MEDLEMSTRÄFF i Skövde 22 september 2017 EU:s nya dataskyddsreform (GDPR) MEDLEMSTRÄFF i Skövde 22 september 2017
Dataskyddförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddförordningen Syfte Grundläggande begrepp De viktigaste förändringarna Är din organisation förberedd?
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Syfte Skydda och stärka enskildas grundläggande rättigheter och friheter vid behandling av personuppgifter. Skapa enhetliga regler inom EU. Modernisera dataskyddsdirektivet från 1995. Syftet med GDPR är inte att förbjuda eller omöjliggöra behandling av personuppgifter. Ett av syftena med dataskyddsförordningen är istället att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Syftet är också att skapa enhetliga dataskyddsregler inom EU. Detta uppnås genom att förordningen är direkt tillämplig i de olika medlemsstaterna och att samma regler gäller inom hela unionen. Andra syften med att ta fram en ny dataskyddsförordning har varit att modernisera dataskyddsdirektivets regler från 1995 och att anpassa dessa till det nya digitala samhället
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Ersätter personuppgiftslagen (PuL) Gäller fullt ut den 25 maj 2018 Gäller direkt som lag i Sverige (EU-rätten har företräde framför nationell rätt)
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Vad är en personuppgift? ”All slags information som direkt eller indirekt kan härledas till en fysisk person som är i livet”
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Känsliga personuppgifter Etniskt ursprung Politiska åsikter Religiös övertygelse Hälso-/genetisk data Sexualliv eller sexuell läggning Medlemskap i fackförening Genetisk och biometrisk data* * nyhet Personnummer, kön, namn, adress, bild, kontouppgifter, IP-adress… Genetisk och biometrisk data är nya kategorier av känsliga uppgifter. Principiellt förbud mot behandling liksom tidigare och i princip samma undantag. Utgångspunkten är att det är förbjudet att behandla känsliga personuppgifter. Det finns dock en rad undantag som möjliggör behandling av känsliga personuppgifter i vissa fall, till exempel om det finns ett uttryckligt samtycke.
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Exempel Vilka av nedan uppgifter är en personuppgift? Maria Andersdotter 830309-3286 maria.andersdotter@gmail.com Sveavägen 10 Ett paket Lätta och tre kanelbullar 34 år kvinna Adress kan vara en personuppgift om den går att koppla till en person, t.ex. i kombination med fler uppgifter som 34 årig kvinna om det bara bor en 34-årig kvinna på Sveavägen. Ett paket Lätta och tre kanelbullar är inte en personuppgift. Skillnad om siffrorna ovan t.ex. är ett ICA-kortskundnummer. Om det istället hade stått ”Halalkött” hade det dessutom kunnat bli en känslig personuppgift eftersom den uppgiften är kopplad till en religion.
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Vad är en behandling av personuppgift? Behandling omfattar varje åtgärd med personuppgifter oberoende av om de utförs automatiserat eller inte. Exempel: Insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring. Framtagning, läsning, användning, utlämning genom överföring eller spridning. Justering eller sammanförande. Begränsning, radering eller förstöring.
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen När får personuppgifter samlas in? ”För särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med det ändamålet.” Man måste ha en rättslig grund för att hantera personuppgifter. Ex. Avtal (anställningsavtal, kundavtal, leverantörsavtal) Samtycke (uttryckligt) Intresseavvägning (företaget kan visa att dess intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till privatliv) Alltså uppgifter som samlas in för ett visst syfte får inte sedan användas för ett helt annat syfte. Exempel: Ett företag har installerat GPS:er i sina företagsbilar som används för elektroniska körjournaler i syfte att förenkla redovisningen till SKV. Arbetsgivaren får inte senare använda uppgifterna för att t.ex. kontrollera hur långa raster de anställda tar. Avtal – man får bara hantera de personuppgifter som behövs för att uppfylla avtalet.
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Grundläggande aktörer Den registrerade Personuppgiftsansvarig/Dataskyddsombud Personuppgiftsbiträde (den som hanterar personuppgifterna) Tillsynsmyndighet (Datainspektionen) Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Dataskyddsombudet ska även vara en kontaktpunkt för tillsynsmyndigheten och de registrerade. Dataskyddsombudet ska vara väl insatt i de lagar som gäller för personuppgiftsbehandling och ha en självständig roll i förhållande till ledningen. Ett ombud kan vara anställd inom den personuppgiftsansvariges eller personuppgiftsbiträdets egna organisation men det är också möjligt att anlita någon utanför organisationen. Dataskyddsombud blir obligatoriskt i vissa situationer och det är om man är en myndighet eller om det är ”hög ”risk”, övervakning respektive behandlar stora mängder känsliga personuppgifter. Personuppgiftsbiträde: Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Även om en personuppgiftsansvarig väljer att anlita ett personuppgiftsbiträde är det alltid den personuppgiftsansvarige som har ansvaret gentemot de registrerade. Personuppgiftsansvaret kan inte överlåtas. De personer vars uppgifter behandlas har alltid rätt att vända sig till den personuppgiftsansvarige och framställa eventuella krav eller klagomål på felaktig behandling av personuppgifter. Viktigt med avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet.
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Syftet med GDPR är att stärka individens rätt till kontroll över hur dennes personuppgifter behandlas. Personuppgiftsansvarig måste därför säkerställa: Ändamål Laglig grund Transparens/insyn Uppfyllande av den registrerades rättigheter Att tekniska/organisatoriska skyddsåtgärder vidtas.
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen De viktigaste förändringarna Skärpta krav på informationsgivning och krav på samtycke Utökade skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden Den s.k. missbruksregeln försvinner ”Rätten att bli glömd” och krav på ”dataportabilitet” Bestämmelser om ”privacy by design” 72-timmarsregeln
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Skärpta krav på informationsgivning och samtycke Den registrerade ska: informeras om den rättsliga grunden för personuppgiftsbehandlingen och hur länge personuppgifterna kommer att lagras. få information om att han eller hon har rätt att få felaktiga uppgifter rättade. Krav på uttryckligt* och aktivt samtycke. *Ordet uttryckligt används i PuL endast i relation till känsliga personuppgifter idag.
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Aktivt samtycke För ett giltigt samtycke krävs att det är en frivillig, specifik, informerad och otvetydig viljeyttring, samt anges uttryckligen Samtycket ska vara spårbart En samtyckesförfrågan måste separeras från andra villkor. På förhand ikryssad ruta är ogiltig. Namnge din organisation och alla tredje parter som kommer att behandla personuppgifter med stöd av samtycket. Samtycket ska vara spårbart - För en förteckning för att visa vad de registrerade har samtyckt till. Informera individerna om att de har rätt att återkalla sina samtycken när som helst.
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Utökade skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden Personuppgiftsbehandlingen ska dokumenteras och den ansvarige ska kunna visa att behandlingen följer lagen I praktiken ett krav på personuppgiftspolicy som klargör vilka personuppgifter som behandlas och på vilken rättslig grund. Till skillnad från dagens regler kan även ett personuppgiftsbiträde bli skadeståndsskyldigt.
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Missbruksregeln försvinner Missbruksregeln har inneburit att ostrukturerat material t.ex. löpande text på internet eller e-post som kan härledas till en bestämd fysisk person inte ses som personuppgiftsbehandling. Konsekvens: Samma regler gäller. Rutiner/policyer behöver inrättas för hur personuppgifter delas mellan kollegor, när mail ska raderas etc. Missbruksregeln – ostrukturerat material får enligt PuL idag hanteras fritt så länge de inte är kränkande. När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i databaser och ärendehanteringssystem, också ska användas för det som skrivs om personer i exempelvis e-post och på webbplatser. Det kommer att innebära krav på att bland annat ha en rättslig grund, informera de registrerade och föra register över sina behandlingar. Man måste säkerställa att personalen känner till rutinerna.
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Rätten att bli glömd Den registrerade har rätt att på begäran få sina personuppgifter raderade från samtliga system som behandlar personuppgifterna. Dataportabilitet Den registrerade har rätt att få ut sina personuppgifter i ett maskinläsbart format. Rätten att bli glömd – undantag om dessa är nödvändiga att behålla enligt lag, avtal etc.
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Säkerhet Alla IT-system där personuppgifter behandlas måste uppfylla kraven på s.k. ”privacy by design” (inbyggd integritet). Den personuppgiftsansvarige ska underrätta Datainspektionen om dataintrång inom 72 timmar. Inbyggd integritet innebär att ett dataskydd ska integreras i IT-system redan från början bland annat för att endast nödvändiga personuppgifter ska behandlas. Genom att beakta integritetsfrågorna från början till slut, under systemets hela livscykel, kan man dramatiskt öka förmågan att följa gällande lagar och höja säkerheten. Samtidigt minskar man risken för onödiga kostnader och tidsödande arbetsinsatser som uppstår när man försöker lindra integritetsproblem i efterhand. 72-timmarsregeln innebär att den personuppgiftsansvarige har 72 timmar på sig att underrätta Datainspektionen vid dataintrång.
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Skärpta sanktioner och tillsyn Datainspektionen fortsatt huvudansvarig för tillsynen. Kan tilldöma sanktioner, t.ex. skriftliga varningar, skadestånd och böter. Bötesbeloppen kan uppgå till 20 miljoner kronor eller 4 % av den globala omsättningen. Sanktionsavgifterna tillfaller staten. Fem års preskriptionstid.
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Vad behöver jag som företag/organisation vidta för åtgärder? Kartläggning Vilka personuppgifter hanterar ni? Hur samlas de in? Lämnas de ut till annan? Med vilket lagstöd behandlas uppgifterna? Hur behöver ni anpassa behandlingen för att uppfylla kraven?
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Forts. kartläggning Använder ni den s.k. missbruksregeln idag? Hur måste IT-system och procedurer anpassas för att säkerställa att kraven på dataskydd uppfylls? Behöver biträdesavtal anpassas eller kompletteras? Behöver befintliga riktlinjer/policyer anpassas för att uppfylla de nya kraven? Vilka system måste implementeras för att säkerställa ”dataportabilitet”?
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Forts. kartläggning Vem ansvarar för dataskyddsfrågor i er organisation? Har ni verksamhet i flera länder? Överföring till tredje land – att man måste säkerställa att det finns en adekvat skyddsnivå.
Dataskyddsförordningen SVERIGES BYGGINDUSTRIER - MEDLEMSTRÄFF Dataskyddsförordningen Vill du veta mer? Är din organisation förberedd och har ni nya rutiner på plats? Sveriges Byggindustrier region väst inbjuder till ett seminarium inklusive work-shop den 15 november där Agnes Hammarstrand från Delphi advokatbyrå tillsammans med Malin Nordin lotsar dig igenom det nya regelverket. Separat inbjudan utsänds. Vid intresse kontakta malin.nordin@sverigesbyggindustrier.se Lön- och avtalskonferens den 30 november – 1 december i Stenungssund För mer information kontakta Hans.arvidsson@sverigesbyggindustrier.se eller tony.esbjornsson@sverigesbyggindustrier.se
Tack!