GDPR - Den nya dataskyddsförordningen

© IRM AB All rights reserved

Frukostmöte 15 februari 2017GDPR

den nya dataskyddsförordningen

Nicole Norrestad – Dataskyddsombud SverigeUlla Åkerman ‐ IRM

AGENDA

Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039

HISTORIK

GRUNDER

REGISTRERADES RÄTTIGHETER

PERSONUPPGIFTSANSVARIG

PERSONUPPGIFTSBITRÄDE

SANKTIONER6

BAKGRUND1

2

3

4

5

OM DATASKYDDS‐FÖRORDNINEGN

VIKTIGASTE FÖRÄNDRINGAR

TERRITORIELL TILLÄMPIGHET

PRINCIPER LAGLIG GRUND SÄRSKILDA UPPGIFTER

DOMAR I BROTTMÅL

INFORMATION RÄTTELSE RADERING PORTABILITET

INCIDENTER REGISTER‐FÖRTECKNINGAR

KONSEKVENS‐BEDÖMNING

DATASKYDDS‐OMBUD

DEFINITIONEGET

ANSVARAVTAL

SKADETÅND ADMINISTRATIVA SANKTIONER

SÄKERHETS‐ÅTGÄRDER

MISSBRUKS‐REGELN

DEFINITIONER

HISTORIKBAKGRUND1 OM DATASKYDDS‐FÖRORDNINEGN



GRUNDER




SANKTIONER6

2

3

4

5


DOMAR I BROTTMÅL




DATASKYDDS‐OMBUD

DEFINITIONEGET

ANSVARAVTAL



MISSBRUKS‐REGELN

DEFINITIONER

Dataskyddsombud Sverige AB

Historik Grundare och medarbetare Tjänsteområden

Analys och Projektledning Utbildningar IT‐rätt (Persuppgiftsbiträdesavtal) IT‐säkerhet Dataskyddsombud Rekrytering och bemanning

Varför välja oss?


Kursens syfte och mål

Nyheter medkommande Dataskyddsförordningen Olika typer av personuppgifter Grundläggande krav och laglig grund för behandling Den registrerades rättigheter Den personuppgiftsansvariges ansvar/skyldigheter Personuppgiftsbiträden Sanktioner


Historik


1973Datalagen

1995Dataskyddsdirektivet

1998Personuppgiftslagen

2007Uppdaterad

Personuppgiftslag

April 2016General Data Protection

Regulation ‐ GDPR

Januari 2012 Kommissionens förslag till dataskyddsförordning

Maj 2018GDPR träder i kraft

1973Datainspektionen

Dataskyddförordningen


Antogs den 24 maj 2016, tillämpligt från den 25 maj 2018.

Generell förordning som kommer att gälla lika i alla EES‐länder.

Förordning är tillskillnad från direktiv direkt tillämplig i varje medlemsland

Förordningen tillåter dock varje enskilt medlemsland ett visst mått av egen

lagstiftning.



Ersätter tidigare Dataskyddsdirektivet (95/46/EC) och uppdaterar

Personuppgiftslagen (PuL)

Förordningen är att anse som Lex Generalis.

99 artiklar och 173 skäl. Jmfr PuL 53 paragrafer.

Stadfäster mycket av det vi redan ansett utgöra praxis.



Regeringen har tillsatt en utredning som ska redovisa uppdraget senast den

12 maj 2017. (Kommittédirektiv 2016:15)

Undersöka vilka kompletterande nationella föreskrifter som förordningen kräver.

Analysera vilka bestämmelser om administrativa sanktionsavgifter och andra sanktioner

som Sverige behöver eller bör införa.

Undersöka om det finns behov av generella bestämmelser för

personuppgiftsbehandling utanför EU‐rättens tillämpningsområde.

När rapporten kommer, blir det tydligare vad som kommer att gälla i Sverige.



Aktivt ansvar för personuppgiftsansvariga

Ansvar även för personuppgiftsbiträden

Incidentrapportering Ökade krav på information till

registrerade Inbyggt dataskydd Konsekvensbedömningar

Dataskyddsombud Missbruksregeln försvinner Ökade sanktioner och

skadestånd till registrerade Dataportabilitet Ökat skydd för barn Pseudonymisering



Tillämplig på helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling om personuppgifterna ingår i eller kommer att ingå i ett register.

Personuppgifter som inte är ordnade enligt särskilda kriterier omfattas inte av GDPR.

Gäller endast personer i livet (samma som PuL).

Territoriell tillämplighet


Utökat territoriellt tillämpningsområde

Behandlingen utförs av personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte.

Behandling av personuppgifter som avser registrerade som befinner sig i unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen, om behandlingen har anknytning till: utbjudande av varor eller tjänster till sådana registrerade i unionen övervakning av registrerades beteende

Personuppgifter


Personuppgiftslagen All slags information som direkt eller indirekt kan hänföras till en

fysisk person som är i livet.

Dataskyddsförordningen Varje upplysning som avser en identifierad eller identifierbar fysisk

person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Behandling


Behandling (enligt Dataskyddsförordningen)

En åtgärd eller kombination av åtgärder beträffandepersonuppgifter eller uppsättningar av personuppgifter,oberoende av om de utförs automatiserat eller ej, såsominsamling, registrering, organisering, strukturering, lagring,bearbetning eller ändring, framtagning, läsning, användning,utlämning genom överföring, spridning eller tillhandahållande påannat sätt, justering eller sammanförande, begränsning, raderingeller förstöring,

Missbruksregeln


Enligt PuL behöver stora delar av lagens bestämmelser behöver inte tillämpas på behandling av personuppgifter som finns ostrukturerat material så länge behandlingen inte innebär en kränkning av den personliga integriteten

Ostrukturerat material är: ”Personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter.”

Missbruksregeln kommer att försvinna med Dataskyddsförordningen!

Missbruksregeln


Ingår i eller är avsedda att ingå i en samling av personuppgifter Undantaget är tillämpligt på personuppgifter som inte ingår i eller är tänkta att ingå i en

samling av personuppgifter

Personuppgiftsanknuten struktur: Undantaget tillämpligt på personuppgifterna som inte har strukturerats utifrån just

personuppgifter Undantaget är tillämpligt om struktureringen skett utifrån t.ex. datum och klockslag. Undantaget kan tillämpas även om det det går att sammanställa indexerade

personuppgifter om detta inte gjorts.

Påtagligt underlätta sökningen eller sammanställning av personuppgifter: Undantaget är tillämpligt om strukturen inte uppnått viss nivå eller kvalitet Namn i bokstavsordning omfattas av undantaget Lista på personuppgifter måste vara statisk för att undantaget ska vara tillämpligt.

Missbruksregeln


Delar av PuL som inte behöver tillämpas på ostrukturerat material: 9 § Grundläggande krav på behandling 10§ När behandling är tillåten 13 § Förbud mot behandling av känsliga uppgifter 21 § Förbud mot andra än myndigheter att behandla uppgifter om brott 22 § Restriktioner vid behandling av personnummer 23 och 24 §§ om information till den registrerade 26 § registerutdrag 28 § om rättelse 33 § om överföring av personuppgifter till tredje land 42 § upplysningar till allmänheten om behandlingar som inte anmälts till TSM

Missbruksregeln


Undantaget bara aktuellt på automatiserad behandling eftersom manuell behandling av personuppgifter omfattas av PuL endast om de ingår i ett register.

Följande typer av personuppgifter, vilka nu anses som ostrukturerat material, kan komma att omfattas av GDPR. Enkla listor med personuppgifter (tidigare okvalificerade) Publicering av löpande text på Internet (ej strukturerade) Användning av ljud‐ och bildupptagningar (ej strukturerade) Vanlig användning av datorns filsystem (t.ex. namngivning av mappar) Vanlig användning av datorstödd kommunikation (t.ex. enskild medarbetares egen

användning av e‐postprogram för kommunikation) Facebook och Twitter

Kränkning


Trots undantaget gäller att behandling av personuppgifter inte får innebära en kräkning av den registrerades integritet:

Att samla personuppgifter för att förfölja eller skandalisera en person. Att samla en stor mängd uppgifter om en person utan något godtagbart skäl. Att medvetet behandla uppgifter som är klart felaktiga eller missvisande. Att sprida uppgifter som innebär förtal eller förolämpning. Att sprida personuppgifter som innebär att man bryter mot författningsregler och

andra regler som föreskriver tystnadsplikt.

Missbruksregeln kommer att försvinna med Dataskyddsförordningen.

DEFINITIONERHISTORIKBAKGRUND1 OM DATASKYDDS‐FÖRORDNINEGN



GRUNDER




SANKTIONER6

2

3

4

5


DOMAR I BROTTMÅL




DATASKYDDS‐OMBUD

DEFINITIONEGET

ANSVARAVTAL



MISSBRUKS‐REGELN

Integritetstrappan


Tillåten behandling

Känsliga uppgifter

Personnummer Uppgifter om brott

Grundläggande krav

Överföring till 3:e land

Information och registrerades rättigheter

Behandlingen ska vara Laglig (ej olaglig telefonavlyssning, inbrott. Korrekt och i enlighet med god sed (branschorganisationer och interna regler) Ej lämnas till annan i vetskap om att uppgiftera inte kommer att behandlas korrekt

Ändamålen Särskilda (ej alltför allmänna) , uttryckligt angivna och berättigade ej behandla för ändamål som är oförenligt med ursprungliga ändamålet

Uppgifterna adekvata, relevanta, riktiga och aktuella inte fler än nödvändigt får ej bevaras längre än nödvändigt

Grundläggande principer


Grundläggande principer


Integritet och konfidentialitet behandlas på ett sätt som säkerställer lämplig säkerhet för

personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder

Ansvarsskyldighet Utökning av ansvarsskyldigheten består i att det är den

personuppgiftsansvarige som ska ansvara för och kunna visa att principerna efterlevs.

Samtycke eller nödvändigt för a) att fullgöra ett avtal b) att tillvarata, försvara eller göra gällande en rättslig skyldighet c) skydda vitala intressen för den registrerade d) arbetsuppgift av allmänt intresse e) myndighetsutövning, eller efter en f) intresseavvägning

Tillåten behandling


1. Samtycke


Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne.

Nyheter med Dataskyddsförordningen Inte längre tillräckligt med ”passivt samtycke” = förkryssade boxar. Kräver en aktiv handling, passivitet godtas inte – tänk kreativt! Måste samtycka specifikt till just den typen av behandling Samtycke får inte ställas som villkor för att få tjänster som inte kräver behandling

tjänstens ändamål. Spara samtycket – datum och text Ska var lika enkelt återkalla samtycke som att de. Kräver tekniska lösningar.

2. Fullgöra avtal


Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

Ex. Anställningsavtal, hyreskontrakt, köpeavtal Ex. Offerter, Ansökningar etc. som föregår ett avtal

Behöver inte vara skriftligt avtal

3. Fullgöra rättslig förpliktelse


Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

Ex att rapportera löner och skatter Rapportera frånvaro i skolan Att bevara uppgifter om konton och transaktioner

4. Skydda grundläggande intressen


Behandlingen är nödvändig för att skydda intressen som är av grundläggande (vital) betydelse för den registrerade eller för en annan fysisk person.

Ex kontakta berörda i händelse av brand Återkalla felaktiga konsumentvaror Kontakt med anhöriga vid akut sjukdom och olyckor. Utlämnande av läkemedelsförteckning till föreskrivare när samtycke inte

kan ges.

Tidigare vitala intressen, nu grundläggande – Skillnad?

5. Arbetsuppgift av allmänt intresse eller led i myndighetsutövning


Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Kommer att kräva stöd i lag eller förordning

Tidigare gällde att med allmänt intresse avsågs t.ex. Arbetsmarknadsparternas framställande av lönestatistik Bevarande för framtiden om arbetarrörelsen, föreningslivets och näringslivets

verksamhet, Statistik över deltagare i större idrottsevenemang

Oklart vad som kommer att gälla enligt Dataskyddsförordningen.

6. Intresseavvägningen


Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Den personuppgiftsansvarige bedömer vad som utgör ett berättigat intresse.

Personuppgiftsansvariga som nyttjar berättigande intresse ska hålla registeröver de överväganden de gjort så de kan påvisa att de tagit tillräcklig hänsyn till rättigheter och friheter för de personer vars uppgifter behandlas.

6. Intresseavvägningen


Datainspektionen kan fatta beslut som kan överklagas till domstol. Här tillmäts den registrerades åsikt stor betydelse.

Gäller inte för offentliga myndigheter när de utför myndighetsutövning.

Särskilda kategorier av uppgifter


Känsliga uppgifter enligt PuL. Uppgifter som avslöjar

ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening hälsa, sexualliv och sexuell läggning genetiska och biometriska uppgifter

Huvudregeln är att behandling av dessa uppgifter är förbjuden.

Det finns dock många undantag.

Undantag mot förbudet


Undantag

Samtycke, uttryckligt (om inte lagstiftning säger att samtycke inte gäller)

Skyldigheter och rättigheter inom arbetsrätten, social trygghet och socialt skydd.

Skydda den registrerades eller någon annans grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge samtycke

Stiftelse, förening, ej vinstdrivande organ (politiskt, filosofiskt, religiöst eller fackligt syfte)

Tydligt eget offentliggörande

Undantag mot förbudet


Undantag från förbudet (forts.)

Fastslå, göra gällande eller försvara rättsliga anspråk

Fullgörande av arbetsuppgift i ett viktigt allmänt intresse på grundval av lag

Förebyggande hälso‐ och sjukvård, bedömning av arbetskapacitet, diagnoser, hälso‐och sjukvård, social omsorg (inklusive administration)

Allmänt intresse på folkhälsoområdet

Arkiveringsändamål för historiska, statistiska eller vetenskapliga forskningsändamål

Uppgifter om brott


Fällande domar i brottmål och därmed sammanhängande säkerhetsåtgärder får endast behandlas under kontroll av myndighet.

Även myndigheter måste dock följa grundläggande principer för behandling samt säkerställa at behandlingen är laglig.

Datainspektionen har meddelat föreskrifter om undantag. Dessa måste anpassas till Förordningen.

Uppgifter om brott


Undantag i DIFS 2010:1, bl.a. om behandlingen är nödvändig för att fullgöra en föreskrift på

socialtjänstområdet, friskolors elevvårdande verksamhet advokatverksamhet whistleblowing enstaka uppgifter för:

fastställande av rättsliga anspråk anmälningsskyldighet enligt lag

Personnummer


Får bara behandlas med samtycke, eller om det är klartmotiverat med hänsyn till: ändamålet med behandlingen vikten av en säker identifiering något annat beaktansvärt skäl

Gäller till exempel för: Sjukvård Banker och försäkringsbolag

Får beslutas av nationell rätt.




GRUNDER




SANKTIONER6

2

3

4

5


DOMAR I BROTTMÅL




DATASKYDDS‐OMBUD

DEFINITIONEGET

ANSVARAVTAL



MISSBRUKS‐REGELN

Den registrerades rätt till information


Vid den registrerades begäran, ska information tillhandahållas den registrerade om alla åtgärder som vidtagits med anledning av den registrerades kommunikation med personuppgiftsansvarig. Det kan handla om:

Rättelse Radering Begränsning Anmälningsskyldighet Dataportabilitet Invändningar Profilering



Vid den registrerades begäran, ska information tillhandahållas den registrerade om alla åtgärder som vidtagits med anledning av den registrerades kommunikation med personuppgiftsansvarig. Det kan handla om:

Rättelse Radering Begränsning Anmälningsskyldighet Dataportabilitet Invändningar Profilering



Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade1. Identitet på den personuppgiftsansvarige samt dennes kontaktuppgifter2. Kontaktuppgifter till dataskyddsombud3. Ändamålet med behandlingen samt rättslig grund4. Berättigade intressen (vilka intressen behandlingen grundar sig på)5. Eventuella mottagare av uppgifterna6. Överföring till tredjeland samt skyddsnivå för detta7. Lagringsperioden och kriterier för fastställande av perioden8. Rätt till registerutdrag, rättelse, radering, begränsning, uppgiftsportabilitet och att invända mot behandlingen 9. Rätt att återkalla samtycke10. Rätt att inge klagomål till tillsynsmyndigheten11. Om insamlandet av uppgifterna är ett lagkrav eller krav enligt avtal12. Förekomst av profilering samt logiken bakom denna samt förutsedda följder

Informationen ska ämnas när personuppgifterna erhålls



Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade utan från någon annan1. Identitet på den personuppgiftsansvarige samt dennes kontaktuppgifter2. Kontaktuppgifter till dataskyddsombud3. Ändamålet med behandlingen samt laglig grund4. Kategorier av uppgifter 5. Eventuella mottagare av uppgifterna6. Överföring till tredjeland samt skyddsnivå för detta7. Lagringsperioden och kriterier för fastställande av perioden8. Berättigade intressen (vilka intressen behandlingen grundar sig på)9. Rätt till registerutdrag, rättelse, radering, begränsning, uppgiftsportabilitet och att invända mot behandlingen 10. Rätt att återkalla samtycke11. Rätt att inge klagomål till tillsynsmyndigheten12. Varifrån uppgifterna kommer samt om ursprunget är allmänna) källor13. Förekomst av profilering samt logiken bakom denna samt förutsedda följder



Om uppgifter samlats in från annan, ska information lämnas senast inom en månad efter det att uppgifterna erhållits, eller vid den tidpunkt när man kommunicerar med den registrerade, eller om uppgifterna ska lämnas ut till annan, senast när uppgifterna lämnas

ut första gången.

Information behöver inte lämnas i bl.a. följande fall den registrerade redan förfogar över informationen omöjligt eller oproportionell ansträngning

Registerutdrag


Den registrerade har rätt att få bekräftelse på om personuppgifter behandlas och isf. tillgång till uppgifterna samt följande information. Ändamålen med behandlingen Mottagare eller kategorier av mottagare Lagringsperiod eller principer för fastställande Rätt till registerutdrag, rättelse, radering, begränsning,

uppgiftsportabilitet och att invända mot behandlingen Rätt att ingen klagomål till Datainspektionen Varifrån uppgifterna samlats in Förekomst av profilering samt logiken bakom denna samt förutsedda

följder

Rättelse


Rätt att få felaktiga uppgifter rättade

Rätt att få inkompletta uppgifter kompletterade

Självklarhet, eftersom felaktiga uppgifter inte får behandlas.

Radering‐ Rätt att bli bortglömd


Rätt att erhålla radering av uppgifter utan onödigt dröjsmål bl.a. om:

uppgifterna inte längre behövs för det ändamål för vilka de samlades in uppgifterna behandlats olagligt den registrerade återkallar samtycke i vissa fall invänder mot behandlingen av uppgifter (även profilering) invänder mot behandling av uppgifter för direkt marknadsföring

Undantag finns (se artikel 17.3)

Radering‐ Rätt att bli bortglömd


Om uppgifterna ska raderas och de har offentliggjorts ska andra personuppgiftsansvariga som behandlar uppgifterna underrättas och eventuella länkar till eller kopior av uppgifterna raderas (undantag finns, se art. 17.3)

Mycket svårt i praktiken att radera uppgifter då många IT‐system inte stödjer detta. Alternativen måste tills vidare kanske bli anonymisering så att det inte längre är möjligt att identifiera den registrerade så att avsikten med Förordningen uppnås.

Radering av loggar?

Dataportabilitet


Rätt för den registrerade att ”ta med sig” personuppgifter om sig själv för att antingen spara dem för eget bruk eller överföra dem till en annan personuppgiftsansvarig.

Kan t.ex. handla om information om köpmönster enligt lojalitetsprogran, kontaktlistor eller spelade låtar enligt spellistor.

Rätt för den registrerade att få uppgifterna överförda: 1. Direkt till den registrerade 2. Direkt till den andra personuppgiftsansvarige 3. Direkt till mellanlagrande part

Dataportabilitet


Gäller när grunden för behandlingen är: Samtycke Avtal mellan den registrerade och personuppgiftsansvarig.

Gäller endast automatiserad behandling – ej manuell behandling på papper

Vilken information gäller rätten? Personuppgifter som rör den registrerade själv. (Ej läggas till grund för att inte föra över

uppgifter att om personuppgifter tillhörande andra förekommer) Personuppgifter som den registrerade har tillhandahållit själv. Personuppgifter som generats genom den registrerades handlingar och aktiviteter.




GRUNDER




SANKTIONER6

2

3

4

5


DOMAR I BROTTMÅL




DATASKYDDS‐OMBUD

DEFINITIONEGET

ANSVARAVTAL



MISSBRUKS‐REGELN

Personuppgiftsincidenter


Personuppgiftsansvarig ska anmäla till tillsynsmyndigheten utan onödigt dröjsmål (inom 72 timmar efter vetskap om händelsen).

Personuppgiftsbiträde ska informera den personuppgiftsansvarige omedelbart.

Anmälan till tillsynsmyndigheten ska åtminstone: beskriva personuppgiftsincidentens art beskriva kategorier och ungefärligt antal registrerade, kategorier av och ungefärligt antal

uppgiftsposter förmedla kontaktuppgifter för dataskyddsombudet beskriva de sannolika konsekvenserna beskriva föreslagna eller vidtagna åtgärder

Personuppgiftsincidenter


Den registrerade ska som huvudregel informeras om det föreligger hög risk för enskildas rättigheter och friheter t.ex:

att den enskilde förlorar kontrollen över sina uppgifter att hans eller hennes rättigheterna inskränks att den registrerade utsätts för diskriminering, identitetsstöld eller

bedrägeri att den registrerade råkar ut för finansiell förlust, skadlig

ryktesspridning, brott mot sekretess eller tystnadsplikt.

Personuppgiftsincidenten ska dokumenteras så att Datainspektionen kan kontrollera efterlevnad

Registerförteckningar


Personuppgiftsansvarig och eventuella företrädare ska föra ett register över behandlingar av personuppgifter

Följande uppgifter ska dokumenteras a) namn och kontaktuppgifter för personuppgiftsansvarig, ev.

företrädare och ev. dataskyddsombud b) ändamålen med behandlingen c) kategorier av registrerade och kategorier av personuppgifter d) kategorier av mottagare e) ev. överföring till tredjeland samt dokumentation av skyddsåtgärder f) tidsfrist för radering (om möjligt) g) tekniska och organisatoriska säkerhetsåtgärder



Personuppgiftsbiträde och eventuella företrädare ska föra ett register över behandlingar av personuppgifter

Följande uppgifter ska dokumenteras a) namn och kontaktuppgifter för personuppgiftsbiträdet och

personuppgiftsansvarig som personuppgiftsbiträdet arbetar för och ev. dataskyddsombud

b) kategorier av behandlingar som utförs för resp. personuppgiftsansvarig

c) ev. överföring till tredjeland samt dokumentation av skyddsåtgärder d) tekniska och organisatoriska säkerhetsåtgärder



Företag som sysselsätter färre än 250 personer behöver inte upprätta registerförteckning om inte:

Behandlingen sannolikt kommer att medföra en risk för registrerades rättigheter och friheter,

Behandlingen inte är tillfällig

Behandlingen omfattar särskilda kategorier av uppgifter eller fällande domar i brottmål eller överträdelser.

Konsekvensbedömningar


Om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. Särskilt vid:

Systematisk och omfattande bedömning av personer Behandling i stor omfattning Systematiska övervakning av allmän plats i stor omfattning

Dataskyddsombudet ska rådfrågas

Konsekvensbedömningar


Bedömningen ska bl.a. innehålla:

beskrivning av och ändamålet med behandlingen utvärdering av risk för registrerads rättigheter och friheter åtgärder som planeras för att hantera riskerna

Om möjligt inhämta synpunkter från de registrerade eller deras företrädare

Förhandssamråd med Datainspektionen om bedömningen visar hög risk

Dataskyddsombud


Personuppgiftsansvarig och personuppgiftbiträde måste ha ett Dataskyddsombud om:

Myndighet alt. offentligt organ, ej domstolar. Praxis att utse Dataskyddsombud även om ”myndighetsliknande” verksamhet.

Kärnverksamheten är behandling som regelbunden övervakning i stor omfattning Kärnverksamheten är behandling av känsliga uppgifter i stor omfattning

Om det inte är uppenbart att en Dataskyddsombud inte behövs, bör företag göra en analys av detta.

Om en Dataskyddsombud utses på frivillig basis, gäller samma krav som om det hade varit tvingande.

Dataskyddsombud


Dataskyddsombudet har följande uppgifter: Informera och ge råd till personuppgiftsansvarig, personuppgiftsbiträde och

registrerade avseende behandling av personuppgifter.

Övervaka efterlevnaden av Förordningen

Ge råd avseende konsekvensbedömningen

Samarbeta med Datainspektionen

Kontaktpunkt med Datainspektionen

Registerförteckningar Tidigare Personuppgiftsombudets ansvar Ny den personuppgiftsansvariges ansvar – tas dock ofta ändå av Dataskyddsombudet

Säkerhet vid behandlingen


Vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Pseudonymisering och kryptering

Konfidentialitet, integritet, tillgänglighet och motståndskraft hos systemen och tjänster

Återställning vid incident

Löpande testa och utvärdera effektiviteten

Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför: oavsiktlig eller olaglig förstöring,

förlust eller ändring

obehörigt röjande av eller obehörig åtkomst

Säkerhet vid behandlingen


Privacy by design and privacy by default Genomföra lämpliga tekniska och organisatoriska åtgärder för att endast de

personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med avseende på: antal insamlade uppgifter

behandlingens omfattning

tiden för lagring

uppgifternas tillgänglighet

att de inte görs tillgängliga för obegränsat antal enskilda

Ska genomsyra alla beslut om behandling




GRUNDER




SANKTIONER6

2

3

4

5


DOMAR I BROTTMÅL




DATASKYDDS‐OMBUD

DEFINITIONEGET

ANSVARAVTAL



MISSBRUKS‐REGELN

Personuppgiftsbiträden


Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Exempel: Leverantörer av lönesystem

Förmedlare

Molntjänster

Arkiveringstjänster

Konsulter inom olika tjänstesektorer

Personuppgiftsansvarig och personuppgiftsbiträde ska skriftligen dokumentera instruktioner och skyldigheter

Eget ansvar


Personuppgiftsbiträdet har eget ansvar för behandlingen och ska bland annat för egen del:

Upprätthålla tillräckliga organisatoriska och säkerhetsmässiga lösningar. Utföra riskanalyser Upprätta registerförteckningar Utse Dataskyddsombud

Analysera hur man följer Förordningen och kunna redovisa detta

Kan också drabbas av sanktioner

Avtal mellan parterna


Det ska finnas ett skriftligt avtal mellan personuppgiftsansvarig och personuppgiftsbiträdet som särskilt ska ange:

föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, personuppgiftsansvariges skyldigheter och rättigheter anges

Personuppgiftsbiträdet måste ställa tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder för att uppfylla Förordningen och skydda den registrerades rättigheter.

Avtal mellan parterna


Avtalet ska även reglera att personuppgiftsansvarig: endast får behandla personuppgifter på dokumenterade instruktioner från den

personuppgiftsansvarige, säkerställer att de personer som behandlar personuppgifter har åtagit sig att iaktta

konfidentialitet eller omfattas lagstadgad tystnadsplikt ska vidta alla i Förordningen angivna säkerhetsåtgärder säkerställer att eventuella underleverantörer inte får anlita underleverantörer utan tillstånd samt

att avtal finns med dessa i alla led. hjälpa personuppgiftsansvarig med tekniska åtgärder för att kunna svara på förfrågan om

registerutdrag. hjälpa personuppgiftsansvarig med att säkerställa att ansvar för säkerhetsåtgärder,

personuppgiftsincidenter, konsekvensbedömningar och förhandssamråd kan utföras. radera eller återlämna alla personuppgifter till den personuppgiftsansvarige vid avtalets

upphörande ska ge den personuppgiftsansvarige tillgång till all information som krävs, inkl att acceptera att

revisioner av verksamheten görs.




GRUNDER




SANKTIONER6

2

3

4

5


DOMAR I BROTTMÅL




DATASKYDDS‐OMBUD

DEFINITIONEGET

ANSVARAVTAL



MISSBRUKS‐REGELN

Sanktioner


Den personuppgiftsansvarige och personuppgiftsbiträdet kan drabbas av sanktioner för brott mot Förordningen:

upp till 10 miljoner euro eller 2 % av globala årsomsättningen (beroende på vad som är högst) bl.a. om inget dataskyddsombud ingen registerförteckning ingen konsekvensbedömning

upp till 20 miljoner euro eller 4 % av globala årsomsättningen (beroende på vad som är högst) bl.a. om behandlar personuppgifter fast det inte är tillåtet känsliga personuppgifter fast man inte får inte lämnar information som krävs

Sanktioner


Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit.

Om överträdelsen skett med uppsåt eller genom oaktsamhet.

De åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet har vidtagit för att lindra den skada som de registrerade har lidit.

Genomförda säkerhetsåtgärder och ansvarsfördelning mellan den personuppgiftsansvarige eller personuppgiftsbiträdet

Eventuella relevanta tidigare överträdelser

Sanktioner


Graden av samarbete med tillsynsmyndigheten

De kategorier av personuppgifter som påverkas av överträdelsen.

Det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom

Icke efterlevnad av uppmaning att korrigera åtgärder

Tillämpandet av godkända uppförandekoder eller godkända certifieringsmekanismer

Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen

Vad ska man göra nu?


Få styrelse och lednings uppmärksamhet om att detta är viktigt.

Analysera om ni behöver utse ett Dataskyddsombud.

Utbilda verksamheten om personuppgiftsfrågor.

Upprätta interna styrdokument för dataskydd.

Säkerställ att information till registrerade är korrekt.

Analysera om ni förlitar er på missbruksregeln

Vad ska man göra nu?


Om behandlingen grundar sig på samtycke, säkerställ att dessa är korrekt givna.

Upprätta registerförteckningar.

Säkerställ ni kan efterkomma den registrerades förfrågan om information, registerutdrag, dataportabilitet etc.

Se över personuppgiftsbiträdesavtal –Omförhandla avtalen.

Analysera om ni själva är personuppgiftsbiträden.


Så – vad gör man nu?


Analysera förmågor, system, integrration..


Informationsmodell


Karta över verksamhetsförmågor, informationssystem och integrationer


Kund t_Kund

fysisk person eller organisation i roll som kund hos ett förlag

KunderFysiska personer eller organisationer i roll som kund hos ett förlag

Förlagsenhett_Agare

förlag (eller del av förlag) som äger kunder och

information

Förlag

Kunduppgift hos förlagsenhett_KundAgare

kunduppgift hos viss förlagsenhet

Kunduppgift hos förlagt_KundUppgifterPerForlag

kunduppgift hos ett visst förlag

Förlagt_Forlag

förlag

Kampanjt_Kampanj

ett antal erbjudanden som hålls samman som en enhet

KampanjerSamlingar av erbjudanden till kunder om prenumerationer

Erbjudandet_Erbjudande

ett antal titlar som som erbjuds som ett paket

Erbjudanden En samling titlar som erbjudas som en enhet till kunder att avtala om

Titelt_Titel

tidskriftstitel för prenumeration

Huvudtitel

Prenumerationt_Abonnemang

arrangemang för kund för distribution av ett antal

utgåvor av en titel Kampanj

Erbjudande

Kampanjsplitt_KampanjSplitKod

identifierad del av kampanj som skiljer ut vissa

kampanjaktiviteter från andra

Kampanjsplit

Prenumerationsavtalt_Avtal

avtal mellan kund och förlag om prenumeration

Titel i prenumerationsavtalt_AvtalTitel

detalj i prenumerationsavtal som avser specifik titel

Erbjudandetitelt_ErbjudandeTitel

titel i erbjudande

Titel

Erbjudandetitel

Utgåvat_Utgava

utgåva av en titel

Utgåva tom

Utgåva from

Detaljrad för utgåva i prenumerationsavtalt_AvtalTitelUtgava

detalj i prenumerationsavtal som avser specifik utgåva av

en titel

Utgåva

Prenumerationer

Mottagare

Titelsortiment Tidskriftstitlar och utgåvor för prenumeration

Betalare

DistributörerDistributör t_Distributor

part som distribuerar titlar, artiklar och/eller avier

Distributionsgruppt_DistributionGrupp

De uppgifter som behövs för en distributör för distribution av en titel

Titel

Postdistributör t_PostDistributor

part som distribuerar postförsändelser

Postdistributörsområdet_PostDistributorOmrade

geografiskt område för postdistribution, definierat av

postdistributör

Postdistributörs‐delområde t_PostDistributorDelOmrade

postnummerserie, definierad av postdistributör för postdistribution

Postdistributörer

Distributionsarrangemang för titel

Leverans av utgåva i avtalt_AvtalTitelUtgavaLev

utförd leverans av utgåva av titel i ett prenumerationsavtal

Utgåva i prenumerations‐

avtal

Leverans av utgåva i avtal Aviseringsarrangemang

t_Faktura

arrangemang för aviseringav en betalare för en eller flera prenumerationer

Återbetalning till kundÅterbetalning till kund

t_Aterbetalning

Betalningsavit_Avi

meddelande till kund om vad som ska betalas

Betalningsaviradt_AviRad

specificering av delbelopp på betalningsavi

Titel på betalningsavit_AviTitel

faktat att en titel förekommer på en

betalningsavi Titel

Betalning från kund

Betalningt_Betalning

bokförd prenumerations‐inbetalning från kund

Kreditering av betalningsavi

t_Kredit

Betalning som ännu inte är faktureradt_Forskott

prenumerationsinbetalning från kund som ska faktureras i efterskott

Titel

Inbetalare

Kundreskontrapost t_Reskontra

postering i kundreskontra

Kreditering avinbetalningsavi

Fakturamottagare

Huvudtitel – titelnummer

Prenumerationsavtal

Titel i prenumerationsavtal

Prenumerationshändelse

Prenumerations‐ händelse

Prenumerations‐avtal

Betalningsavisering

Kund

Prenumerationshändelse t_AbonnemangHandelse

händelse som har skett, och/eller i vissa fall ska ske, för en viss prenumeration

Huvudtitel

Kundreskontra

Parter

Konfigu‐rering av utbud och

tjänster

Drift

Förlag, förlagens utbud och beställningar

Kunder och förlagens arrangemang med

kunder Distribution Betalningshantering

Betalnings‐händelser

Bokföring av betalnings‐händelser

Distributionshändelser

Huvuderbjudande

Erbjudande

Prenumerationsavtal

Erbjudande i kampanng t_Kampanj

Erbjudande

Prenumerations‐beställningar

Prenumerationsbeställningsfil t_Beställningsfil

fil som vi tar emot från extern part, med beställningar av

prenumerationer

Kundpost i filpost prenumerationsbeställningsfil

t_BeställningsfilKundinfo

kundpost i en filpost i prenumerationsbeställningsfil,

motsvarande en kundroll (prenumerationsmottagare eller separat prenumerationsbetalare)

Registrerad kund

Beställningspost prenumerationsbeställningsfil

t_Beställningsfilrad

Filpost i prenumerationsbeställningsfil,

motsvarande en prenumerationsbeställning

Registrerad prenumeration

Förnyelseunderlag

Förnyelseunderlagt_FornyelseUnderlag

förfrågan till betalande kund om vilka

prenumerationer som ska förnyas

Betalare Huvudtitel

Från prenumerationsavtal Från avtalstitel

Nytt erbjudande

Nytt erbjudande – Erbudandetitel

Titel

Beställnings‐ och förnyelsehämdelser

Informationsmodell ‐översikt


Informationsmodell –detalj


TACK!!

Nicole Norrestad Ulla ÅkermanDataskyddsombud Sverige AB IRM ABNicole.dattaskyddsombud.com [email protected]‐431650 0730‐511 112

Business

GDPR - Den nya dataskyddsförordningen