EU:s Allmänna Dataskyddsförordning

En presentation över ämnet: "EU:s Allmänna Dataskyddsförordning"— Presentationens avskrift:

1 EU:s Allmänna Dataskyddsförordning
Nya regler om personuppgiftsbehandling från maj 2018: EU:s Allmänna Dataskyddsförordning Elisabeth Wallin Jilderyd, Datainspektionen

2 Hur berör dataskyddsförordningen mig?
Behandling av personuppgifter – ersätter personuppgiftslagen (PuL) Både personuppgiftsansvariga och personuppgiftsbiträden Företag/myndigheter i EU (och i viss mån även företag etablerade utanför EU)

3 Lagstiftningen EU-förordning – direkt tillämplig och gäller som lag
Syfte: Integritets- och dataskydd - Skydda grundläggande fri- och rättigheter Harmonisering - Möjliggöra ett fritt flöde av personuppgifter i EU

4 Tillåten personuppgiftsbehandling
Grundläggande krav – ändamålsbegränsning, uppgiftsminimering, lagringsminimering, ansvarsskyldighet Laglig grund – samtycke, avtalssituation, rättslig skyldighet, nödvändigt för liv och hälsa, myndighetsutövning, intresseavvägning Särskilda krav för ”känsliga personuppgifter” och för överföring av uppgifter utanför EU

5 Enskildas rättigheter
Klar och tydlig information – vid insamling av uppgifter Rätt till tillgång (information på begäran) Rätt till rättelse och radering (rätten att bli bortglömd) Rätt till dataportabilitet Rätt att motsätta sig personuppgiftsbehandling

6 Skyldigheter vid personuppgifts- behandling – vad är nytt?
Enligt PuL: Allmänna bestämmelser i 30-31§§ ”Lämpliga tekniska och organisatoriska åtgärder” Riktar sig till personuppgiftsansvariga Dataskyddsförordningen: Kapitel IV, artikel 24-42 Detaljerade bestämmelser – ansvarsskyldighet Riktar sig till både personuppgiftsansvariga och biträden

7 Ansvarsskyldighet (den personuppgiftsansvarige)
Åtgärder för att säkerställa och kunna visa att behandlingen sker enligt förordningen Nödvändiga skyddsåtgärder ska integreras i behandlingen – privacy by design, dataskydd som standard Godkända uppförandekoder eller godkända certifieringsmekanismer kan vara ett sätt att visa efterlevnad

8 Särskilda skyldigheter
Register över personuppgiftsbehandling Tekniska och organisatoriska säkerhetsåtgärder Konsekvensbedömning avseende dataskydd Förhandssamråd Anmälan av personuppgiftsincidenter Dataskyddsombud

9 Register över personuppgiftsbehandling
Både pua och pub ska föra skriftligt register över personuppgiftsbehandling (kan föras elektroniskt) Innehåll: Namn och kontaktuppgifter Ändamål med behandlingen (pua) Kategorier av mottagare (pua) Kategorier av behandling som utförts (pub) Överföring t tredje land Tekniska och organisatoriska säkerhetsåtgärder Registret ska på begäran göras tillgängligt för DI Undantag för SME:s om inte behandlingen omfattar känsliga uppgifter eller annars medför risker för enskildas rättigheter

10 Tekniska och organisatoriska säkerhetsåtgärder
Ska säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen T.ex. Pseudonymisering och kryptering Konfidentialitet, integritet, tillgänglighet och motståndskraft fortlöpande Kunna återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid en incident Förfarande för att testa, undersöka och utvärdera effektiviteten av säkerhetsåtgärderna Vid riskbedömningen ska särskild hänsyn tas till risker för: oavsiktlig eller olaglig förstöring förlust eller ändring av uppgifter obehörigt röjande eller obehörig åtkomst

11 Konsekvensbedömning avs dataskydd
Skyldighet att före behandlingen bedöma konsekvenser avs skyddet av personuppgifter (behov, proportionalitet, risker för registrerade mm) Behandling som kan innebära hög risk (särskilt pga användning av ny teknik, behandlingens art, omfattning, sammanhang och ändamål) T.ex. vid Systematisk bedömning av personliga aspekter Känsliga personuppgifter Systematisk övervakning (inkl. kameraövervakning)

12 Konsekvensbedömning forts.
Innehåll: Systematisk beskrivning av behandlingen Syftet med behandlingen Behov av att behandla uppgifter – proportionalitetsbedömning Ev risker för de registrerade Vilka åtgärder som ska vidtas för att hantera riskerna

13 Om konsekvensbedömning visar på höga risker – samråd med DI
Förhandssamråd Om konsekvensbedömning visar på höga risker – samråd med DI Svar inom 8 veckor

14 Anmälan av personuppgiftsincident
Definition: Säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av uppgifter eller till obehörigt röjande eller obehörig åtkomst Anmälan till DI ska ske inom 72 timmar från upptäckt Innehåll: Incidentens art, kategorier av och antal berörda registrerade, sannolika konsekvenser, vidtagna åtgärder Dokumentationsskyldighet Information till de registrerade – om hög risk Skyldighet för biträde att påpeka incident för den ansvarige

15 Dataskyddsombud Kan vara anställd eller anlitad på uppdrag
Obligatoriskt för: Myndigheter Kärnverksamhet där registrerade regelbundet och systematiskt övervakas Kärnverksamheten innebär behandling av känsliga uppgifter Kunskap om lagstiftning och praxis avseende dataskydd Självständig och oberoende ställning

16 Dataskyddsombud forts.
Uppgifter: Informera och ge råd om förordningens bestämmelser Övervaka efterlevnad av förordningen Ge råd om konsekvensbedömningen Samarbeta med DI Kontaktpunkt för DI och för registrerade

17 Personuppgiftsbiträden
Endast sådana som ger tillräckliga garantier får anlitas Underbiträden får endast anlitas om skriftligt tillstånd av pua Biträdesavtal (med specificerat innehåll) ”Anmälningsskyldighet” gentemot pua Får endast agera enligt instruktioner från pua Visst skadeståndsansvar

18 Tillsynsmyndigheter m.m.
Nationell tillsynsmyndighet Enhetlighetsmekanism – European Data Protection Board One-stop-shop

19 Sanktionsavgifter DI kan utdöma sanktionsavgifter på
< 10 milj. € eller 2 % av global omsättning (brott mot skyldigheter ifråga om säkerhetsåtgärder, incidentanmälan, konsekvensbedömning m.m.) < 20 milj. € eller 4 % av global omsättning (brott mot grundläggande principer, laglig grund, registrerades rättigheter, DI:s beslut m.m.)