EU:s Allmänna Dataskyddsförordning Nya regler om personuppgiftsbehandling från maj 2018: EU:s Allmänna Dataskyddsförordning Elisabeth Wallin Jilderyd, Datainspektionen

Hur berör dataskyddsförordningen mig? Behandling av personuppgifter – ersätter personuppgiftslagen (PuL) Både personuppgiftsansvariga och personuppgiftsbiträden Företag/myndigheter i EU (och i viss mån även företag etablerade utanför EU)

Lagstiftningen EU-förordning – direkt tillämplig och gäller som lag Syfte: Integritets- och dataskydd - Skydda grundläggande fri- och rättigheter Harmonisering - Möjliggöra ett fritt flöde av personuppgifter i EU

Tillåten personuppgiftsbehandling Grundläggande krav – ändamålsbegränsning, uppgiftsminimering, lagringsminimering, ansvarsskyldighet Laglig grund – samtycke, avtalssituation, rättslig skyldighet, nödvändigt för liv och hälsa, myndighetsutövning, intresseavvägning Särskilda krav för ”känsliga personuppgifter” och för överföring av uppgifter utanför EU

Enskildas rättigheter Klar och tydlig information – vid insamling av uppgifter Rätt till tillgång (information på begäran) Rätt till rättelse och radering (rätten att bli bortglömd) Rätt till dataportabilitet Rätt att motsätta sig personuppgiftsbehandling 2018-12-30

Skyldigheter vid personuppgifts- behandling – vad är nytt? Enligt PuL: Allmänna bestämmelser i 30-31§§ ”Lämpliga tekniska och organisatoriska åtgärder” Riktar sig till personuppgiftsansvariga Dataskyddsförordningen: Kapitel IV, artikel 24-42 Detaljerade bestämmelser – ansvarsskyldighet Riktar sig till både personuppgiftsansvariga och biträden

Ansvarsskyldighet (den personuppgiftsansvarige) Åtgärder för att säkerställa och kunna visa att behandlingen sker enligt förordningen Nödvändiga skyddsåtgärder ska integreras i behandlingen – privacy by design, dataskydd som standard Godkända uppförandekoder eller godkända certifieringsmekanismer kan vara ett sätt att visa efterlevnad

Särskilda skyldigheter Register över personuppgiftsbehandling Tekniska och organisatoriska säkerhetsåtgärder Konsekvensbedömning avseende dataskydd Förhandssamråd Anmälan av personuppgiftsincidenter Dataskyddsombud

Register över personuppgiftsbehandling Både pua och pub ska föra skriftligt register över personuppgiftsbehandling (kan föras elektroniskt) Innehåll: Namn och kontaktuppgifter Ändamål med behandlingen (pua) Kategorier av mottagare (pua) Kategorier av behandling som utförts (pub) Överföring t tredje land Tekniska och organisatoriska säkerhetsåtgärder Registret ska på begäran göras tillgängligt för DI Undantag för SME:s om inte behandlingen omfattar känsliga uppgifter eller annars medför risker för enskildas rättigheter

Tekniska och organisatoriska säkerhetsåtgärder Ska säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen T.ex. Pseudonymisering och kryptering Konfidentialitet, integritet, tillgänglighet och motståndskraft fortlöpande Kunna återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid en incident Förfarande för att testa, undersöka och utvärdera effektiviteten av säkerhetsåtgärderna Vid riskbedömningen ska särskild hänsyn tas till risker för: oavsiktlig eller olaglig förstöring förlust eller ändring av uppgifter obehörigt röjande eller obehörig åtkomst

Konsekvensbedömning avs dataskydd Skyldighet att före behandlingen bedöma konsekvenser avs skyddet av personuppgifter (behov, proportionalitet, risker för registrerade mm) Behandling som kan innebära hög risk (särskilt pga användning av ny teknik, behandlingens art, omfattning, sammanhang och ändamål) T.ex. vid Systematisk bedömning av personliga aspekter Känsliga personuppgifter Systematisk övervakning (inkl. kameraövervakning)

Konsekvensbedömning forts. Innehåll: Systematisk beskrivning av behandlingen Syftet med behandlingen Behov av att behandla uppgifter – proportionalitetsbedömning Ev risker för de registrerade Vilka åtgärder som ska vidtas för att hantera riskerna

Om konsekvensbedömning visar på höga risker – samråd med DI Förhandssamråd Om konsekvensbedömning visar på höga risker – samråd med DI Svar inom 8 veckor

Anmälan av personuppgiftsincident Definition: Säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av uppgifter eller till obehörigt röjande eller obehörig åtkomst Anmälan till DI ska ske inom 72 timmar från upptäckt Innehåll: Incidentens art, kategorier av och antal berörda registrerade, sannolika konsekvenser, vidtagna åtgärder Dokumentationsskyldighet Information till de registrerade – om hög risk Skyldighet för biträde att påpeka incident för den ansvarige

Dataskyddsombud Kan vara anställd eller anlitad på uppdrag Obligatoriskt för: Myndigheter Kärnverksamhet där registrerade regelbundet och systematiskt övervakas Kärnverksamheten innebär behandling av känsliga uppgifter Kunskap om lagstiftning och praxis avseende dataskydd Självständig och oberoende ställning

Dataskyddsombud forts. Uppgifter: Informera och ge råd om förordningens bestämmelser Övervaka efterlevnad av förordningen Ge råd om konsekvensbedömningen Samarbeta med DI Kontaktpunkt för DI och för registrerade

Personuppgiftsbiträden Endast sådana som ger tillräckliga garantier får anlitas Underbiträden får endast anlitas om skriftligt tillstånd av pua Biträdesavtal (med specificerat innehåll) ”Anmälningsskyldighet” gentemot pua Får endast agera enligt instruktioner från pua Visst skadeståndsansvar

Tillsynsmyndigheter m.m. Nationell tillsynsmyndighet Enhetlighetsmekanism – European Data Protection Board One-stop-shop

Sanktionsavgifter DI kan utdöma sanktionsavgifter på < 10 milj. € eller 2 % av global omsättning (brott mot skyldigheter ifråga om säkerhetsåtgärder, incidentanmälan, konsekvensbedömning m.m.) < 20 milj. € eller 4 % av global omsättning (brott mot grundläggande principer, laglig grund, registrerades rättigheter, DI:s beslut m.m.)