Ladda ner presentationen
Presentation laddar. Vänta.
1
EU:s Allmänna Dataskyddsförordning
Nya regler om personuppgiftsbehandling från maj 2018: EU:s Allmänna Dataskyddsförordning Elisabeth Wallin Jilderyd, Datainspektionen
2
Hur berör dataskyddsförordningen mig?
Behandling av personuppgifter – ersätter personuppgiftslagen (PuL) Både personuppgiftsansvariga och personuppgiftsbiträden Företag/myndigheter i EU (och i viss mån även företag etablerade utanför EU)
3
Lagstiftningen EU-förordning – direkt tillämplig och gäller som lag
Syfte: Integritets- och dataskydd - Skydda grundläggande fri- och rättigheter Harmonisering - Möjliggöra ett fritt flöde av personuppgifter i EU
4
Tillåten personuppgiftsbehandling
Grundläggande krav – ändamålsbegränsning, uppgiftsminimering, lagringsminimering, ansvarsskyldighet Laglig grund – samtycke, avtalssituation, rättslig skyldighet, nödvändigt för liv och hälsa, myndighetsutövning, intresseavvägning Särskilda krav för ”känsliga personuppgifter” och för överföring av uppgifter utanför EU
5
Enskildas rättigheter
Klar och tydlig information – vid insamling av uppgifter Rätt till tillgång (information på begäran) Rätt till rättelse och radering (rätten att bli bortglömd) Rätt till dataportabilitet Rätt att motsätta sig personuppgiftsbehandling
6
Skyldigheter vid personuppgifts- behandling – vad är nytt?
Enligt PuL: Allmänna bestämmelser i 30-31§§ ”Lämpliga tekniska och organisatoriska åtgärder” Riktar sig till personuppgiftsansvariga Dataskyddsförordningen: Kapitel IV, artikel 24-42 Detaljerade bestämmelser – ansvarsskyldighet Riktar sig till både personuppgiftsansvariga och biträden
7
Ansvarsskyldighet (den personuppgiftsansvarige)
Åtgärder för att säkerställa och kunna visa att behandlingen sker enligt förordningen Nödvändiga skyddsåtgärder ska integreras i behandlingen – privacy by design, dataskydd som standard Godkända uppförandekoder eller godkända certifieringsmekanismer kan vara ett sätt att visa efterlevnad
8
Särskilda skyldigheter
Register över personuppgiftsbehandling Tekniska och organisatoriska säkerhetsåtgärder Konsekvensbedömning avseende dataskydd Förhandssamråd Anmälan av personuppgiftsincidenter Dataskyddsombud
9
Register över personuppgiftsbehandling
Både pua och pub ska föra skriftligt register över personuppgiftsbehandling (kan föras elektroniskt) Innehåll: Namn och kontaktuppgifter Ändamål med behandlingen (pua) Kategorier av mottagare (pua) Kategorier av behandling som utförts (pub) Överföring t tredje land Tekniska och organisatoriska säkerhetsåtgärder Registret ska på begäran göras tillgängligt för DI Undantag för SME:s om inte behandlingen omfattar känsliga uppgifter eller annars medför risker för enskildas rättigheter
10
Tekniska och organisatoriska säkerhetsåtgärder
Ska säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen T.ex. Pseudonymisering och kryptering Konfidentialitet, integritet, tillgänglighet och motståndskraft fortlöpande Kunna återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid en incident Förfarande för att testa, undersöka och utvärdera effektiviteten av säkerhetsåtgärderna Vid riskbedömningen ska särskild hänsyn tas till risker för: oavsiktlig eller olaglig förstöring förlust eller ändring av uppgifter obehörigt röjande eller obehörig åtkomst
11
Konsekvensbedömning avs dataskydd
Skyldighet att före behandlingen bedöma konsekvenser avs skyddet av personuppgifter (behov, proportionalitet, risker för registrerade mm) Behandling som kan innebära hög risk (särskilt pga användning av ny teknik, behandlingens art, omfattning, sammanhang och ändamål) T.ex. vid Systematisk bedömning av personliga aspekter Känsliga personuppgifter Systematisk övervakning (inkl. kameraövervakning)
12
Konsekvensbedömning forts.
Innehåll: Systematisk beskrivning av behandlingen Syftet med behandlingen Behov av att behandla uppgifter – proportionalitetsbedömning Ev risker för de registrerade Vilka åtgärder som ska vidtas för att hantera riskerna
13
Om konsekvensbedömning visar på höga risker – samråd med DI
Förhandssamråd Om konsekvensbedömning visar på höga risker – samråd med DI Svar inom 8 veckor
14
Anmälan av personuppgiftsincident
Definition: Säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av uppgifter eller till obehörigt röjande eller obehörig åtkomst Anmälan till DI ska ske inom 72 timmar från upptäckt Innehåll: Incidentens art, kategorier av och antal berörda registrerade, sannolika konsekvenser, vidtagna åtgärder Dokumentationsskyldighet Information till de registrerade – om hög risk Skyldighet för biträde att påpeka incident för den ansvarige
15
Dataskyddsombud Kan vara anställd eller anlitad på uppdrag
Obligatoriskt för: Myndigheter Kärnverksamhet där registrerade regelbundet och systematiskt övervakas Kärnverksamheten innebär behandling av känsliga uppgifter Kunskap om lagstiftning och praxis avseende dataskydd Självständig och oberoende ställning
16
Dataskyddsombud forts.
Uppgifter: Informera och ge råd om förordningens bestämmelser Övervaka efterlevnad av förordningen Ge råd om konsekvensbedömningen Samarbeta med DI Kontaktpunkt för DI och för registrerade
17
Personuppgiftsbiträden
Endast sådana som ger tillräckliga garantier får anlitas Underbiträden får endast anlitas om skriftligt tillstånd av pua Biträdesavtal (med specificerat innehåll) ”Anmälningsskyldighet” gentemot pua Får endast agera enligt instruktioner från pua Visst skadeståndsansvar
18
Tillsynsmyndigheter m.m.
Nationell tillsynsmyndighet Enhetlighetsmekanism – European Data Protection Board One-stop-shop
19
Sanktionsavgifter DI kan utdöma sanktionsavgifter på
< 10 milj. € eller 2 % av global omsättning (brott mot skyldigheter ifråga om säkerhetsåtgärder, incidentanmälan, konsekvensbedömning m.m.) < 20 milj. € eller 4 % av global omsättning (brott mot grundläggande principer, laglig grund, registrerades rättigheter, DI:s beslut m.m.)
Liknande presentationer
© 2024 SlidePlayer.se Inc.
All rights reserved.