View
20
Download
5
Embed Size (px)
Citation preview
© IRM AB All rights reserved
Frukostmöte 15 februari 2017GDPR
den nya dataskyddsförordningen
Nicole Norrestad – Dataskyddsombud SverigeUlla Åkerman ‐ IRM
AGENDA
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
HISTORIK
GRUNDER
REGISTRERADES RÄTTIGHETER
PERSONUPPGIFTSANSVARIG
PERSONUPPGIFTSBITRÄDE
SANKTIONER6
BAKGRUND1
2
3
4
5
OM DATASKYDDS‐FÖRORDNINEGN
VIKTIGASTE FÖRÄNDRINGAR
TERRITORIELL TILLÄMPIGHET
PRINCIPER LAGLIG GRUND SÄRSKILDA UPPGIFTER
DOMAR I BROTTMÅL
INFORMATION RÄTTELSE RADERING PORTABILITET
INCIDENTER REGISTER‐FÖRTECKNINGAR
KONSEKVENS‐BEDÖMNING
DATASKYDDS‐OMBUD
DEFINITIONEGET
ANSVARAVTAL
SKADETÅND ADMINISTRATIVA SANKTIONER
SÄKERHETS‐ÅTGÄRDER
MISSBRUKS‐REGELN
DEFINITIONER
HISTORIKBAKGRUND1 OM DATASKYDDS‐FÖRORDNINEGN
VIKTIGASTE FÖRÄNDRINGAR
TERRITORIELL TILLÄMPIGHET
GRUNDER
REGISTRERADES RÄTTIGHETER
PERSONUPPGIFTSANSVARIG
PERSONUPPGIFTSBITRÄDE
SANKTIONER6
2
3
4
5
PRINCIPER LAGLIG GRUND SÄRSKILDA UPPGIFTER
DOMAR I BROTTMÅL
INFORMATION RÄTTELSE RADERING PORTABILITET
INCIDENTER REGISTER‐FÖRTECKNINGAR
KONSEKVENS‐BEDÖMNING
DATASKYDDS‐OMBUD
DEFINITIONEGET
ANSVARAVTAL
SKADETÅND ADMINISTRATIVA SANKTIONER
SÄKERHETS‐ÅTGÄRDER
MISSBRUKS‐REGELN
DEFINITIONER
Dataskyddsombud Sverige AB
Historik Grundare och medarbetare Tjänsteområden
Analys och Projektledning Utbildningar IT‐rätt (Persuppgiftsbiträdesavtal) IT‐säkerhet Dataskyddsombud Rekrytering och bemanning
Varför välja oss?
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Kursens syfte och mål
Nyheter medkommande Dataskyddsförordningen Olika typer av personuppgifter Grundläggande krav och laglig grund för behandling Den registrerades rättigheter Den personuppgiftsansvariges ansvar/skyldigheter Personuppgiftsbiträden Sanktioner
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Historik
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
1973Datalagen
1995Dataskyddsdirektivet
1998Personuppgiftslagen
2007Uppdaterad
Personuppgiftslag
April 2016General Data Protection
Regulation ‐ GDPR
Januari 2012 Kommissionens förslag till dataskyddsförordning
Maj 2018GDPR träder i kraft
1973Datainspektionen
Dataskyddförordningen
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Antogs den 24 maj 2016, tillämpligt från den 25 maj 2018.
Generell förordning som kommer att gälla lika i alla EES‐länder.
Förordning är tillskillnad från direktiv direkt tillämplig i varje medlemsland
Förordningen tillåter dock varje enskilt medlemsland ett visst mått av egen
lagstiftning.
Dataskyddförordningen
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Ersätter tidigare Dataskyddsdirektivet (95/46/EC) och uppdaterar
Personuppgiftslagen (PuL)
Förordningen är att anse som Lex Generalis.
99 artiklar och 173 skäl. Jmfr PuL 53 paragrafer.
Stadfäster mycket av det vi redan ansett utgöra praxis.
Dataskyddförordningen
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Regeringen har tillsatt en utredning som ska redovisa uppdraget senast den
12 maj 2017. (Kommittédirektiv 2016:15)
Undersöka vilka kompletterande nationella föreskrifter som förordningen kräver.
Analysera vilka bestämmelser om administrativa sanktionsavgifter och andra sanktioner
som Sverige behöver eller bör införa.
Undersöka om det finns behov av generella bestämmelser för
personuppgiftsbehandling utanför EU‐rättens tillämpningsområde.
När rapporten kommer, blir det tydligare vad som kommer att gälla i Sverige.
Dataskyddförordningen
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Aktivt ansvar för personuppgiftsansvariga
Ansvar även för personuppgiftsbiträden
Incidentrapportering Ökade krav på information till
registrerade Inbyggt dataskydd Konsekvensbedömningar
Dataskyddsombud Missbruksregeln försvinner Ökade sanktioner och
skadestånd till registrerade Dataportabilitet Ökat skydd för barn Pseudonymisering
Dataskyddförordningen
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Tillämplig på helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling om personuppgifterna ingår i eller kommer att ingå i ett register.
Personuppgifter som inte är ordnade enligt särskilda kriterier omfattas inte av GDPR.
Gäller endast personer i livet (samma som PuL).
Territoriell tillämplighet
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Utökat territoriellt tillämpningsområde
Behandlingen utförs av personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte.
Behandling av personuppgifter som avser registrerade som befinner sig i unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen, om behandlingen har anknytning till: utbjudande av varor eller tjänster till sådana registrerade i unionen övervakning av registrerades beteende
Personuppgifter
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Personuppgiftslagen All slags information som direkt eller indirekt kan hänföras till en
fysisk person som är i livet.
Dataskyddsförordningen Varje upplysning som avser en identifierad eller identifierbar fysisk
person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Behandling
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Behandling (enligt Dataskyddsförordningen)
En åtgärd eller kombination av åtgärder beträffandepersonuppgifter eller uppsättningar av personuppgifter,oberoende av om de utförs automatiserat eller ej, såsominsamling, registrering, organisering, strukturering, lagring,bearbetning eller ändring, framtagning, läsning, användning,utlämning genom överföring, spridning eller tillhandahållande påannat sätt, justering eller sammanförande, begränsning, raderingeller förstöring,
Missbruksregeln
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Enligt PuL behöver stora delar av lagens bestämmelser behöver inte tillämpas på behandling av personuppgifter som finns ostrukturerat material så länge behandlingen inte innebär en kränkning av den personliga integriteten
Ostrukturerat material är: ”Personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter.”
Missbruksregeln kommer att försvinna med Dataskyddsförordningen!
Missbruksregeln
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Ingår i eller är avsedda att ingå i en samling av personuppgifter Undantaget är tillämpligt på personuppgifter som inte ingår i eller är tänkta att ingå i en
samling av personuppgifter
Personuppgiftsanknuten struktur: Undantaget tillämpligt på personuppgifterna som inte har strukturerats utifrån just
personuppgifter Undantaget är tillämpligt om struktureringen skett utifrån t.ex. datum och klockslag. Undantaget kan tillämpas även om det det går att sammanställa indexerade
personuppgifter om detta inte gjorts.
Påtagligt underlätta sökningen eller sammanställning av personuppgifter: Undantaget är tillämpligt om strukturen inte uppnått viss nivå eller kvalitet Namn i bokstavsordning omfattas av undantaget Lista på personuppgifter måste vara statisk för att undantaget ska vara tillämpligt.
Missbruksregeln
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Delar av PuL som inte behöver tillämpas på ostrukturerat material: 9 § Grundläggande krav på behandling 10§ När behandling är tillåten 13 § Förbud mot behandling av känsliga uppgifter 21 § Förbud mot andra än myndigheter att behandla uppgifter om brott 22 § Restriktioner vid behandling av personnummer 23 och 24 §§ om information till den registrerade 26 § registerutdrag 28 § om rättelse 33 § om överföring av personuppgifter till tredje land 42 § upplysningar till allmänheten om behandlingar som inte anmälts till TSM
Missbruksregeln
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Undantaget bara aktuellt på automatiserad behandling eftersom manuell behandling av personuppgifter omfattas av PuL endast om de ingår i ett register.
Följande typer av personuppgifter, vilka nu anses som ostrukturerat material, kan komma att omfattas av GDPR. Enkla listor med personuppgifter (tidigare okvalificerade) Publicering av löpande text på Internet (ej strukturerade) Användning av ljud‐ och bildupptagningar (ej strukturerade) Vanlig användning av datorns filsystem (t.ex. namngivning av mappar) Vanlig användning av datorstödd kommunikation (t.ex. enskild medarbetares egen
användning av e‐postprogram för kommunikation) Facebook och Twitter
Kränkning
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Trots undantaget gäller att behandling av personuppgifter inte får innebära en kräkning av den registrerades integritet:
Att samla personuppgifter för att förfölja eller skandalisera en person. Att samla en stor mängd uppgifter om en person utan något godtagbart skäl. Att medvetet behandla uppgifter som är klart felaktiga eller missvisande. Att sprida uppgifter som innebär förtal eller förolämpning. Att sprida personuppgifter som innebär att man bryter mot författningsregler och
andra regler som föreskriver tystnadsplikt.
Missbruksregeln kommer att försvinna med Dataskyddsförordningen.
DEFINITIONERHISTORIKBAKGRUND1 OM DATASKYDDS‐FÖRORDNINEGN
VIKTIGASTE FÖRÄNDRINGAR
TERRITORIELL TILLÄMPIGHET
GRUNDER
REGISTRERADES RÄTTIGHETER
PERSONUPPGIFTSANSVARIG
PERSONUPPGIFTSBITRÄDE
SANKTIONER6
2
3
4
5
PRINCIPER LAGLIG GRUND SÄRSKILDA UPPGIFTER
DOMAR I BROTTMÅL
INFORMATION RÄTTELSE RADERING PORTABILITET
INCIDENTER REGISTER‐FÖRTECKNINGAR
KONSEKVENS‐BEDÖMNING
DATASKYDDS‐OMBUD
DEFINITIONEGET
ANSVARAVTAL
SKADETÅND ADMINISTRATIVA SANKTIONER
SÄKERHETS‐ÅTGÄRDER
MISSBRUKS‐REGELN
Integritetstrappan
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Tillåten behandling
Känsliga uppgifter
Personnummer Uppgifter om brott
Grundläggande krav
Överföring till 3:e land
Information och registrerades rättigheter
Behandlingen ska vara Laglig (ej olaglig telefonavlyssning, inbrott. Korrekt och i enlighet med god sed (branschorganisationer och interna regler) Ej lämnas till annan i vetskap om att uppgiftera inte kommer att behandlas korrekt
Ändamålen Särskilda (ej alltför allmänna) , uttryckligt angivna och berättigade ej behandla för ändamål som är oförenligt med ursprungliga ändamålet
Uppgifterna adekvata, relevanta, riktiga och aktuella inte fler än nödvändigt får ej bevaras längre än nödvändigt
Grundläggande principer
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Grundläggande principer
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Integritet och konfidentialitet behandlas på ett sätt som säkerställer lämplig säkerhet för
personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder
Ansvarsskyldighet Utökning av ansvarsskyldigheten består i att det är den
personuppgiftsansvarige som ska ansvara för och kunna visa att principerna efterlevs.
Samtycke eller nödvändigt för a) att fullgöra ett avtal b) att tillvarata, försvara eller göra gällande en rättslig skyldighet c) skydda vitala intressen för den registrerade d) arbetsuppgift av allmänt intresse e) myndighetsutövning, eller efter en f) intresseavvägning
Tillåten behandling
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
1. Samtycke
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne.
Nyheter med Dataskyddsförordningen Inte längre tillräckligt med ”passivt samtycke” = förkryssade boxar. Kräver en aktiv handling, passivitet godtas inte – tänk kreativt! Måste samtycka specifikt till just den typen av behandling Samtycke får inte ställas som villkor för att få tjänster som inte kräver behandling
tjänstens ändamål. Spara samtycket – datum och text Ska var lika enkelt återkalla samtycke som att de. Kräver tekniska lösningar.
2. Fullgöra avtal
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
Ex. Anställningsavtal, hyreskontrakt, köpeavtal Ex. Offerter, Ansökningar etc. som föregår ett avtal
Behöver inte vara skriftligt avtal
3. Fullgöra rättslig förpliktelse
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
Ex att rapportera löner och skatter Rapportera frånvaro i skolan Att bevara uppgifter om konton och transaktioner
4. Skydda grundläggande intressen
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Behandlingen är nödvändig för att skydda intressen som är av grundläggande (vital) betydelse för den registrerade eller för en annan fysisk person.
Ex kontakta berörda i händelse av brand Återkalla felaktiga konsumentvaror Kontakt med anhöriga vid akut sjukdom och olyckor. Utlämnande av läkemedelsförteckning till föreskrivare när samtycke inte
kan ges.
Tidigare vitala intressen, nu grundläggande – Skillnad?
5. Arbetsuppgift av allmänt intresse eller led i myndighetsutövning
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
Kommer att kräva stöd i lag eller förordning
Tidigare gällde att med allmänt intresse avsågs t.ex. Arbetsmarknadsparternas framställande av lönestatistik Bevarande för framtiden om arbetarrörelsen, föreningslivets och näringslivets
verksamhet, Statistik över deltagare i större idrottsevenemang
Oklart vad som kommer att gälla enligt Dataskyddsförordningen.
6. Intresseavvägningen
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Den personuppgiftsansvarige bedömer vad som utgör ett berättigat intresse.
Personuppgiftsansvariga som nyttjar berättigande intresse ska hålla registeröver de överväganden de gjort så de kan påvisa att de tagit tillräcklig hänsyn till rättigheter och friheter för de personer vars uppgifter behandlas.
6. Intresseavvägningen
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Datainspektionen kan fatta beslut som kan överklagas till domstol. Här tillmäts den registrerades åsikt stor betydelse.
Gäller inte för offentliga myndigheter när de utför myndighetsutövning.
Särskilda kategorier av uppgifter
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Känsliga uppgifter enligt PuL. Uppgifter som avslöjar
ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening hälsa, sexualliv och sexuell läggning genetiska och biometriska uppgifter
Huvudregeln är att behandling av dessa uppgifter är förbjuden.
Det finns dock många undantag.
Undantag mot förbudet
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Undantag
Samtycke, uttryckligt (om inte lagstiftning säger att samtycke inte gäller)
Skyldigheter och rättigheter inom arbetsrätten, social trygghet och socialt skydd.
Skydda den registrerades eller någon annans grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge samtycke
Stiftelse, förening, ej vinstdrivande organ (politiskt, filosofiskt, religiöst eller fackligt syfte)
Tydligt eget offentliggörande
Undantag mot förbudet
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Undantag från förbudet (forts.)
Fastslå, göra gällande eller försvara rättsliga anspråk
Fullgörande av arbetsuppgift i ett viktigt allmänt intresse på grundval av lag
Förebyggande hälso‐ och sjukvård, bedömning av arbetskapacitet, diagnoser, hälso‐och sjukvård, social omsorg (inklusive administration)
Allmänt intresse på folkhälsoområdet
Arkiveringsändamål för historiska, statistiska eller vetenskapliga forskningsändamål
Uppgifter om brott
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Fällande domar i brottmål och därmed sammanhängande säkerhetsåtgärder får endast behandlas under kontroll av myndighet.
Även myndigheter måste dock följa grundläggande principer för behandling samt säkerställa at behandlingen är laglig.
Datainspektionen har meddelat föreskrifter om undantag. Dessa måste anpassas till Förordningen.
Uppgifter om brott
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Undantag i DIFS 2010:1, bl.a. om behandlingen är nödvändig för att fullgöra en föreskrift på
socialtjänstområdet, friskolors elevvårdande verksamhet advokatverksamhet whistleblowing enstaka uppgifter för:
fastställande av rättsliga anspråk anmälningsskyldighet enligt lag
Personnummer
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Får bara behandlas med samtycke, eller om det är klartmotiverat med hänsyn till: ändamålet med behandlingen vikten av en säker identifiering något annat beaktansvärt skäl
Gäller till exempel för: Sjukvård Banker och försäkringsbolag
Får beslutas av nationell rätt.
DEFINITIONERHISTORIKBAKGRUND1 OM DATASKYDDS‐FÖRORDNINEGN
VIKTIGASTE FÖRÄNDRINGAR
TERRITORIELL TILLÄMPIGHET
GRUNDER
REGISTRERADES RÄTTIGHETER
PERSONUPPGIFTSANSVARIG
PERSONUPPGIFTSBITRÄDE
SANKTIONER6
2
3
4
5
PRINCIPER LAGLIG GRUND SÄRSKILDA UPPGIFTER
DOMAR I BROTTMÅL
INFORMATION RÄTTELSE RADERING PORTABILITET
INCIDENTER REGISTER‐FÖRTECKNINGAR
KONSEKVENS‐BEDÖMNING
DATASKYDDS‐OMBUD
DEFINITIONEGET
ANSVARAVTAL
SKADETÅND ADMINISTRATIVA SANKTIONER
SÄKERHETS‐ÅTGÄRDER
MISSBRUKS‐REGELN
Den registrerades rätt till information
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Vid den registrerades begäran, ska information tillhandahållas den registrerade om alla åtgärder som vidtagits med anledning av den registrerades kommunikation med personuppgiftsansvarig. Det kan handla om:
Rättelse Radering Begränsning Anmälningsskyldighet Dataportabilitet Invändningar Profilering
Den registrerades rätt till information
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Vid den registrerades begäran, ska information tillhandahållas den registrerade om alla åtgärder som vidtagits med anledning av den registrerades kommunikation med personuppgiftsansvarig. Det kan handla om:
Rättelse Radering Begränsning Anmälningsskyldighet Dataportabilitet Invändningar Profilering
Den registrerades rätt till information
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade1. Identitet på den personuppgiftsansvarige samt dennes kontaktuppgifter2. Kontaktuppgifter till dataskyddsombud3. Ändamålet med behandlingen samt rättslig grund4. Berättigade intressen (vilka intressen behandlingen grundar sig på)5. Eventuella mottagare av uppgifterna6. Överföring till tredjeland samt skyddsnivå för detta7. Lagringsperioden och kriterier för fastställande av perioden8. Rätt till registerutdrag, rättelse, radering, begränsning, uppgiftsportabilitet och att invända mot behandlingen 9. Rätt att återkalla samtycke10. Rätt att inge klagomål till tillsynsmyndigheten11. Om insamlandet av uppgifterna är ett lagkrav eller krav enligt avtal12. Förekomst av profilering samt logiken bakom denna samt förutsedda följder
Informationen ska ämnas när personuppgifterna erhålls
Den registrerades rätt till information
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade utan från någon annan1. Identitet på den personuppgiftsansvarige samt dennes kontaktuppgifter2. Kontaktuppgifter till dataskyddsombud3. Ändamålet med behandlingen samt laglig grund4. Kategorier av uppgifter 5. Eventuella mottagare av uppgifterna6. Överföring till tredjeland samt skyddsnivå för detta7. Lagringsperioden och kriterier för fastställande av perioden8. Berättigade intressen (vilka intressen behandlingen grundar sig på)9. Rätt till registerutdrag, rättelse, radering, begränsning, uppgiftsportabilitet och att invända mot behandlingen 10. Rätt att återkalla samtycke11. Rätt att inge klagomål till tillsynsmyndigheten12. Varifrån uppgifterna kommer samt om ursprunget är allmänna) källor13. Förekomst av profilering samt logiken bakom denna samt förutsedda följder
Den registrerades rätt till information
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Om uppgifter samlats in från annan, ska information lämnas senast inom en månad efter det att uppgifterna erhållits, eller vid den tidpunkt när man kommunicerar med den registrerade, eller om uppgifterna ska lämnas ut till annan, senast när uppgifterna lämnas
ut första gången.
Information behöver inte lämnas i bl.a. följande fall den registrerade redan förfogar över informationen omöjligt eller oproportionell ansträngning
Registerutdrag
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Den registrerade har rätt att få bekräftelse på om personuppgifter behandlas och isf. tillgång till uppgifterna samt följande information. Ändamålen med behandlingen Mottagare eller kategorier av mottagare Lagringsperiod eller principer för fastställande Rätt till registerutdrag, rättelse, radering, begränsning,
uppgiftsportabilitet och att invända mot behandlingen Rätt att ingen klagomål till Datainspektionen Varifrån uppgifterna samlats in Förekomst av profilering samt logiken bakom denna samt förutsedda
följder
Rättelse
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Rätt att få felaktiga uppgifter rättade
Rätt att få inkompletta uppgifter kompletterade
Självklarhet, eftersom felaktiga uppgifter inte får behandlas.
Radering‐ Rätt att bli bortglömd
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Rätt att erhålla radering av uppgifter utan onödigt dröjsmål bl.a. om:
uppgifterna inte längre behövs för det ändamål för vilka de samlades in uppgifterna behandlats olagligt den registrerade återkallar samtycke i vissa fall invänder mot behandlingen av uppgifter (även profilering) invänder mot behandling av uppgifter för direkt marknadsföring
Undantag finns (se artikel 17.3)
Radering‐ Rätt att bli bortglömd
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Om uppgifterna ska raderas och de har offentliggjorts ska andra personuppgiftsansvariga som behandlar uppgifterna underrättas och eventuella länkar till eller kopior av uppgifterna raderas (undantag finns, se art. 17.3)
Mycket svårt i praktiken att radera uppgifter då många IT‐system inte stödjer detta. Alternativen måste tills vidare kanske bli anonymisering så att det inte längre är möjligt att identifiera den registrerade så att avsikten med Förordningen uppnås.
Radering av loggar?
Dataportabilitet
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Rätt för den registrerade att ”ta med sig” personuppgifter om sig själv för att antingen spara dem för eget bruk eller överföra dem till en annan personuppgiftsansvarig.
Kan t.ex. handla om information om köpmönster enligt lojalitetsprogran, kontaktlistor eller spelade låtar enligt spellistor.
Rätt för den registrerade att få uppgifterna överförda: 1. Direkt till den registrerade 2. Direkt till den andra personuppgiftsansvarige 3. Direkt till mellanlagrande part
Dataportabilitet
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Gäller när grunden för behandlingen är: Samtycke Avtal mellan den registrerade och personuppgiftsansvarig.
Gäller endast automatiserad behandling – ej manuell behandling på papper
Vilken information gäller rätten? Personuppgifter som rör den registrerade själv. (Ej läggas till grund för att inte föra över
uppgifter att om personuppgifter tillhörande andra förekommer) Personuppgifter som den registrerade har tillhandahållit själv. Personuppgifter som generats genom den registrerades handlingar och aktiviteter.
DEFINITIONERHISTORIKBAKGRUND1 OM DATASKYDDS‐FÖRORDNINEGN
VIKTIGASTE FÖRÄNDRINGAR
TERRITORIELL TILLÄMPIGHET
GRUNDER
REGISTRERADES RÄTTIGHETER
PERSONUPPGIFTSANSVARIG
PERSONUPPGIFTSBITRÄDE
SANKTIONER6
2
3
4
5
PRINCIPER LAGLIG GRUND SÄRSKILDA UPPGIFTER
DOMAR I BROTTMÅL
INFORMATION RÄTTELSE RADERING PORTABILITET
INCIDENTER REGISTER‐FÖRTECKNINGAR
KONSEKVENS‐BEDÖMNING
DATASKYDDS‐OMBUD
DEFINITIONEGET
ANSVARAVTAL
SKADETÅND ADMINISTRATIVA SANKTIONER
SÄKERHETS‐ÅTGÄRDER
MISSBRUKS‐REGELN
Personuppgiftsincidenter
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Personuppgiftsansvarig ska anmäla till tillsynsmyndigheten utan onödigt dröjsmål (inom 72 timmar efter vetskap om händelsen).
Personuppgiftsbiträde ska informera den personuppgiftsansvarige omedelbart.
Anmälan till tillsynsmyndigheten ska åtminstone: beskriva personuppgiftsincidentens art beskriva kategorier och ungefärligt antal registrerade, kategorier av och ungefärligt antal
uppgiftsposter förmedla kontaktuppgifter för dataskyddsombudet beskriva de sannolika konsekvenserna beskriva föreslagna eller vidtagna åtgärder
Personuppgiftsincidenter
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Den registrerade ska som huvudregel informeras om det föreligger hög risk för enskildas rättigheter och friheter t.ex:
att den enskilde förlorar kontrollen över sina uppgifter att hans eller hennes rättigheterna inskränks att den registrerade utsätts för diskriminering, identitetsstöld eller
bedrägeri att den registrerade råkar ut för finansiell förlust, skadlig
ryktesspridning, brott mot sekretess eller tystnadsplikt.
Personuppgiftsincidenten ska dokumenteras så att Datainspektionen kan kontrollera efterlevnad
Registerförteckningar
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Personuppgiftsansvarig och eventuella företrädare ska föra ett register över behandlingar av personuppgifter
Följande uppgifter ska dokumenteras a) namn och kontaktuppgifter för personuppgiftsansvarig, ev.
företrädare och ev. dataskyddsombud b) ändamålen med behandlingen c) kategorier av registrerade och kategorier av personuppgifter d) kategorier av mottagare e) ev. överföring till tredjeland samt dokumentation av skyddsåtgärder f) tidsfrist för radering (om möjligt) g) tekniska och organisatoriska säkerhetsåtgärder
Registerförteckningar
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Personuppgiftsbiträde och eventuella företrädare ska föra ett register över behandlingar av personuppgifter
Följande uppgifter ska dokumenteras a) namn och kontaktuppgifter för personuppgiftsbiträdet och
personuppgiftsansvarig som personuppgiftsbiträdet arbetar för och ev. dataskyddsombud
b) kategorier av behandlingar som utförs för resp. personuppgiftsansvarig
c) ev. överföring till tredjeland samt dokumentation av skyddsåtgärder d) tekniska och organisatoriska säkerhetsåtgärder
Registerförteckningar
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Företag som sysselsätter färre än 250 personer behöver inte upprätta registerförteckning om inte:
Behandlingen sannolikt kommer att medföra en risk för registrerades rättigheter och friheter,
Behandlingen inte är tillfällig
Behandlingen omfattar särskilda kategorier av uppgifter eller fällande domar i brottmål eller överträdelser.
Konsekvensbedömningar
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. Särskilt vid:
Systematisk och omfattande bedömning av personer Behandling i stor omfattning Systematiska övervakning av allmän plats i stor omfattning
Dataskyddsombudet ska rådfrågas
Konsekvensbedömningar
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Bedömningen ska bl.a. innehålla:
beskrivning av och ändamålet med behandlingen utvärdering av risk för registrerads rättigheter och friheter åtgärder som planeras för att hantera riskerna
Om möjligt inhämta synpunkter från de registrerade eller deras företrädare
Förhandssamråd med Datainspektionen om bedömningen visar hög risk
Dataskyddsombud
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Personuppgiftsansvarig och personuppgiftbiträde måste ha ett Dataskyddsombud om:
Myndighet alt. offentligt organ, ej domstolar. Praxis att utse Dataskyddsombud även om ”myndighetsliknande” verksamhet.
Kärnverksamheten är behandling som regelbunden övervakning i stor omfattning Kärnverksamheten är behandling av känsliga uppgifter i stor omfattning
Om det inte är uppenbart att en Dataskyddsombud inte behövs, bör företag göra en analys av detta.
Om en Dataskyddsombud utses på frivillig basis, gäller samma krav som om det hade varit tvingande.
Dataskyddsombud
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Dataskyddsombudet har följande uppgifter: Informera och ge råd till personuppgiftsansvarig, personuppgiftsbiträde och
registrerade avseende behandling av personuppgifter.
Övervaka efterlevnaden av Förordningen
Ge råd avseende konsekvensbedömningen
Samarbeta med Datainspektionen
Kontaktpunkt med Datainspektionen
Registerförteckningar Tidigare Personuppgiftsombudets ansvar Ny den personuppgiftsansvariges ansvar – tas dock ofta ändå av Dataskyddsombudet
Säkerhet vid behandlingen
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Pseudonymisering och kryptering
Konfidentialitet, integritet, tillgänglighet och motståndskraft hos systemen och tjänster
Återställning vid incident
Löpande testa och utvärdera effektiviteten
Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför: oavsiktlig eller olaglig förstöring,
förlust eller ändring
obehörigt röjande av eller obehörig åtkomst
Säkerhet vid behandlingen
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Privacy by design and privacy by default Genomföra lämpliga tekniska och organisatoriska åtgärder för att endast de
personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med avseende på: antal insamlade uppgifter
behandlingens omfattning
tiden för lagring
uppgifternas tillgänglighet
att de inte görs tillgängliga för obegränsat antal enskilda
Ska genomsyra alla beslut om behandling
DEFINITIONERHISTORIKBAKGRUND1 OM DATASKYDDS‐FÖRORDNINEGN
VIKTIGASTE FÖRÄNDRINGAR
TERRITORIELL TILLÄMPIGHET
GRUNDER
REGISTRERADES RÄTTIGHETER
PERSONUPPGIFTSANSVARIG
PERSONUPPGIFTSBITRÄDE
SANKTIONER6
2
3
4
5
PRINCIPER LAGLIG GRUND SÄRSKILDA UPPGIFTER
DOMAR I BROTTMÅL
INFORMATION RÄTTELSE RADERING PORTABILITET
INCIDENTER REGISTER‐FÖRTECKNINGAR
KONSEKVENS‐BEDÖMNING
DATASKYDDS‐OMBUD
DEFINITIONEGET
ANSVARAVTAL
SKADETÅND ADMINISTRATIVA SANKTIONER
SÄKERHETS‐ÅTGÄRDER
MISSBRUKS‐REGELN
Personuppgiftsbiträden
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Exempel: Leverantörer av lönesystem
Förmedlare
Molntjänster
Arkiveringstjänster
Konsulter inom olika tjänstesektorer
Personuppgiftsansvarig och personuppgiftsbiträde ska skriftligen dokumentera instruktioner och skyldigheter
Eget ansvar
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Personuppgiftsbiträdet har eget ansvar för behandlingen och ska bland annat för egen del:
Upprätthålla tillräckliga organisatoriska och säkerhetsmässiga lösningar. Utföra riskanalyser Upprätta registerförteckningar Utse Dataskyddsombud
Analysera hur man följer Förordningen och kunna redovisa detta
Kan också drabbas av sanktioner
Avtal mellan parterna
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Det ska finnas ett skriftligt avtal mellan personuppgiftsansvarig och personuppgiftsbiträdet som särskilt ska ange:
föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, personuppgiftsansvariges skyldigheter och rättigheter anges
Personuppgiftsbiträdet måste ställa tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder för att uppfylla Förordningen och skydda den registrerades rättigheter.
Avtal mellan parterna
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Avtalet ska även reglera att personuppgiftsansvarig: endast får behandla personuppgifter på dokumenterade instruktioner från den
personuppgiftsansvarige, säkerställer att de personer som behandlar personuppgifter har åtagit sig att iaktta
konfidentialitet eller omfattas lagstadgad tystnadsplikt ska vidta alla i Förordningen angivna säkerhetsåtgärder säkerställer att eventuella underleverantörer inte får anlita underleverantörer utan tillstånd samt
att avtal finns med dessa i alla led. hjälpa personuppgiftsansvarig med tekniska åtgärder för att kunna svara på förfrågan om
registerutdrag. hjälpa personuppgiftsansvarig med att säkerställa att ansvar för säkerhetsåtgärder,
personuppgiftsincidenter, konsekvensbedömningar och förhandssamråd kan utföras. radera eller återlämna alla personuppgifter till den personuppgiftsansvarige vid avtalets
upphörande ska ge den personuppgiftsansvarige tillgång till all information som krävs, inkl att acceptera att
revisioner av verksamheten görs.
DEFINITIONERHISTORIKBAKGRUND1 OM DATASKYDDS‐FÖRORDNINEGN
VIKTIGASTE FÖRÄNDRINGAR
TERRITORIELL TILLÄMPIGHET
GRUNDER
REGISTRERADES RÄTTIGHETER
PERSONUPPGIFTSANSVARIG
PERSONUPPGIFTSBITRÄDE
SANKTIONER6
2
3
4
5
PRINCIPER LAGLIG GRUND SÄRSKILDA UPPGIFTER
DOMAR I BROTTMÅL
INFORMATION RÄTTELSE RADERING PORTABILITET
INCIDENTER REGISTER‐FÖRTECKNINGAR
KONSEKVENS‐BEDÖMNING
DATASKYDDS‐OMBUD
DEFINITIONEGET
ANSVARAVTAL
SKADETÅND ADMINISTRATIVA SANKTIONER
SÄKERHETS‐ÅTGÄRDER
MISSBRUKS‐REGELN
Sanktioner
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Den personuppgiftsansvarige och personuppgiftsbiträdet kan drabbas av sanktioner för brott mot Förordningen:
upp till 10 miljoner euro eller 2 % av globala årsomsättningen (beroende på vad som är högst) bl.a. om inget dataskyddsombud ingen registerförteckning ingen konsekvensbedömning
upp till 20 miljoner euro eller 4 % av globala årsomsättningen (beroende på vad som är högst) bl.a. om behandlar personuppgifter fast det inte är tillåtet känsliga personuppgifter fast man inte får inte lämnar information som krävs
Sanktioner
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit.
Om överträdelsen skett med uppsåt eller genom oaktsamhet.
De åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet har vidtagit för att lindra den skada som de registrerade har lidit.
Genomförda säkerhetsåtgärder och ansvarsfördelning mellan den personuppgiftsansvarige eller personuppgiftsbiträdet
Eventuella relevanta tidigare överträdelser
Sanktioner
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Graden av samarbete med tillsynsmyndigheten
De kategorier av personuppgifter som påverkas av överträdelsen.
Det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom
Icke efterlevnad av uppmaning att korrigera åtgärder
Tillämpandet av godkända uppförandekoder eller godkända certifieringsmekanismer
Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen
Vad ska man göra nu?
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Få styrelse och lednings uppmärksamhet om att detta är viktigt.
Analysera om ni behöver utse ett Dataskyddsombud.
Utbilda verksamheten om personuppgiftsfrågor.
Upprätta interna styrdokument för dataskydd.
Säkerställ att information till registrerade är korrekt.
Analysera om ni förlitar er på missbruksregeln
Vad ska man göra nu?
Dataskyddsombud Sverige AB [email protected] Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650 11139 Stockholm Org Nr: 556936 ‐ 7039
Om behandlingen grundar sig på samtycke, säkerställ att dessa är korrekt givna.
Upprätta registerförteckningar.
Säkerställ ni kan efterkomma den registrerades förfrågan om information, registerutdrag, dataportabilitet etc.
Se över personuppgiftsbiträdesavtal –Omförhandla avtalen.
Analysera om ni själva är personuppgiftsbiträden.
© IRM AB All rights reserved
Så – vad gör man nu?
© IRM AB All rights reserved
Analysera förmågor, system, integrration..
© IRM AB All rights reserved
Informationsmodell
© IRM AB All rights reserved
Karta över verksamhetsförmågor, informationssystem och integrationer
© IRM AB All rights reserved
Kund t_Kund
fysisk person eller organisation i roll som kund hos ett förlag
KunderFysiska personer eller organisationer i roll som kund hos ett förlag
Förlagsenhett_Agare
förlag (eller del av förlag) som äger kunder och
information
Förlag
Kunduppgift hos förlagsenhett_KundAgare
kunduppgift hos viss förlagsenhet
Kunduppgift hos förlagt_KundUppgifterPerForlag
kunduppgift hos ett visst förlag
Förlagt_Forlag
förlag
Kampanjt_Kampanj
ett antal erbjudanden som hålls samman som en enhet
KampanjerSamlingar av erbjudanden till kunder om prenumerationer
Erbjudandet_Erbjudande
ett antal titlar som som erbjuds som ett paket
Erbjudanden En samling titlar som erbjudas som en enhet till kunder att avtala om
Titelt_Titel
tidskriftstitel för prenumeration
Huvudtitel
Prenumerationt_Abonnemang
arrangemang för kund för distribution av ett antal
utgåvor av en titel Kampanj
Erbjudande
Kampanjsplitt_KampanjSplitKod
identifierad del av kampanj som skiljer ut vissa
kampanjaktiviteter från andra
Kampanjsplit
Prenumerationsavtalt_Avtal
avtal mellan kund och förlag om prenumeration
Titel i prenumerationsavtalt_AvtalTitel
detalj i prenumerationsavtal som avser specifik titel
Erbjudandetitelt_ErbjudandeTitel
titel i erbjudande
Titel
Erbjudandetitel
Utgåvat_Utgava
utgåva av en titel
Utgåva tom
Utgåva from
Detaljrad för utgåva i prenumerationsavtalt_AvtalTitelUtgava
detalj i prenumerationsavtal som avser specifik utgåva av
en titel
Utgåva
Prenumerationer
Mottagare
Titelsortiment Tidskriftstitlar och utgåvor för prenumeration
Betalare
DistributörerDistributör t_Distributor
part som distribuerar titlar, artiklar och/eller avier
Distributionsgruppt_DistributionGrupp
De uppgifter som behövs för en distributör för distribution av en titel
Titel
Postdistributör t_PostDistributor
part som distribuerar postförsändelser
Postdistributörsområdet_PostDistributorOmrade
geografiskt område för postdistribution, definierat av
postdistributör
Postdistributörs‐delområde t_PostDistributorDelOmrade
postnummerserie, definierad av postdistributör för postdistribution
Postdistributörer
Distributionsarrangemang för titel
Leverans av utgåva i avtalt_AvtalTitelUtgavaLev
utförd leverans av utgåva av titel i ett prenumerationsavtal
Utgåva i prenumerations‐
avtal
Leverans av utgåva i avtal Aviseringsarrangemang
t_Faktura
arrangemang för aviseringav en betalare för en eller flera prenumerationer
Återbetalning till kundÅterbetalning till kund
t_Aterbetalning
Betalningsavit_Avi
meddelande till kund om vad som ska betalas
Betalningsaviradt_AviRad
specificering av delbelopp på betalningsavi
Titel på betalningsavit_AviTitel
faktat att en titel förekommer på en
betalningsavi Titel
Betalning från kund
Betalningt_Betalning
bokförd prenumerations‐inbetalning från kund
Kreditering av betalningsavi
t_Kredit
Betalning som ännu inte är faktureradt_Forskott
prenumerationsinbetalning från kund som ska faktureras i efterskott
Titel
Inbetalare
Kundreskontrapost t_Reskontra
postering i kundreskontra
Kreditering avinbetalningsavi
Fakturamottagare
Huvudtitel – titelnummer
Prenumerationsavtal
Titel i prenumerationsavtal
Prenumerationshändelse
Prenumerations‐ händelse
Prenumerations‐avtal
Betalningsavisering
Kund
Prenumerationshändelse t_AbonnemangHandelse
händelse som har skett, och/eller i vissa fall ska ske, för en viss prenumeration
Huvudtitel
Kundreskontra
Parter
Konfigu‐rering av utbud och
tjänster
Drift
Förlag, förlagens utbud och beställningar
Kunder och förlagens arrangemang med
kunder Distribution Betalningshantering
Betalnings‐händelser
Bokföring av betalnings‐händelser
Distributionshändelser
Huvuderbjudande
Erbjudande
Prenumerationsavtal
Erbjudande i kampanng t_Kampanj
Erbjudande
Prenumerations‐beställningar
Prenumerationsbeställningsfil t_Beställningsfil
fil som vi tar emot från extern part, med beställningar av
prenumerationer
Kundpost i filpost prenumerationsbeställningsfil
t_BeställningsfilKundinfo
kundpost i en filpost i prenumerationsbeställningsfil,
motsvarande en kundroll (prenumerationsmottagare eller separat prenumerationsbetalare)
Registrerad kund
Beställningspost prenumerationsbeställningsfil
t_Beställningsfilrad
Filpost i prenumerationsbeställningsfil,
motsvarande en prenumerationsbeställning
Registrerad prenumeration
Förnyelseunderlag
Förnyelseunderlagt_FornyelseUnderlag
förfrågan till betalande kund om vilka
prenumerationer som ska förnyas
Betalare Huvudtitel
Från prenumerationsavtal Från avtalstitel
Nytt erbjudande
Nytt erbjudande – Erbudandetitel
Titel
Beställnings‐ och förnyelsehämdelser
Informationsmodell ‐översikt
© IRM AB All rights reserved
Informationsmodell –detalj
© IRM AB All rights reserved
TACK!!
Nicole Norrestad Ulla ÅkermanDataskyddsombud Sverige AB IRM ABNicole.dattaskyddsombud.com [email protected]‐431650 0730‐511 112