EU:S NYA DATASKYDDS- FÖRORDNING KORPEN Föredrag 24 november 2017 Advokat Hans Nicander
DISPOSITION Bakgrund, nu gällande regler för behandling av personuppgifter - Personuppgiftslagen (PUL) - Några centrala oförändrade begrepp Vad är det nya med dataskyddsförordningen? - Några nya viktigare bestämmelser 3. Handlingsplan, strategi – Var börjar man?
9 § PUL, Artikel 5 GDPR Personuppgiftslagen (PUL) (1998:204) implementerade EU-direktivet 95/46 EG i Sverige Grundläggande krav för behandling av personuppgifter Personuppgifter får behandlas bara om: Korrekt sätt God sed Lagligt Visst ändamål Adekvata och relevanta Riktiga och aktuella Inte fler än nödvändigt Rätt till rättelse av felaktiga uppg. Inte längre tid än nödvändigt
10 § PUL, Artikel 6 GDPR Personuppgiftslagen (PUL) (1998:204) implementerade EU-direktivet 95/46 EG i Sverige När behandling av personuppgifter är tillåten Personuppgifter får behandlas bara om: Den registrerade har lämnat sitt SAMTYCKE eller om nödvändigt för Fullgörande av avtal, rättslig skyldighet Skydd vitala intressen, allmänt intresse Myndighets- utövning Intresseavvägning ”berättigat intresse”
OFÖRÄNDRADE CENTRALA BEGREPP ”Personuppgifter” (PUL) ”All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet” ”Känsliga personuppgifter” (PUL) ”Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening, /eller/ som rör hälsa eller sexualliv” ”Behandling” (PUL) ”Varje åtgärd …t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande …”
OFÖRÄNDRADE CENTRALA BEGREPP ”Personuppgiftsansvarig” (PUL) ”Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter” ”Personuppgiftsbiträde” (PUL) ”Den som behandlar personuppgifter för den personuppgiftsansvariges räkning”
EN NYORDNING INOM EU PÅ VÄG Nu ett direktiv, 25 maj 2018, en förordning gällande som en lag direkt i alla EU-länder PUL upphör att gälla
SYFTET MED REFORMEN Att stärka integritetsskyddet för enskilda (Art 8, Europeiska Unionens Stadga, EKMR) Säkerställa hög skyddsnivå, riskminimera Förenkla och effektivisera för företagen Minska administrativ börda och kostnader Stärka den inre marknaden genom enhetlig och likvärdig skyddsnivå
NYA DATASKYDDSFÖRORDNINGEN SAMMANFATTNING av förordning (EU) 2016/679: GRUNDLÄGGANDE KRAVEN och RÄTTSLIG GRUND (PUL §§ 9, 10), i praktiken oförändrat, (Art 5, 6) SAMTYCKE – otvetydigt och informerat, begäran om samtycke vara särskiljbar, begriplig och lätt tillgänglig form, enkelt och lättbegripligt språk, lika lätt att återkalla som att ge, (Art 7), beviskrav, viktigt att dokumentera! KÄNSLIGA PERSONUPPGIFTER – små förändringar i sak, förbud, fortsatt krav på explicit (uttryckligt) samtycke, (Art 9) UTÖKAD RÄTT TILL INFORMATION – bl.a. om rättsliga grunden, ev. profilering, rätten att lämna in klagomål, rätten till radering/ begränsad behandling, göra invändning, dataportabilitet, krav på enkelt o begripligt språk, (Art 12-15)
NYA DATASKYDDSFÖRORDNINGEN Rätt att när som helst göra INVÄNDNING – mot behandling 1) med stöd av intresseavvägning eller allmänt intresse och 2) mot direkt marknadsföring. Förnyad intresseavvägning som måste visa ”tvingande berättigade skäl”, Informationsplikt, (Art 21) Rätt få UPPGIFTER RADERADE, ”right to be forgotten” – 1) behandlingen inte nödvändig för ändamålen, 2) Återkallar samtycke och ingen annan rättslig grund, 3) Invänder mot intresseavvägning, 4) Invänder mot direkt marknadsföring. Behandlingen ”BEGRÄNSAS”/”frysas” (endast lagras). Underrätta varje mottagare, på begäran den registrerade om dessa mottagare, samt underrätta tredje part att radera ev. länkar & kopior, (art 17-19) DATAPORTABILITET – Rätt få ut egna p-uppgifter som man själv tillhandahållit, i strukturerat, vedertaget och maskinläsbart format samt fritt överföra uppgifterna till annan leverantör, (Art 20)
NYA DATASKYDDSFÖRORDNINGEN Skydd mot AUTOMATISERADE INDIVIDUELLA BESLUT/PROFILERING – Rätt att inte omfattas av beslut som grundas enbart på automatiserad individuell behandling (inkl. profilering) och som har rättsliga följder för eller i betydande grad påverkar den enskilde, (Art 22) Krav på INBYGGT DATASKYDD, dataskydd som standard, ”DATA PROTECTION BY DESIGN”, ”Data protection by default” – Ökat fokus, krav på att integritetsskydd ska beaktas och byggas in i IT-systemen som standard. Ska genomföra ”lämpliga tekniska och organisatoriska åtgärder” i syfte att begränsa/minimera uppgifter, tillgänglighet, åtkomst och spridning, (Art 25) PERSONUPPGIFTSBITRÄDEN – eget självständigt utökat ansvar, säkerhet, information m.m., även gentemot enskilda, (Art 28 m.fl.)
NYA DATASKYDDSFÖRORDNINGEN REGISTER över behandling – p-ansvarig och p-biträde skyldiga föra register över behandlingar som utförts. Ej om < 250 anställda, om inte behandlingen medför risk, eller avser känsliga uppgifter, (Art 30) Anmälningsplikt vid INCIDENTER/intrång – såvida inte osannolikt att incidenten medför en risk för enskildas fri- och rättigheter. Identitetsstölder, bedrägeri m.m. Anmälan utan dröjsmål och inom 72 timmar, information till den enskilde om hög risk, (Art 33, 34) Krav på i förväg upprättad KONSEKVENSANALYS – när behandling som sannolikt medför hög risk för enskildas fri- och rättigheter. Samrådsskyldighet i vissa fall med DI, (Art 35, 36) DATASKYDDSOMBUD – ska utses av myndigheter, om i stor omfattning regelbunden o. systematisk övervakning eller om känsliga uppgifter. Övriga får utse. Gäller både p-ansvarig och p-biträde, (Art 37-39)
NYA DATASKYDDSFÖRORDNINGEN UPPFÖRANDEKODER – branschorganisationer m.fl., vissa sektorer, i syfte att bidra till korrekt behandling i enlighet med förordningen. Godkännas av DI, (Art 40-41) CERTIFIERING/Sigill – personuppgiftsansvariga och personuppgiftsbiträden kan få sin behandling godkänd av vissa certifieringsorgan, märkning med sigill, 3 år i taget (Art 42-43) ÖVERFÖRING av personuppgifter till länder UTANFÖR EU – ”adekvat skyddsnivå” motsv. EU-nivå fortfarande avgörande. Beslut av Kommissionen. Även godkända standardiserade avtalsklausuler. BCR kvar. Privacy Shield, USA, (Art 44-50)
NYA DATASKYDDSFÖRORDNINGEN 5 a § PUL – ”MISSBRUKSREGELN” gällande undantag för löpande text och annat ostrukturerat material tas bort OFFENTLIGHETSPRINCIPEN, YTTRANDE- OCH INFORMATIONSFRIHET m.m. – kvar genom flexibla regler som bl.a. möjliggör nationella särregleringar på dessa områden PÅFÖLJDER – Sanktionsavgift upp till 20 miljoner EUR eller 4 % av globala årsomsättningen, (Art 83) Skadestånd till enskilda, både p-ansvarig och p-biträde, solidariskt ansvar (Art 82)
HANDLINGSPLAN - STRATEGI - VAR BÖRJA? INVENTERA/KARTLÄGG, vad för behandling sker idag? Vad för typ av personuppgifter? Pers nr? Känsliga p-uppgifter? Omfattning? Antal individer? Mängd uppgifter? Från vem-till vem? Hur länge pågått? Gallring? Varför sker behandlingen, vilka ändamål? Hur och till vad? Personuppgiftsbiträde? Agerar som själv, eller anlitar? Har samtycken inhämtats av de registrerade? Uppfyller lämnade samtycken i så fall kraven på föregående information etc.? Annan rättslig grund? Behandlingen ”nödvändig” för fullgörande av avtal el. rättslig förpliktelse? Intresseavvägning? OBS inte längre för myndigheter. OBS att 5 a § PUL försvinner.
HANDLINGSPLAN - STRATEGI - VAD GÖRA? PROJEKT, STUDIE -Vilka system och hjälpmedel används? Inrätta arbetsrutiner & skapa processer och system som säkerställer att de nya reglerna kan efterlevas! Tillgodoses kraven på uppgifts- och riskminimering, inbyggt dataskydd? Tillgodoses kraven på lämpliga säkerhetsåtgärder? Behörighetsstyrning/minimering av åtkomst, inte ”allt för alla”, metoder för autentisering/verifiering av behöriga användare Loggning, möjlighet att spåra/utreda intrång/obehörig åtkomst Exponering mot öppna nät (internet)/ känsliga personuppgifter kräver möjlighet till kryptering av data, anonymisering/ pseudonymisering
HANDLINGSPLAN - STRATEGI - VAD GÖRA? Funktionalitet för att: - ge insyn/hitta och lämna tillgång till uppgifter, bl.a. registerutdrag - ge stöd för samtycke samt återtagande av samtycke - lämna tydlig information om hur p-uppgifterna kommer behandlas - flytta p-uppgifter till annan i vedertaget format (dataportabilitet) - hantera invändningar om direktmarknadsföring, profilering, radering eller rättelse - begränsa fritextfält/möjligheten skriva in uppgifter, t.ex. omdömen - gallra, utplåna data på ett säkert sätt Incidentberedskap – rutiner för att upptäcka, anmäla (0-72 tim), utreda & informationsplikt till registrerade m.m.
HANDLINGSPLAN - STRATEGI - VAD GÖRA? Behövs en konsekvensbedömning? – systematisk och omfattande större behandling av känsliga uppgifter, profilering eller omfattande kameraövervakning. Ev. samråd med DI Viktigt att någon äger dataskyddsfrågan inom organisationen. Involvera högsta ledningen! Att utse ett dataskyddsombud ofta klokt Testa rutinerna/roll-fördelningen! Dokumentera Upprätta en DATASKYDDSPOLICY
TACK FÖR UPPMÄRKSAMHETEN!
Advokat Hans Nicander Nicander Advokatbyrå hans. nicander@nicander Advokat Hans Nicander Nicander Advokatbyrå hans.nicander@nicander.se Tel. 070-752 05 17 www.nicander.se