Dataskyddsförordningen – Small picture - Hur reglerar förordningen inkassoverksamhet? Svensk Inkassos branschkod Anna Eidvall, Intrum Claes Månsson, Svensk Inkasso

Dataskyddsförordningen Dagens presentation Bakgrund Dataskyddsförordningen Kodens syfte och upplägg Viktiga begrepp Grundläggande lagkrav Vilka personuppgifter får registreras? Principer att följa Den enskildes rättigheter, särskilt rätt till information rätt att slippa automatiska behandlingar som ligger till grund för beslut Den personuppgiftsansvariges skyldigheter, särskilt vid överföring av uppgifter och vid kommunikation åtkomst, loggning register incidenter Rättsmedel och sanktioner

Bakgrund Vad har hänt? Den 25 januari 2012; första förslaget till ny dataskyddsförordning 4000 ändringsförslag Antogs den 27 april 2016 Börjar tillämpas den 25 maj 2018 Varför ny lagstiftning? Fritt flöde av uppgifter (harmonisering – underlättar för företag) Direktivet är ouppdaterat – teknisk utveckling Ökade krav från individen

Bakgrund Vad blev resultatet? En förordning istället för ett direktiv 99 artiklar som ersätter PUL Utökat tillämpningsområde Höga sanktioner Hur kommer det se ut i Sverige? Dataskyddsförordningen gäller som lag Kompletteringslag (allmänna frågor) Speciallagstiftning (t.ex. Inkassolagen) Branschkoder Datainspektionen = tillsynsmyndighet

Varför är detta viktigt? Branschen behandlar stora mängder personuppgifter Gäldenärer Kund-/leverantörskontakter Anställda Budskap till marknaden Påverkar både oss och våra kunder Legal- och affärsrisk Höga sanktioner om vi inte följer reglerna

(Mycket förblir detsamma men..) Nyheter Vad är allt snack om? Individens rättigheter Utökat informationskrav Rätt att bli glömd Dataportabilitet Rätt att invända och få begränsning Fokus på intern compliance och kontroll Dokumentera mera! Ansvar för ansvarig resp. biträdet Säkerhetsaspekten Tydligare regler kring krav på skydd Privacy by Design/Default Personuppgiftsincidenter Konsekvensanalyser Automatiskt beslutsfattande Sanktioner!! Egentligen är det PUL 2.0 (Mycket förblir detsamma men..)

God sed för personuppgiftsbehandling i inkassoverksamhet Branschkodens syfte och innehåll Vad är en branschkod och vad innebär den? Samråd med Datainspektionen? Begreppen Personuppgiftsansvar, personuppgiftsbiträde och Dataskyddsombud

Dataskyddsförordningen, När behandling är tillåten Laglighet, tillåtlighetsgrunder Samtycke Nödvändig för att fullgöra ett avtal Nödvändig för att fullgöra en rättslig förpliktelse Nödvändig för att fullgöra en uppgift av allmänt intresse Nödvändig för att fullgöra ett enskilt intresse (efter intresseavvägning)

Dataskyddsförordningen, Principerna för behandling Ändamålsprincipen Laglighets- och öppenhetsprincipen Uppgiftsminimeringsprincipen Korrekthetsprincipen Lagringsminimeringsprincipen Integritets- och konfidentialitetsprincipen

Den registrerades rättigheter Särskilt viktiga Rätt att få information Rätt till invändningar och rättelser Rätt att bli bortglömd, radering

Krav på information Identitet och kontaktuppgifter personuppgiftsansvarig Kontaktuppgifter DPO Syfte och legal grund Kategorier av personuppgifter Förklaring berättigat intresse Mottagare Tredjelandsöverföring och legal grund Källor Lagringsperiod Den registrerades rättigheter Rätt att återkalla samtycke Rätt att klaga Eventuell skyldighet för den registrerade att tillhandahålla personuppgifter Automatiskt beslutsfattande

Automatiskt beslutsfattande Är detta slutet för inkassobranschen ”as we know it”? Automatiskt beslut utan rättslig effekt Intresseavvägning Allmänt intresse Automatiskt beslut med rättslig effekt Samtycke Lagstöd Avtal med individen Rätt att invända Rätt att bestrida, mänskligt ingripande, omprövning

Den personuppgiftsansvariges skyldigheter Uttalat ansvar för tillåtlighet, principer, rättigheterna, skyldigheterna Innefattar krav på dokumentation, bevisbörda Tekniska och organisatoriska åtgärder Utbildningsförpliktelse Kontroll av lagringstid, gallring Åtkomstskydd för personuppgifter Säkerhetskopiering Behörighetskontroller Loggning, när, hur och av vem? Incidenthantering Registerkrav Dataskyddsombud Konsekvensbedömning och förhandsbedömning Uppförandekod?

Tydligare regler kring datasäkerhet/ integritetsskydd Tekniska och organisatoriska säkerhetsåtgärder Med hänsyn till behandlingens art (jmf. kommunikation med gäldenär) Privacy by Design/Default Personlig integritet vid utvecklande av nya tjänster/system Dataskydd som standard Hantering av personuppgiftsincidenter Lagstadgad process och notifieringsskyldighet inom viss tid Krav på hög sekretess Konsekvensanalyser (DPIA) Automatiskt beslutsfattande/profilering Molntjänster Videoövervakning Gäller endast om det är osannolikt att incidenten resulterar i en risk för den enskildes fri och rättigheter

Rättsmedel och sanktioner Klagomålshantering Sanktioner Skadestånd

frågor??? Ö