Presentation laddar. Vänta.

Presentation laddar. Vänta.

Dataskyddsförordningen (DSF/GDPR)

Liknande presentationer


En presentation över ämnet: "Dataskyddsförordningen (DSF/GDPR)"— Presentationens avskrift:

1 Dataskyddsförordningen (DSF/GDPR)
Robin Roy Arkivarie/ utredare, personuppgiftsombud

2 Agenda  X 2. Definition 3. Enskildes rättigheter 1. Övergripande
8. Överföring utanför EU 4. Ansvarskyldighet 6. Grundläggande principer 6. Sanktioner 5. DSO 7. Rättslig grund 7. Övergripande på KTH X GDPR Adminchef |180215

3 Varför ny lagstiftning?
Modernisering av direktiv från 1995, bl.a. p.g.a. tekniska utvecklingen Harmonisering inom EU Förtydligande av tydliggörande av skyldigheter för den som behandlar personuppgifter GDPR Adminchef |180215

4 Syftet Skydd för fysiska personer m.a.p. behandlingen av personuppgifter Det fria flödet av personuppgifter inom EU GDPR Adminchef |180215

5 Personuppgifter - Definition
”Varje upplysning som avser en identifierad eller identifierbar fysisk person” ”…direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer” ”eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,” GDPR Adminchef |180215

6 Personuppgifter – exempel
Ja Nej (bild och kranium) Kanske(DNA: om släktingar) V Förordnade av Dataskyddsombud Ja GDPR Adminchef |180215

7 Annat exempel…. GDPR Adminchef |180215

8 Särskilda kategorier av personuppgifter (”Känsliga personuppgifter”)
Personuppgifter om ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening hälsa sexualliv eller sexuell läggning genetiska uppgifter biometriska uppgifter för att entydigt identifiera en fysisk person GDPR Adminchef |180215

9 Registrerandes rättigheter
KTH har en skyldighet att underlätta utövandet av rättigheterna. Information och registerutdrag Rättelse och radering Begränsning av behandling Dataportabilitet Invändning mot behandling Motsätta sig automatiserad behandling GDPR Adminchef |180215

10 Ansvarskyldighet för KTH
KTH är skyldig att se till att de registrerades rättigheter upprätthålls. GDPR Adminchef |180215

11 Ansvarskyldighet för KTH
Ska vidta åtgärder för att: säkerställa att förordningen följs att kunna visa att förordningen följs Inbyggt dataskydd och dataskydd som standard Säkerhet vid behandling Anmälan av personuppgiftsincidenter Konsekvensbedömningar och förhandssamråd Register över behandlingar Utse dataskyddsombud GDPR Adminchef |180215

12 Dataskyddsombudet (DSO)
Arbetsuppgifter (ett axplock) Övervaka den interna efterlevnaden av dataskyddsförordningen och annan dataskyddslagstiftning i EU eller på nationell nivå. myndighetens strategi för skydd av personuppgifter. Ge råd i / övervaka genomförande av konsekvensbedömning Samarbeta med Integritetsskyddsmyndigheten (fd. Datainspektionen). KTH:s skyldighet (ett axplock) DSO på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. Tillhandahålla resurser Låta DSO få tillgång till personuppgifter och behandlingsförfaranden. Upprätthålla DSO sakkunskap. DSO rapporterar direkt till det högsta förvaltningsnivå. Förslag i beslut om inrättande av DSO Inrätta ett råd för dataskydd. DSO får i uppdrag att formulera ett uppdrag. DSO ansvarig för register över behandlingar GDPR Adminchef |180215

13 Grundläggande principer
Syfte Styra behandlingen för att på sätt uppfylla kraven i GDPR och att den enskildes rättigheter respekteras. Ansvarskyldighet KTH ska ansvara för och kunna visa att principerna efterlevs. Ska vara dokumenterat! GDPR Adminchef |180215

14 Grundläggande principer
Laglighet, korrekthet och öppenhet Den registrerade ska kunna förstå hur hens uppgifter behandlas och varför. Ska vara klart och tydligt hur uppgifter insamlats och används, vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. All information och kommunikation i samband med en personuppgiftsbehandling ska vara, lättillgänglig och lätt begriplig och ett klart språk ska användas. GDPR Adminchef |180215

15 Grundläggande principer
Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet lämpliga tekniska och organisatoriska åtgärder så att personuppgiftrena inte blir åtkomliga för obehöriga, förstörs eller skadas. GDPR Adminchef |180215

16 Informationssäkerhet
Generell informationssäkerhetsmodell. (Åhlfeldt RM., Spagnoletti P., Sindre G. (2007) Improving the Information Security Model by using TFI. In: Venter H., Eloff M., Labuschagne L., Eloff J., von Solms R. (eds) New Approaches for Security, Privacy and Trust in Complex Environments. SEC IFIP International Federation for Information Processing, vol 232. Springer, Boston, MA) GDPR Adminchef |180215

17 Rättslig grund Samtycke
Behandling är nödvändig för att fullfölja avtal Behandling är nödvändig för rättslig förpliktelse Behandling är nödvändig för grundläggande intressen Behandling är nödvändig för uppgift av allmänt intresse Behandling är nödvändig för myndighetsutövning Intresseavvägning (mycket begränsat för myndigheter) c) och e): nationell reglering krävs och nationell anpassning tillåts GDPR Adminchef |180215

18 När får vi behandla ”känsliga personuppgifter”?
Grundläggande förbud att behandla känsliga uppgifter Undantag (axplock) : Uttryckligt samtycke grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke Medlemmar i bl.a. politiska och religiösa föreningar Offentliggörande Bevaka rättsliga anspråk (bl.a. arbetsrätten och på områdena social trygghet och socialt skydd ”Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet…” Ytterligare föreslagna av Dataskyddsutredningen, bl.a. hälso- och sjukvård, arkiv och statistik GDPR Adminchef |180215

19 Överföring till länder utanför EES/EU eller internationella organisationer
Överföring tillåten: EU-kommissionsbeslut om adekvat skyddsnivå. Skyddsnivå säkerställs i Tredjelandet (övervägande, bl.a. rättsstatsprincip, fungerade tillsynsmyndighet m.m.) Territorium i tredjelandet Sektor i tredjelandet (Privacy Shield) Omfattas av lämpliga skyddsåtgärder Undantag i särskilda situationer, t.ex. samtycke, fullgöra avtal, rättsliga anspråk GDPR Adminchef |180215

20 Konsekvenser Ersättning till den enskilde
Den enskilde har rätt att få ersättning av KTH eller personuppgiftsbiträdet. Skadan kan vara både materiell eller immateriell KTH: om den enskilde har lidit skada till följd av överträdelse i dataskyddsförordningen eller nationella kompletteringslagar till denna. För personuppgiftsbiträde: om personuppgiftsbiträdet inte har fullgjort sina skyldigheter mot KTH eller följt våra instruktioner. GDPR Adminchef |180215

21 Administrativa sanktionsavgifter
Integritetsskyddsmyndigheten (fd. Datainspektionen) kan utförda sanktionsavgifter. Sanktionsavgifter kompletterar andra föreläggande, t.ex. varning och reprimander. Avgifterna bestäms av omständigheter i det enskilda fallet. Faktorer som avgör beloppets storlek är bl.a. överträdelsens omfattning, typen av personuppgifter, hur länge behandlingen har fortgått, samarbetsvilja och intentioner. För mindre överträdelser: upp till 10 miljoner kronor. För grövre överträdelser: upp till 20 miljoner kronor. GDPR Adminchef |180215

22 Vad är på gång? Övergripande Webbutbildning mikro-learning
Personuppgiftsbiträdesavtalsmall Riktlinje Information på webb Register enligt artikel 30 Incidentrapportering UF/PA GDPR Adminchef |180215

23 Frågor ? GDPR Adminchef |180215


Ladda ner ppt "Dataskyddsförordningen (DSF/GDPR)"

Liknande presentationer


Google-annonser