personuppgiftslagen (PuL) och Polisdatalagen (PdL)
Personuppgiftslagen (PuL) och
PUL-delen i processen att bli Federationsmedlem
Ändra till startrubrik
DEN NYA KAMERALAGEN.
Diskrimineringslagen
 1 § Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.
1 Marknadskontrollrådets seminarium ”Din produkt, ditt ansvar ” Nalen 21/ Olika roller, olika ansvar: Tillverkare, importör, distributör Göran Lundmark,
Personuppgiftslagen.
Journaldokumentation  Lagar  Föreskrifter  Definitioner.
Kunskap till Praktik Patientdatalag (2008:355) Sanna Othman – Landstingsjurist JLL.
Vad innebär Dataskyddsförordningen?
En översikt Jan-Åke Sandell Diskrimineringslagstiftning 1.
Regler för upphandling Med offentlig upphandling avses de åtgärder som vidtas av en upphandlande myndighet för att tilldela ett kontrakt eller ingå ett.
Finansdepartementet Använda myndigheters information - vad får man och vad har man rätt till? Mikael Vall Finansdepartementet.
Forskningsetik Lars Sandman Prioriteringscentrum, HSA, IMH, Linköpings universitet.
Välkommen! Denna presentation handlar om de tre lagarna: Upphovsrätten, Personuppgiftslagen och Offentlighets- och sekretesslagen. Korta exempel på vad.
Ny elsäkerhetslag den 1 juli 2017 – en sammanställning av innehållet i det nya elsäkerhetsregelverket.
Hantering av krav på vård av viss behandlare inom hälso- och sjukvården.
1 Forskningsetik Claes Corlin. 2 Etiska dimensioner FORSKARETIK Forskarens egen moral Hederlighet Ej plagiat Öppenhet Redovisa källor Andra kan pröva.
Så berörs du av den nya europeiska dataskyddsförordningen
Vägledning 5 steg för att följa Dataskyddsförordningen
Integritet läroplansanalys.
Dataskydd En prioriterad fråga.
Lagar Astar 2017.
SÅ SÄGER LAGEN… Upphovsrättslagen Marina Kozlova, 2016.
Dataskyddsförordningen – Small picture
Dataskyddsförordningen – och vårt arbete utifrån den
Dataskyddsförordningen
EU:S NYA DATASKYDDS- FÖRORDNING KORPEN Föredrag 24 november 2017
Förordningen i korthet
Har du som förälder koll?
Dataskyddsförordningen för Ansvariga genomförare
Dataskyddsförordningen
Patientdatautredningen och kvalitetsregister idag och i framtiden
GDPR Introduktion SKOLA24 • GDPR General Data Protection Regulation
GDPR vad är det? Ny EU-lagstiftning, 25/
Dataskyddsförordn ing GDPR- ny lag som gäller
EU:s nya Dataskyddsförordning (GDPR)
Dataskyddsförordningen
GDPR vad är det? Ny EU-lagstiftning, 25/
Individuell energimätning och personuppgiftslagen
EU´s dataskyddsförordningen
GDPR General Data Protection Regulation
Basfakta för dig som coach ` - vad gäller? - vad behöver du göra nu
Till dig som använder bildspelet för att presentera!
GDPR - LADOK NUAK 2018 GUNNAR RÅHLÉN.
GDPR i båtlivet Svenska Båtunionen af Pontins väg Stockholm
PUL till GDPR - Vad gäller, vilket ansvar har man och hur gör man?
Dataskyddsutbildning för avdelningar 2018
Skärpt lösenordspolicy GDPR i praktiken
Hantering av personuppgifter i BOU december 2018
Allmänna dataskyddsförordningen
GDPR – nyheter och förberedelser
GDPR Vi äger inte våra medlemmars personuppgifter, vi lånar dom.
Kunskapsdagar - GDPR.
Kampen för lika möjligheter för HBTI-personer i EU
Dataskydd och forskning i Europa och Sverige
Kampen för lika möjligheter för HBTI-personer i EU
Presentationens avskrift:

MEDLEMSTRÄFF i Skövde 22 september 2017 EU:s nya dataskyddsreform (GDPR) MEDLEMSTRÄFF i Skövde 22 september 2017

Dataskyddförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddförordningen Syfte Grundläggande begrepp De viktigaste förändringarna Är din organisation förberedd?

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Syfte Skydda och stärka enskildas grundläggande rättigheter och friheter vid behandling av personuppgifter. Skapa enhetliga regler inom EU. Modernisera dataskyddsdirektivet från 1995. Syftet med GDPR är inte att förbjuda eller omöjliggöra behandling av personuppgifter. Ett av syftena med dataskyddsförordningen är istället att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Syftet är också att skapa enhetliga dataskyddsregler inom EU. Detta uppnås genom att förordningen är direkt tillämplig i de olika medlemsstaterna och att samma regler gäller inom hela unionen. Andra syften med att ta fram en ny dataskyddsförordning har varit att modernisera dataskyddsdirektivets regler från 1995 och att anpassa dessa till det nya digitala samhället

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Ersätter personuppgiftslagen (PuL) Gäller fullt ut den 25 maj 2018 Gäller direkt som lag i Sverige (EU-rätten har företräde framför nationell rätt)

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Vad är en personuppgift? ”All slags information som direkt eller indirekt kan härledas till en fysisk person som är i livet”

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Känsliga personuppgifter Etniskt ursprung Politiska åsikter Religiös övertygelse Hälso-/genetisk data Sexualliv eller sexuell läggning Medlemskap i fackförening Genetisk och biometrisk data* * nyhet Personnummer, kön, namn, adress, bild, kontouppgifter, IP-adress… Genetisk och biometrisk data är nya kategorier av känsliga uppgifter. Principiellt förbud mot behandling liksom tidigare och i princip samma undantag. Utgångspunkten är att det är förbjudet att behandla känsliga personuppgifter. Det finns dock en rad undantag som möjliggör behandling av känsliga personuppgifter i vissa fall, till exempel om det finns ett uttryckligt samtycke.

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Exempel Vilka av nedan uppgifter är en personuppgift? Maria Andersdotter 830309-3286 maria.andersdotter@gmail.com Sveavägen 10 Ett paket Lätta och tre kanelbullar 34 år kvinna Adress kan vara en personuppgift om den går att koppla till en person, t.ex. i kombination med fler uppgifter som 34 årig kvinna om det bara bor en 34-årig kvinna på Sveavägen. Ett paket Lätta och tre kanelbullar är inte en personuppgift. Skillnad om siffrorna ovan t.ex. är ett ICA-kortskundnummer. Om det istället hade stått ”Halalkött” hade det dessutom kunnat bli en känslig personuppgift eftersom den uppgiften är kopplad till en religion.

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Vad är en behandling av personuppgift? Behandling omfattar varje åtgärd med personuppgifter oberoende av om de utförs automatiserat eller inte. Exempel: Insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring. Framtagning, läsning, användning, utlämning genom överföring eller spridning. Justering eller sammanförande. Begränsning, radering eller förstöring.

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen När får personuppgifter samlas in? ”För särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med det ändamålet.” Man måste ha en rättslig grund för att hantera personuppgifter. Ex. Avtal (anställningsavtal, kundavtal, leverantörsavtal) Samtycke (uttryckligt) Intresseavvägning (företaget kan visa att dess intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till privatliv) Alltså uppgifter som samlas in för ett visst syfte får inte sedan användas för ett helt annat syfte. Exempel: Ett företag har installerat GPS:er i sina företagsbilar som används för elektroniska körjournaler i syfte att förenkla redovisningen till SKV. Arbetsgivaren får inte senare använda uppgifterna för att t.ex. kontrollera hur långa raster de anställda tar. Avtal – man får bara hantera de personuppgifter som behövs för att uppfylla avtalet.

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Grundläggande aktörer Den registrerade Personuppgiftsansvarig/Dataskyddsombud Personuppgiftsbiträde (den som hanterar personuppgifterna) Tillsynsmyndighet (Datainspektionen) Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Dataskyddsombudet ska även vara en kontaktpunkt för tillsynsmyndigheten och de registrerade. Dataskyddsombudet ska vara väl insatt i de lagar som gäller för personuppgiftsbehandling och ha en självständig roll i förhållande till ledningen. Ett ombud kan vara anställd inom den personuppgiftsansvariges eller personuppgiftsbiträdets egna organisation men det är också möjligt att anlita någon utanför organisationen. Dataskyddsombud blir obligatoriskt i vissa situationer och det är om man är en myndighet eller om det är ”hög ”risk”, övervakning respektive behandlar stora mängder känsliga personuppgifter. Personuppgiftsbiträde: Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Även om en personuppgiftsansvarig väljer att anlita ett personuppgiftsbiträde är det alltid den personuppgiftsansvarige som har ansvaret gentemot de registrerade. Personuppgiftsansvaret kan inte överlåtas. De personer vars uppgifter behandlas har alltid rätt att vända sig till den personuppgiftsansvarige och framställa eventuella krav eller klagomål på felaktig behandling av personuppgifter. Viktigt med avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet.

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Syftet med GDPR är att stärka individens rätt till kontroll över hur dennes personuppgifter behandlas. Personuppgiftsansvarig måste därför säkerställa: Ändamål Laglig grund Transparens/insyn Uppfyllande av den registrerades rättigheter Att tekniska/organisatoriska skyddsåtgärder vidtas.

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen De viktigaste förändringarna Skärpta krav på informationsgivning och krav på samtycke Utökade skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden Den s.k. missbruksregeln försvinner ”Rätten att bli glömd” och krav på ”dataportabilitet” Bestämmelser om ”privacy by design” 72-timmarsregeln

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Skärpta krav på informationsgivning och samtycke Den registrerade ska: informeras om den rättsliga grunden för personuppgiftsbehandlingen och hur länge personuppgifterna kommer att lagras. få information om att han eller hon har rätt att få felaktiga uppgifter rättade. Krav på uttryckligt* och aktivt samtycke. *Ordet uttryckligt används i PuL endast i relation till känsliga personuppgifter idag.

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Aktivt samtycke För ett giltigt samtycke krävs att det är en frivillig, specifik, informerad och otvetydig viljeyttring, samt anges uttryckligen Samtycket ska vara spårbart En samtyckesförfrågan måste separeras från andra villkor. På förhand ikryssad ruta är ogiltig. Namnge din organisation och alla tredje parter som kommer att behandla personuppgifter med stöd av samtycket. Samtycket ska vara spårbart - För en förteckning för att visa vad de registrerade har samtyckt till. Informera individerna om att de har rätt att återkalla sina samtycken när som helst.

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Utökade skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden Personuppgiftsbehandlingen ska dokumenteras och den ansvarige ska kunna visa att behandlingen följer lagen I praktiken ett krav på personuppgiftspolicy som klargör vilka personuppgifter som behandlas och på vilken rättslig grund. Till skillnad från dagens regler kan även ett personuppgiftsbiträde bli skadeståndsskyldigt.

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Missbruksregeln försvinner Missbruksregeln har inneburit att ostrukturerat material t.ex. löpande text på internet eller e-post som kan härledas till en bestämd fysisk person inte ses som personuppgiftsbehandling. Konsekvens: Samma regler gäller. Rutiner/policyer behöver inrättas för hur personuppgifter delas mellan kollegor, när mail ska raderas etc. Missbruksregeln – ostrukturerat material får enligt PuL idag hanteras fritt så länge de inte är kränkande. När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i databaser och ärendehanteringssystem, också ska användas för det som skrivs om personer i exempelvis e-post och på webbplatser. Det kommer att innebära krav på att bland annat ha en rättslig grund, informera de registrerade och föra register över sina behandlingar. Man måste säkerställa att personalen känner till rutinerna.

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Rätten att bli glömd Den registrerade har rätt att på begäran få sina personuppgifter raderade från samtliga system som behandlar personuppgifterna. Dataportabilitet Den registrerade har rätt att få ut sina personuppgifter i ett maskinläsbart format. Rätten att bli glömd – undantag om dessa är nödvändiga att behålla enligt lag, avtal etc.

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Säkerhet Alla IT-system där personuppgifter behandlas måste uppfylla kraven på s.k. ”privacy by design” (inbyggd integritet). Den personuppgiftsansvarige ska underrätta Datainspektionen om dataintrång inom 72 timmar. Inbyggd integritet innebär att ett dataskydd ska integreras i IT-system redan från början bland annat för att endast nödvändiga personuppgifter ska behandlas. Genom att beakta integritetsfrågorna från början till slut, under systemets hela livscykel, kan man dramatiskt öka förmågan att följa gällande lagar och höja säkerheten. Samtidigt minskar man risken för onödiga kostnader och tidsödande arbetsinsatser som uppstår när man försöker lindra integritetsproblem i efterhand. 72-timmarsregeln innebär att den personuppgiftsansvarige har 72 timmar på sig att underrätta Datainspektionen vid dataintrång.

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Skärpta sanktioner och tillsyn Datainspektionen fortsatt huvudansvarig för tillsynen. Kan tilldöma sanktioner, t.ex. skriftliga varningar, skadestånd och böter. Bötesbeloppen kan uppgå till 20 miljoner kronor eller 4 % av den globala omsättningen. Sanktionsavgifterna tillfaller staten. Fem års preskriptionstid.

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Vad behöver jag som företag/organisation vidta för åtgärder? Kartläggning Vilka personuppgifter hanterar ni? Hur samlas de in? Lämnas de ut till annan? Med vilket lagstöd behandlas uppgifterna? Hur behöver ni anpassa behandlingen för att uppfylla kraven?

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Forts. kartläggning Använder ni den s.k. missbruksregeln idag? Hur måste IT-system och procedurer anpassas för att säkerställa att kraven på dataskydd uppfylls? Behöver biträdesavtal anpassas eller kompletteras? Behöver befintliga riktlinjer/policyer anpassas för att uppfylla de nya kraven? Vilka system måste implementeras för att säkerställa ”dataportabilitet”?

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Forts. kartläggning Vem ansvarar för dataskyddsfrågor i er organisation? Har ni verksamhet i flera länder? Överföring till tredje land – att man måste säkerställa att det finns en adekvat skyddsnivå.

Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Vill du veta mer? Är din organisation förberedd och har ni nya rutiner på plats? Sveriges Byggindustrier region väst inbjuder till ett seminarium inklusive work-shop den 15 november där Agnes Hammarstrand från Delphi advokatbyrå tillsammans med Malin Nordin lotsar dig igenom det nya regelverket. Separat inbjudan utsänds. Vid intresse kontakta malin.nordin@sverigesbyggindustrier.se Lön- och avtalskonferens den 30 november – 1 december i Stenungssund För mer information kontakta Hans.arvidsson@sverigesbyggindustrier.se eller tony.esbjornsson@sverigesbyggindustrier.se

Tack!