GDPR – nyheter och förberedelser
Syfte Stärka enskildas rätt till skydd av personuppgifter (privatlivet). Skapa enhetlig nivå för skyddet av personuppgifter inom EU, så att det fria flödet av uppgifter inte hindras.
Nyheter Dataportabilitet (vid samtycke/avtal) Konsekvensbedömning (vid särskilda risker) Anmälan om personuppgiftsincident Dataskyddsombud Sanktionsavgift Missbruksregeln försvinner
Vilka personuppgifter hanteras? Inventera och dokumentera Vilka uppgifter? Samlats in varifrån? Lämnas ut till vem? Tydliga styrande dokument för dataskydd. Måste kunna visa att reglerna i GDPR följs.
Missbruksregeln – ostrukturerat material Löpande text på internet, e-post, dokument i anställdas datorer. Inventera! Undvik personuppgiftsbehandling utanför strukturerade databaser. Rättslig grund? Information till registrerade, etc.
Information till registrerade Skärpta krav: uppdatera informationen. Kortfattad, lätt att förstå, tydligt och enkelt språk.
Registrerades rättigheter Information om vilka uppgifter som behandlas – nu även elektroniskt utlämnande. Rättelse Radering Dataportabilitet Göra invändningar Klagomål Skadestånd
Lagliga grunder för personuppgiftsbehandling Samtycke. För att fullgöra ett avtal där den registrerade är part. För att fullgöra rättslig förpliktelse. För att skydda intressen av grundläggande betydelse för den registrerade. För att utföra en uppgift av allmänt intresse eller vid myndighetsutövning. Intresseavvägning. Obs: ska kunna visa att principerna och lagliga krav följs, och gäller även behandling i ostrukturerat material.
Samtycke Samma krav som enligt PuL. Måste kunna visa att samtycke lämnats. Samtycke efter information.
Personuppgiftsincidenter Måste dokumenteras. I vissa fall anmälas till Datainspektionen inom 72 timmar. I vissa fall informera de registrerade. Rutiner för att upptäcka, rapportera och utreda.
Konsekvensbedömning Behandling som kan medföra stora integritetsrisker: storskaliga register med känsliga uppgifter kameraövervakning på offentlig plats