PUL till GDPR - Vad gäller, vilket ansvar har man och hur gör man? Verktyg och tips för att klara av det nya

Bakgrund: Dataskyddsdirektivet 1995 PUL Harmonisera lagstiftning inom EU Trädde i kraft 25:e maj 2018  GDPR 2016

GDPR och PUL – likheter o skillnader: Likhet: Skydda den personliga integriteten Mer ansvar avseende även ostrukturerat material – missbruksregeln bort!! Högre krav på samtycke (- Fungerar inte längre med skrivningar: använder du tjänsten så samtycker du till…) Högre vite med GDPR

Vad behövs ”på plats”? Kartläggning med: Var ni har persondata - vilka system? Typ av personuppgifter? Behövs allt? – eller ska något tas bort? Ändamål med behandling Vilka som har tillgång till vilka uppgifter Personuppgiftsansvarig Rutiner för gallring Rättslig grund / Hur ni inhämtat (aktivt) samtycke

Rättslig grund för personuppgiftsbehandling: Samtycke Avtal Intresseavvägning Rättslig förpliktelse Myndighetsutövning och uppgift av allmänt intresse Grundläggande intresse

Vad behövs ”på plats” forts.: Integritetspolicy Cookie policy? Rutiner för när enskild registrerad ber om: Registerutdrag Redigering/rättning Flytt/dataportabilitet Och rutin vid dataintrång Radering (- även från säkerhetskopior) Utbildning för att upprätthålla personuppgiftssäkerhet och rutiner/Compliance. Biträdesavtal

Biträdesavtal Teckna underbiträdesavtal med kommun vid upphandlad trafik (- ni underbiträden till dem) Teckna Biträdesavtal med anslutna åkare avs. hur de handhar ”era” uppgifter i det fall data går mot dem (- åkarna underbiträden till er) – bifoga transportöravtal!! Biträdesavtal med förbundet om hur förbundet handhar ”era” uppgifter avseende åkare (- förbundet underbiträden till er) Taxametersystem? IT? Telefonsluss? HR-system? Hemsida/App? Fler?

Vad ska ett personuppgiftsbiträdesavtal innehålla Vad ska ett personuppgiftsbiträdesavtal innehålla? I avtalet ska biträdet åta sig att: • Följa dokumenterade instruktioner • Iaktta tystnadsplikt • Vidta lämplig säkerhetsnivå • Respektera kraven på förhandstillstånd och avtal vid anlitande av ett annat biträde • Vidta lämpliga tekniska och organisatoriska åtgärder (- möjliggöra information och registerutdrag, rättelse, radering med mera…) • Bistå den personuppgiftsansvarige vid personuppgiftsincidenter • Radera eller återlämna • Ge den personuppgiftsansvarige tillgång till all information som krävs för att fullgör alla skyldigheter

Mer? Säkra system? (https://, SSL osv.) Säker data-överföring? (VPN osv.) Anonymiserad testdata? Kan databaser och filer slås samman och reduceras? Privacy by default för program och systemutveckling?

Vilken hjälp kan ni vänta från förbundet? Mall för personuppgiftskartläggning Mall för Integritetspolicy Mall på Cookie-policy Mall på biträdesavtal Mall på tillägg till Transportöravtal avseende GDPR

Josefin Deiving Mejla på: Josefin.deiving@taxiforbundet.se Telefon: 072-402 81 38