EU:S NYA DATASKYDDS- FÖRORDNING KORPEN Föredrag 24 november 2017

Slides:



Advertisements
Liknande presentationer
Europeiska kommissionens förslag till:
Advertisements

Datajuridik i vardagen av betydelse för kvalitetsregister
PSI Vad är det? Vad är på gång?
1. Vad är en personuppgift?
Patientdatalagen och lite Personuppgiftslagen
Personuppgiftslagen (PuL) och Polisdatalagen (PdL)
Personuppgiftslagen.
Personuppgiftslagen (PuL) och Polisdatalagen (PdL)
Datainspektionen Personuppgiftslagen
Karl-Göran Marklund Personuppgiftsombud (Den fysiska person som självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt)
Personuppgiftslagen (PuL) och Polisdatalagen (PdL)
Personuppgiftslagen (PuL) och
Sören Öman Ändringar i personuppgiftslagen Normgivningsbemyndigandena 1/ Samordningsnummer 1/ Överföring till tredje land med adekvat skyddsnivå.
Skolwebb 2.0 för vårdnadshavare
PUL-delen i processen att bli Federationsmedlem
”Patientdatalagen, journaler på nätet, sociala medier – lagar och regler” Jens Larsson, Jens Larsson, Chefsjurist.
Ändra till startrubrik
Stärkt stöd och skydd för b o u Stärka stödet och skyddet för barn och ungdomar som far eller riskerar att fara illa Barnrättsperspektivet stärks Barn.
DEN NYA KAMERALAGEN.
 1 § Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.
Myndigheternas ansvar - marknadskontroll
1 Marknadskontrollrådets seminarium ”Din produkt, ditt ansvar ” Nalen 21/ Olika roller, olika ansvar: Tillverkare, importör, distributör Göran Lundmark,
Välkomna JTF referensgrupp 26 maj Dagordning Inledning Transportstyrelsens föreskrifter om bedrivande av tågtrafik Framtiden efter JTF Workshop.
Personuppgiftslagen.
Godmanskap Förvaltarskap Överförmyndaren Tillsyn Socialtjänstens roll Frågor.
Journaldokumentation  Lagar  Föreskrifter  Definitioner.
Kunskap till Praktik Patientdatalag (2008:355) Sanna Othman – Landstingsjurist JLL.
Informationssäkerhet + arkiv = sant? Johan Andersson, Mälardalens högskola
Vad innebär Dataskyddsförordningen?
Finansdepartementet Använda myndigheters information - vad får man och vad har man rätt till? Mikael Vall Finansdepartementet.
Forskningsetik Lars Sandman Prioriteringscentrum, HSA, IMH, Linköpings universitet.
1 Forskningsetik Claes Corlin. 2 Etiska dimensioner FORSKARETIK Forskarens egen moral Hederlighet Ej plagiat Öppenhet Redovisa källor Andra kan pröva.
Så berörs du av den nya europeiska dataskyddsförordningen
MEDLEMSTRÄFF i Skövde 22 september 2017
Vägledning 5 steg för att följa Dataskyddsförordningen
Riskbedömning vid förändring i verksamheten
Dataskydd En prioriterad fråga.
Europeiska Åklagarmyndigheten
Dataskyddsförordningen – Small picture
Dataskyddsförordningen
Dataskyddsförordningen för Ansvariga genomförare
Skolwebb för vårdnadshavare Gärdesskolorna
Dataskyddsförordningen
Patientdatautredningen och kvalitetsregister idag och i framtiden
GDPR Introduktion SKOLA24 • GDPR General Data Protection Regulation
GDPR vad är det? Ny EU-lagstiftning, 25/
Dataskyddsförordn ing GDPR- ny lag som gäller
Skolwebb för vårdnadshavare
Ledningens genomgång: Informationssäkerhet Mall där allt underlag finns i denna presentation Datum 2018-XX-XX.
Dataskyddsförordningen
Regelverk, nyheter m.m. Anders Ekbom Professor Karolinska Institutet
GDPR vad är det? Ny EU-lagstiftning, 25/
Individuell energimätning och personuppgiftslagen
Basfakta för dig som coach ` - vad gäller? - vad behöver du göra nu
Skolwebb för vårdnadshavare
GDPR.
Ledningens genomgång: Informationssäkerhet mall kortversion – underlag i annat underlag Datum 2018-XX-XX.
GDPR - LADOK NUAK 2018 GUNNAR RÅHLÉN.
GDPR i båtlivet Svenska Båtunionen af Pontins väg Stockholm
PUL till GDPR - Vad gäller, vilket ansvar har man och hur gör man?
Dataskyddsutbildning för avdelningar 2018
Hantering av personuppgifter i BOU december 2018
Allmänna dataskyddsförordningen
GDPR – nyheter och förberedelser
GDPR Vi äger inte våra medlemmars personuppgifter, vi lånar dom.
Kunskapsdagar - GDPR.
Kampen för lika möjligheter för HBTI-personer i EU
Dataskydd och forskning i Europa och Sverige
Kampen för lika möjligheter för HBTI-personer i EU
Effekterna i SWAMID av Dataskyddsförordningen
Presentationens avskrift:

EU:S NYA DATASKYDDS- FÖRORDNING KORPEN Föredrag 24 november 2017 Advokat Hans Nicander

DISPOSITION Bakgrund, nu gällande regler för behandling av personuppgifter - Personuppgiftslagen (PUL) - Några centrala oförändrade begrepp Vad är det nya med dataskyddsförordningen? - Några nya viktigare bestämmelser 3. Handlingsplan, strategi – Var börjar man?

9 § PUL, Artikel 5 GDPR Personuppgiftslagen (PUL) (1998:204) implementerade EU-direktivet 95/46 EG i Sverige Grundläggande krav för behandling av personuppgifter Personuppgifter får behandlas bara om: Korrekt sätt God sed Lagligt Visst ändamål Adekvata och relevanta Riktiga och aktuella Inte fler än nödvändigt Rätt till rättelse av felaktiga uppg. Inte längre tid än nödvändigt

10 § PUL, Artikel 6 GDPR Personuppgiftslagen (PUL) (1998:204) implementerade EU-direktivet 95/46 EG i Sverige När behandling av personuppgifter är tillåten Personuppgifter får behandlas bara om: Den registrerade har lämnat sitt SAMTYCKE eller om nödvändigt för Fullgörande av avtal, rättslig skyldighet Skydd vitala intressen, allmänt intresse Myndighets- utövning Intresseavvägning ”berättigat intresse”

OFÖRÄNDRADE CENTRALA BEGREPP ”Personuppgifter” (PUL) ”All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet” ”Känsliga personuppgifter” (PUL) ”Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening, /eller/ som rör hälsa eller sexualliv” ”Behandling” (PUL) ”Varje åtgärd …t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande …”

OFÖRÄNDRADE CENTRALA BEGREPP ”Personuppgiftsansvarig” (PUL) ”Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter” ”Personuppgiftsbiträde” (PUL) ”Den som behandlar personuppgifter för den personuppgiftsansvariges räkning”

EN NYORDNING INOM EU PÅ VÄG Nu ett direktiv, 25 maj 2018, en förordning gällande som en lag direkt i alla EU-länder PUL upphör att gälla

SYFTET MED REFORMEN Att stärka integritetsskyddet för enskilda (Art 8, Europeiska Unionens Stadga, EKMR) Säkerställa hög skyddsnivå, riskminimera Förenkla och effektivisera för företagen Minska administrativ börda och kostnader Stärka den inre marknaden genom enhetlig och likvärdig skyddsnivå

NYA DATASKYDDSFÖRORDNINGEN SAMMANFATTNING av förordning (EU) 2016/679: GRUNDLÄGGANDE KRAVEN och RÄTTSLIG GRUND (PUL §§ 9, 10), i praktiken oförändrat, (Art 5, 6) SAMTYCKE – otvetydigt och informerat, begäran om samtycke vara särskiljbar, begriplig och lätt tillgänglig form, enkelt och lättbegripligt språk, lika lätt att återkalla som att ge, (Art 7), beviskrav, viktigt att dokumentera! KÄNSLIGA PERSONUPPGIFTER – små förändringar i sak, förbud, fortsatt krav på explicit (uttryckligt) samtycke, (Art 9) UTÖKAD RÄTT TILL INFORMATION – bl.a. om rättsliga grunden, ev. profilering, rätten att lämna in klagomål, rätten till radering/ begränsad behandling, göra invändning, dataportabilitet, krav på enkelt o begripligt språk, (Art 12-15)

NYA DATASKYDDSFÖRORDNINGEN Rätt att när som helst göra INVÄNDNING – mot behandling 1) med stöd av intresseavvägning eller allmänt intresse och 2) mot direkt marknadsföring. Förnyad intresseavvägning som måste visa ”tvingande berättigade skäl”, Informationsplikt, (Art 21) Rätt få UPPGIFTER RADERADE, ”right to be forgotten” – 1) behandlingen inte nödvändig för ändamålen, 2) Återkallar samtycke och ingen annan rättslig grund, 3) Invänder mot intresseavvägning, 4) Invänder mot direkt marknadsföring. Behandlingen ”BEGRÄNSAS”/”frysas” (endast lagras). Underrätta varje mottagare, på begäran den registrerade om dessa mottagare, samt underrätta tredje part att radera ev. länkar & kopior, (art 17-19) DATAPORTABILITET – Rätt få ut egna p-uppgifter som man själv tillhandahållit, i strukturerat, vedertaget och maskinläsbart format samt fritt överföra uppgifterna till annan leverantör, (Art 20)

NYA DATASKYDDSFÖRORDNINGEN Skydd mot AUTOMATISERADE INDIVIDUELLA BESLUT/PROFILERING – Rätt att inte omfattas av beslut som grundas enbart på automatiserad individuell behandling (inkl. profilering) och som har rättsliga följder för eller i betydande grad påverkar den enskilde, (Art 22) Krav på INBYGGT DATASKYDD, dataskydd som standard, ”DATA PROTECTION BY DESIGN”, ”Data protection by default” – Ökat fokus, krav på att integritetsskydd ska beaktas och byggas in i IT-systemen som standard. Ska genomföra ”lämpliga tekniska och organisatoriska åtgärder” i syfte att begränsa/minimera uppgifter, tillgänglighet, åtkomst och spridning, (Art 25) PERSONUPPGIFTSBITRÄDEN – eget självständigt utökat ansvar, säkerhet, information m.m., även gentemot enskilda, (Art 28 m.fl.)

NYA DATASKYDDSFÖRORDNINGEN REGISTER över behandling – p-ansvarig och p-biträde skyldiga föra register över behandlingar som utförts. Ej om < 250 anställda, om inte behandlingen medför risk, eller avser känsliga uppgifter, (Art 30) Anmälningsplikt vid INCIDENTER/intrång – såvida inte osannolikt att incidenten medför en risk för enskildas fri- och rättigheter. Identitetsstölder, bedrägeri m.m. Anmälan utan dröjsmål och inom 72 timmar, information till den enskilde om hög risk, (Art 33, 34) Krav på i förväg upprättad KONSEKVENSANALYS – när behandling som sannolikt medför hög risk för enskildas fri- och rättigheter. Samrådsskyldighet i vissa fall med DI, (Art 35, 36) DATASKYDDSOMBUD – ska utses av myndigheter, om i stor omfattning regelbunden o. systematisk övervakning eller om känsliga uppgifter. Övriga får utse. Gäller både p-ansvarig och p-biträde, (Art 37-39)

NYA DATASKYDDSFÖRORDNINGEN UPPFÖRANDEKODER – branschorganisationer m.fl., vissa sektorer, i syfte att bidra till korrekt behandling i enlighet med förordningen. Godkännas av DI, (Art 40-41) CERTIFIERING/Sigill – personuppgiftsansvariga och personuppgiftsbiträden kan få sin behandling godkänd av vissa certifieringsorgan, märkning med sigill, 3 år i taget (Art 42-43) ÖVERFÖRING av personuppgifter till länder UTANFÖR EU – ”adekvat skyddsnivå” motsv. EU-nivå fortfarande avgörande. Beslut av Kommissionen. Även godkända standardiserade avtalsklausuler. BCR kvar. Privacy Shield, USA, (Art 44-50)

NYA DATASKYDDSFÖRORDNINGEN 5 a § PUL – ”MISSBRUKSREGELN” gällande undantag för löpande text och annat ostrukturerat material tas bort OFFENTLIGHETSPRINCIPEN, YTTRANDE- OCH INFORMATIONSFRIHET m.m. – kvar genom flexibla regler som bl.a. möjliggör nationella särregleringar på dessa områden PÅFÖLJDER – Sanktionsavgift upp till 20 miljoner EUR eller 4 % av globala årsomsättningen, (Art 83) Skadestånd till enskilda, både p-ansvarig och p-biträde, solidariskt ansvar (Art 82)

HANDLINGSPLAN - STRATEGI - VAR BÖRJA? INVENTERA/KARTLÄGG, vad för behandling sker idag? Vad för typ av personuppgifter? Pers nr? Känsliga p-uppgifter? Omfattning? Antal individer? Mängd uppgifter? Från vem-till vem? Hur länge pågått? Gallring? Varför sker behandlingen, vilka ändamål? Hur och till vad? Personuppgiftsbiträde? Agerar som själv, eller anlitar? Har samtycken inhämtats av de registrerade? Uppfyller lämnade samtycken i så fall kraven på föregående information etc.? Annan rättslig grund? Behandlingen ”nödvändig” för fullgörande av avtal el. rättslig förpliktelse? Intresseavvägning? OBS inte längre för myndigheter. OBS att 5 a § PUL försvinner.

HANDLINGSPLAN - STRATEGI - VAD GÖRA? PROJEKT, STUDIE -Vilka system och hjälpmedel används? Inrätta arbetsrutiner & skapa processer och system som säkerställer att de nya reglerna kan efterlevas! Tillgodoses kraven på uppgifts- och riskminimering, inbyggt dataskydd? Tillgodoses kraven på lämpliga säkerhetsåtgärder? Behörighetsstyrning/minimering av åtkomst, inte ”allt för alla”, metoder för autentisering/verifiering av behöriga användare Loggning, möjlighet att spåra/utreda intrång/obehörig åtkomst Exponering mot öppna nät (internet)/ känsliga personuppgifter kräver möjlighet till kryptering av data, anonymisering/ pseudonymisering

HANDLINGSPLAN - STRATEGI - VAD GÖRA? Funktionalitet för att: - ge insyn/hitta och lämna tillgång till uppgifter, bl.a. registerutdrag - ge stöd för samtycke samt återtagande av samtycke - lämna tydlig information om hur p-uppgifterna kommer behandlas - flytta p-uppgifter till annan i vedertaget format (dataportabilitet) - hantera invändningar om direktmarknadsföring, profilering, radering eller rättelse - begränsa fritextfält/möjligheten skriva in uppgifter, t.ex. omdömen - gallra, utplåna data på ett säkert sätt Incidentberedskap – rutiner för att upptäcka, anmäla (0-72 tim), utreda & informationsplikt till registrerade m.m.

HANDLINGSPLAN - STRATEGI - VAD GÖRA? Behövs en konsekvensbedömning? – systematisk och omfattande större behandling av känsliga uppgifter, profilering eller omfattande kameraövervakning. Ev. samråd med DI Viktigt att någon äger dataskyddsfrågan inom organisationen. Involvera högsta ledningen! Att utse ett dataskyddsombud ofta klokt Testa rutinerna/roll-fördelningen! Dokumentera Upprätta en DATASKYDDSPOLICY

TACK FÖR UPPMÄRKSAMHETEN!

Advokat Hans Nicander Nicander Advokatbyrå hans. nicander@nicander Advokat Hans Nicander Nicander Advokatbyrå hans.nicander@nicander.se Tel. 070-752 05 17 www.nicander.se