Presentation laddar. Vänta.

Presentation laddar. Vänta.

EU:s nya Dataskyddsförordning (GDPR)

Liknande presentationer


En presentation över ämnet: "EU:s nya Dataskyddsförordning (GDPR)"— Presentationens avskrift:

1 EU:s nya Dataskyddsförordning (GDPR)
EU:s nya Dataskyddsförordning (GDPR)

2 Ny lag från 25 maj Gäller direkt som lag i alla EU:s medlemsländer
Ersätter Personuppgiftslagen, PUL Större förändringar för offentlig sektor än för näringslivet Nämnden är personuppgiftsansvarig precis som tidigare

3 Dataskyddsförordningens syfte
Skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter Skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU så att det fria flödet av uppgifter inom unionen inte hindras Modernisera dataskyddsdirektivets regler från 1995 och att anpassa dessa till det nya digitala samhället

4 Grundläggande rättigheter
EU har antagit en stadga om de grundläggande rättigheterna, däribland rätten till skydd för personuppgifter. I stadgan beskriver artikel 8 denna rätt: Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.

5 Tillämpningsområde Dataskyddsförordningen gäller i princip för all behandling av personuppgifter. Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person. Behandling är allt du gör med en uppgift; läser, upprättar, ändrar, flyttar, skickar, registrerar, lagrar osv.

6 Vad är en personuppgift?
all slags information som kan knytas till en fysisk person som är i livet. Typiska personuppgifter är personnummer namn adress Foton fastighetsbeteckning kundnummer ljudinspelningar som lagras elektroniskt kan vara personuppgifter även om det inte nämns några namn i inspelningen. registreringsnummer

7 Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis ip-nummer och cookies, räknas som personuppgifter om de kan kopplas till fysiska personer. Även information som har kodats, krypterats eller pseudonymiserats men som kan hänföras till en fysisk person med hjälp av kompletterande uppgifter är personuppgifter. Finns kodnyckel?

8 Nyheter Samtycke försvinner i stort sett för offentlig sektor
Måste i princip vara lagstadgad Uppgiftsminimering Gallring och aktivt ifrågasättande av ”självklara” uppgifter Inte behålla eller samla in mer än vi absolut måste för uppgiften Konsekvensbedömning måste göras innan ny behandling

9 Nyheter Dataportabilitet
Personuppgiftsbiträdets roll och ansvar förstärks Sanktionsavgifter Rapporteringsskyldighet vid dataskyddsincidenter inom 72 timmar till myndighet samt till de berörda Informationsskyldigheten till allmänheten ökar

10 Missbruksregeln upphör
Innebär stor förändring Idag kan man använda personuppgifter i ostrukturerat material; Exempelvis information om personer i e-post, på internet eller i en enkel lista som man har i datorn. När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i databaser och ärendehanteringssystem, också ska användas för det som skrivs om personer i exempelvis e-post och på webbplatser.

11 Det kommer att innebära krav på att bland annat ha en rättslig grund, informera de registrerade och föra register över sina behandlingar. Berör i princip all hantering av uppgifter i både privat- och offentlig sektor. Observera att intresseavvägning, som är den rättsliga grund som ligger närmast till hands att ersätta missbruksregeln med, i princip inte får användas av myndigheter. Tydliga rutiner och instruktioner i organisationen om vad som gäller för exempelvis webbpublicering av personuppgifter och för att skicka personuppgifter med e-post krävs. (Kommungemensamt)

12 Principer för behandling av personuppgifter
All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i dataskyddsförordningen. Principerna innebär bland annat att personuppgifter bara får samlas in för berättigade ändamål som inte är alltför allmänt hållna. Att mängden uppgifter ska begränsas till vad som är nödvändigt för ändamålen. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

13 Uppgifterna får inte sparas längre än nödvändigt.
En viktig nyhet är att det uttryckligen anges att den som behandlar personuppgifter ska ansvara för och kunna visa att man följer bestämmelserna i dataskyddsförordningen (ansvarsskyldighet).

14 Känsliga personuppgifter
Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd i dataskyddsförordningen. Det handlar om så kallade känsliga personuppgifter som till exempel personuppgifter som: avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, facklig tillhörighet uppgifter om hälsa och sexualliv personuppgifter som rör lagöverträdelser som innefattar brott.

15 Utgångspunkten är att det är förbjudet att behandla särskilt känsliga personuppgifter.
Det finns dock flera undantag från förbudet. Även personnummer kan räknas till personuppgifter som är särskilt integritetskänsliga.

16 Den enskildes rättigheter stärks
De personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter. De registrerades rättigheter har utökats, förstärkts och specificerats i dataskyddsförordningen jämfört med personuppgiftslagen.

17 Den enskildes rättigheter
Rätt till information Rätt till rättelse Rätt till radering ("rätten att bli bortglömd") Rätt till begränsning av behandling Dataportabilitet Rätt att göra invändningar Automatiserat beslutsfattande, inbegripet profilering Klagomål Skadestånd

18 Administrativa sanktionsavgifter
Datainspektionen kan besluta att ett företag som bryter mot reglerna i dataskyddsförordningen ska betala en administrativ sanktionsavgift, en form av böter. Avgiften kan som mest vara 20 miljoner euro eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst. Beloppets storlek beror bland annat på hur allvarlig överträdelsen av reglerna är, hur stor skada som skett, om det är fråga om känsliga personuppgifter och om överträdelsen är avsiktlig. I Sverige har Dataskyddsutredningen föreslagit att även myndigheter ska kunna påföras sanktionsavgifter. I dagsläget är det ännu oklart hur det blir med detta.

19


Ladda ner ppt "EU:s nya Dataskyddsförordning (GDPR)"

Liknande presentationer


Google-annonser