Dataskyddsförordningen (DSF/GDPR) Robin Roy Arkivarie/ utredare, personuppgiftsombud  rroy@kth.se  08-790 87 52

Agenda  X 2. Definition 3. Enskildes rättigheter 1. Övergripande 8. Överföring utanför EU 4. Ansvarskyldighet 6. Grundläggande principer 6. Sanktioner 5. DSO 7. Rättslig grund 7. Övergripande på KTH X GDPR Adminchef |180215

Varför ny lagstiftning? Modernisering av direktiv från 1995, bl.a. p.g.a. tekniska utvecklingen Harmonisering inom EU Förtydligande av tydliggörande av skyldigheter för den som behandlar personuppgifter GDPR Adminchef |180215

Syftet Skydd för fysiska personer m.a.p. behandlingen av personuppgifter Det fria flödet av personuppgifter inom EU GDPR Adminchef |180215

Personuppgifter - Definition ”Varje upplysning som avser en identifierad eller identifierbar fysisk person” ”…direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer” ”eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,” GDPR Adminchef |180215

Personuppgifter – exempel Ja Nej (bild och kranium) Kanske(DNA: om släktingar) V-2018-0157 Förordnade av Dataskyddsombud Ja GDPR Adminchef |180215

Annat exempel…. GDPR Adminchef |180215

Särskilda kategorier av personuppgifter (”Känsliga personuppgifter”) Personuppgifter om ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening hälsa sexualliv eller sexuell läggning genetiska uppgifter biometriska uppgifter för att entydigt identifiera en fysisk person GDPR Adminchef |180215

Registrerandes rättigheter KTH har en skyldighet att underlätta utövandet av rättigheterna. Information och registerutdrag Rättelse och radering Begränsning av behandling Dataportabilitet Invändning mot behandling Motsätta sig automatiserad behandling GDPR Adminchef |180215

Ansvarskyldighet för KTH KTH är skyldig att se till att de registrerades rättigheter upprätthålls. GDPR Adminchef |180215

Ansvarskyldighet för KTH Ska vidta åtgärder för att: säkerställa att förordningen följs att kunna visa att förordningen följs Inbyggt dataskydd och dataskydd som standard Säkerhet vid behandling Anmälan av personuppgiftsincidenter Konsekvensbedömningar och förhandssamråd Register över behandlingar Utse dataskyddsombud GDPR Adminchef |180215

Dataskyddsombudet (DSO) Arbetsuppgifter (ett axplock) Övervaka den interna efterlevnaden av dataskyddsförordningen och annan dataskyddslagstiftning i EU eller på nationell nivå. myndighetens strategi för skydd av personuppgifter. Ge råd i / övervaka genomförande av konsekvensbedömning Samarbeta med Integritetsskyddsmyndigheten (fd. Datainspektionen). KTH:s skyldighet (ett axplock) DSO på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. Tillhandahålla resurser Låta DSO få tillgång till personuppgifter och behandlingsförfaranden. Upprätthålla DSO sakkunskap. DSO rapporterar direkt till det högsta förvaltningsnivå. Förslag i beslut om inrättande av DSO Inrätta ett råd för dataskydd. DSO får i uppdrag att formulera ett uppdrag. DSO ansvarig för register över behandlingar GDPR Adminchef |180215

Grundläggande principer Syfte Styra behandlingen för att på sätt uppfylla kraven i GDPR och att den enskildes rättigheter respekteras. Ansvarskyldighet KTH ska ansvara för och kunna visa att principerna efterlevs. Ska vara dokumenterat! GDPR Adminchef |180215

Grundläggande principer Laglighet, korrekthet och öppenhet Den registrerade ska kunna förstå hur hens uppgifter behandlas och varför. Ska vara klart och tydligt hur uppgifter insamlats och används, vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. All information och kommunikation i samband med en personuppgiftsbehandling ska vara, lättillgänglig och lätt begriplig och ett klart språk ska användas. GDPR Adminchef |180215

Grundläggande principer Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet lämpliga tekniska och organisatoriska åtgärder så att personuppgiftrena inte blir åtkomliga för obehöriga, förstörs eller skadas. GDPR Adminchef |180215

Informationssäkerhet Generell informationssäkerhetsmodell. (Åhlfeldt RM., Spagnoletti P., Sindre G. (2007) Improving the Information Security Model by using TFI. In: Venter H., Eloff M., Labuschagne L., Eloff J., von Solms R. (eds) New Approaches for Security, Privacy and Trust in Complex Environments. SEC 2007. IFIP International Federation for Information Processing, vol 232. Springer, Boston, MA) GDPR Adminchef |180215

Rättslig grund Samtycke Behandling är nödvändig för att fullfölja avtal Behandling är nödvändig för rättslig förpliktelse Behandling är nödvändig för grundläggande intressen Behandling är nödvändig för uppgift av allmänt intresse Behandling är nödvändig för myndighetsutövning Intresseavvägning (mycket begränsat för myndigheter) c) och e): nationell reglering krävs och nationell anpassning tillåts GDPR Adminchef |180215

När får vi behandla ”känsliga personuppgifter”? Grundläggande förbud att behandla känsliga uppgifter Undantag (axplock) : Uttryckligt samtycke grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke Medlemmar i bl.a. politiska och religiösa föreningar Offentliggörande Bevaka rättsliga anspråk (bl.a. arbetsrätten och på områdena social trygghet och socialt skydd ”Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet…” Ytterligare föreslagna av Dataskyddsutredningen, bl.a. hälso- och sjukvård, arkiv och statistik GDPR Adminchef |180215

Överföring till länder utanför EES/EU eller internationella organisationer Överföring tillåten: EU-kommissionsbeslut om adekvat skyddsnivå. Skyddsnivå säkerställs i Tredjelandet (övervägande, bl.a. rättsstatsprincip, fungerade tillsynsmyndighet m.m.) Territorium i tredjelandet Sektor i tredjelandet (Privacy Shield) Omfattas av lämpliga skyddsåtgärder Undantag i särskilda situationer, t.ex. samtycke, fullgöra avtal, rättsliga anspråk GDPR Adminchef |180215

Konsekvenser Ersättning till den enskilde Den enskilde har rätt att få ersättning av KTH eller personuppgiftsbiträdet. Skadan kan vara både materiell eller immateriell KTH: om den enskilde har lidit skada till följd av överträdelse i dataskyddsförordningen eller nationella kompletteringslagar till denna. För personuppgiftsbiträde: om personuppgiftsbiträdet inte har fullgjort sina skyldigheter mot KTH eller följt våra instruktioner. GDPR Adminchef |180215

Administrativa sanktionsavgifter Integritetsskyddsmyndigheten (fd. Datainspektionen) kan utförda sanktionsavgifter. Sanktionsavgifter kompletterar andra föreläggande, t.ex. varning och reprimander. Avgifterna bestäms av omständigheter i det enskilda fallet. Faktorer som avgör beloppets storlek är bl.a. överträdelsens omfattning, typen av personuppgifter, hur länge behandlingen har fortgått, samarbetsvilja och intentioner. För mindre överträdelser: upp till 10 miljoner kronor. För grövre överträdelser: upp till 20 miljoner kronor. GDPR Adminchef |180215

Vad är på gång? Övergripande Webbutbildning mikro-learning Personuppgiftsbiträdesavtalsmall Riktlinje Information på webb Register enligt artikel 30 Incidentrapportering UF/PA GDPR Adminchef |180215

Frågor ? GDPR Adminchef |180215