EU´s dataskyddsförordningen Varför är vi här EU´s dataskyddsförordningen Skapande medvetande kring den kommande lagstiftningen Enkel pres. Avhandlar förordningen kapitel 1-5 (av 11) info@insecman.se Informationssäkerhet – Säkerhetsskydd - Data- och integritetsskydd Säkerhetsundersökning TSU – Internutredning - Utbildning

EUs dataskyddsförordning Handlar om rätten till integritet och privatliv för registrerade och den personuppgiftsansvariges skyldigheter enligt förordningen FN Mänskliga fri- rättigheter Europeiska Unionens stadga om de grundläggande rättigheterna Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs EU´s Dataskyddsförordning 2016/679 Antogs 27 april 2016 Bryssel, Börjar gälla den 25 maj 2018, Direkt tillämplig som lag i samtliga EU:stater EU stater får införa kompletterande nationell lagstiftning som är förenliga med EUs dataskyddsförordning

Varför ny lag? EUs dataskyddsförordning Handlar om rätten till integritet och privatliv för registrerade och den personuppgiftsansvariges skyldigheter enligt förordningen Varför ny lag? Syftar till att säkerställa ”den registrerades” integritet och på det viset värna om och stärka ”registrerades grundläggande fri- och rättigheter oavsett vart EU medborgaren är Tydliggörande av ansvar och skyldigheter för den som behandlar personuppgifter Enhetliga rättigheter och skyldigheter i hela EU, stärka inre marknad, minska administrativa bördor… Det fria flödet av personuppgifter inom EU är en förutsättning för goda affärer. Harmonisering mellan olika marknader/olika förutsättningar

EUs Dataskyddsförordning – utformning och innehåll Dataskyddsreformen utgörs idag av 99 artiklar Kapitel 1 - Allmänna bestämmelser Artikel 1-4 Kapitel 2 - Principer Artikel 5-11 Kapitel 3 - Den registrerades rättigheter Artikel 12-23 Kapitel 4 - Personuppgiftsansvarig och personuppgiftsbiträde Artikel 24-43 Kapitel 5 - Överföring av personuppgifter till tredjeländer eller internationella organisationer Artikel 44-50 Kapitel 6 - Oberoende tillsynsmyndigheter Artikel 51-59 Kapitel 7 - Samarbete och enhetlighet Artikel 60-76 Kapitel 8 - Rättsmedel, ansvar och sanktioner Artikel 77-84 Kapitel 9 - Bestämmelser om särskilda behandlingssituationer Artikel 85-91 Kapitel 10 - Delegerade akter och genomförandeakter Artikel 92-93 Kapitel 11 - Slutbestämmelser Artikel 94-99

Vad är en personuppgift? Vad menas personuppgiftsbehandling? EUs dataskyddsförordning – Vad är en personuppgift def Handlar om rätten till integritet och privatliv och den personuppgiftsansvariges skyldigheter enligt förordningen Vad är en personuppgift? Vad menas personuppgiftsbehandling? All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet är enligt EU´s dataskyddsförordning personuppgifter Med behandling menas allt man gör med personuppgifter. Exempel på behandling av personuppgifter är: insamling, registrering, lagring, bearbetning och spridning

Vad är informationssäkerhet? EUs dataskyddsförordning – Vad är informationssäkerhet def Handlar om rätten till integritet och privatliv och den personuppgiftsansvariges skyldigheter enligt förordningen Vad är informationssäkerhet? ”Informationssäkerhet syftar till att säkerställa information” Med information avses all kunskapsbärande information oavsett dess form, gränssnitt eller miljö Den utrustning och hjälpmedel eller mänskliga resurser som krävs för att behandla eller kommunicera information

EUs dataskyddsförordning – Register Handlar om rätten till integritet och privatliv och den personuppgiftsansvariges skyldigheter enligt förordningen Personuppgiftsansvariga ska föra register över sin personuppgiftsbehandling Art 30 - Är ett krav Vilka personuppgifter behandlas (inkl kategorier) Vart personuppgifter behandlas (papper, datorer, server, tredje land) Hur länge behandlar/lagras personuppgifter Vem eller vad som behandlar personuppgifter (personer, samarbetspartners (PUB)/maskiner) Ändamålet med behandlingen (syftet/varför) Rättslig grund för behandlingen Hur inhämtas samtycke för behandling/lagring Hur tillvaratar och omhändertar vi de registrerades rättigheter Om vi inventerar att känsliga personuppgifter behandlas. Känsliga personuppgifter är enl Förord: ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i en fackförening hälsa en persons sexualliv eller sexuella läggning genetiska eller biometriska uppgifter som entydigt identifierar en person. Dessa får enligt lagen ej hanteras om det inte finns ett samtycke Konsekvensbedömning (känsliga personuppgifter, “”sårbara personer: barn, patienter, äldre personer”” omfattande personuppgiftsbehandling) Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. Konsekvensbedömning är synonymt med att genomföra riskanalys/riskhantering – identifiera, bedöma och behandla hot och risker Om det finns ett utsett dataskyddsombud ska denne rådfrågas om dataskydd (i konsekvensbedömningsprocessen/krav) ,

EUs dataskyddsförordning – Principer för behandling av pers.upp Handlar om rätten till integritet och privatliv och den personuppgiftsansvariges skyldigheter enligt förordningen Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Ansvarsskyldighet Laglighet, korrekthet och öppenhet Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Kravet på att behandlingen av personuppgifter ska vara laglig innebär bland annat att det måste finnas en rättslig grund för behandlingen. Ändamålsbegränsning Personuppgifter ska bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det innebär att den som ska behandla personuppgifter måste ha ändamålen klara för sig redan innan insamlingen av personuppgifter börjar. Personuppgifterna får sedan inte behandlas på ett sätt som är oförenligt med dessa ändamål Uppgiftsminimering Principen om uppgiftsminimering innebär att personuppgifterna ska vara relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Korrekthet korrekta och uppdaterade. Lagringsminimering Personuppgifter får inte sparas en längre tid än vad som är nödvändigt, gallringsrutiner Integritet och konfidentialitet Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den som behandlar personuppgifter ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Ansvarsskyldighet / sanktioner Den som behandlar personuppgifter ansvarar för att principerna om personuppgiftsbehandling följs och måste kunna visa på vilket sätt man följer dem. Det finns flera sätt att visa detta, till exempel genom att ha tydlig information till de registrerade, att dokumentera de behandlingar som pågår i organisationen och de överväganden man har gjort samt att ha dokumenterade interna riktlinjer för dataskyddet (en dataskyddspolicy). Att utse ett dataskyddsombud som bidrar till organisationens efterlevnad av förordningen och de interna riktlinjerna kan också vara ett sätt att uppfylla kravet på ansvarsskyldighet.

EUs dataskyddsförordning – Den registrerades rättigheter Handlar om rätten till integritet och privatliv och den personuppgiftsansvariges skyldigheter enligt förordningen Rätt till information Rätt till rättelse Rätt till radaring (rätt att bli bortglömd) Rätt till begränsning av behandling Dataportabilitet Rätt att göra invändningar (föra klagomål och skadeståndsanspråk) Profilering och automatiserat beslutsfattande

Personuppgiftsansvarig Personuppgiftsbiträde EUs dataskyddsförordning – Personuppgiftsansvarig/personuppgiftsb Handlar om rätten till integritet och privatliv och den personuppgiftsansvariges skyldigheter enligt förordningen Personuppgiftsansvarig Personuppgiftsbiträde Dataskyddsombud Alla är skyldiga att samarbeta med dataskyddsmyndighet Samarbetspartner Samarbetspartner Egen organisation Underleverantör Underleverantör Personuppgiftsansvarig Personuppgiftsbiträde Underbiträde Ansvarig

EUs dataskyddsförordning – Frågor Handlar om rätten till integritet och privatliv och den personuppgiftsansvariges skyldigheter enligt förordningen Frågor