Den nya dataskyddsförordningen (GDPR) · • Nya dataskyddsförordningen (”GDPR”) • Ersätter nuvarande PuL och gäller i hela EU • De nya reglerna gäller från och med

Marielle Eide, Associate lawyer

Advokatfirman Delphi

Den nya dataskyddsförordningen (GDPR)Åtta månader kvar, är ni redo?

Ny EU-lag för personuppgifter

• Nya dataskyddsförordningen (”GDPR”)

• Ersätter nuvarande PuL och gäller i hela EU

• De nya reglerna gäller från och med den 25 maj

2018

• Principer för en enhetlig tolkning i hela EU

2017-09-21 Nya dataskyddsförordningen 2

Sanktioner

• Företag riskerar böter upp till det högre

beloppet av 20.000.000 EUR eller 4 % av

koncernens globala omsättning

• Registrerade kan kräva skadestånd

• Även andra sanktioner, t.ex. förelägganden,

varning, m.m.



• Personuppgifter – varje uppgift varigenom en

fysisk person direkt eller indirekt kan

identifieras

• Såväl B2K som B2B – all data om individer

• Gäller allt ni gör med uppgifterna – all

behandling

• Gäller även krypterade uppgifter!

När gäller lagen?


• Principerna bygger på nuvarande lag, men

också ett stort antal nyheter

• Krav på när personuppgifter får behandlas

• Ett stort antal andra regler om hur uppgifter

får behandlas och krav på rutiner och

processer

• Ska kunna visa att lagen följs

Förordningen i korthet


• Den som själv eller tillsammans med andra

bestämmer ”ändamål och medel” med

behandlingen är personuppgiftsansvarig

• Ansvarar alltid självständigt för att lagen följs

• Ni – inte ert biträde (t.ex. IT-leverantör)

ansvarar för att lagen följs

Personuppgiftsansvarig


• Den som behandlar personuppgifter för den

personuppgiftsansvariges räkning

• Typiska biträden: IT-leverantörer, IT-support,

molntjänstleverantörer

• Krav på skriftliga personuppgiftsbiträdesavtal

samt dokumenterade instruktioner över bl.a.

säkerhet

Personuppgiftsbiträde

2017-09-21

Personuppgiftsbiträdes-avtal

Personuppgifts-biträde

Personuppgifts-ansvarig

Individ

Nya dataskyddsförordningen 8

Är behandlingen laglig?

Grundläggande principer att följa, t.ex. gallring, tid

Speciella krav för känsliga uppgifter

Information till registrerade (personuppgifts-policy)

Säkerhet, rutiner för dataportabilitet, etc.

Avtal, dokumentation, rutiner, m.m.

Förbud att flytta uppgifter utanför EU

2017-09-21

”Integritetstrappan” – vilka regler gäller enligt lagen (exempel)?


Grundläggande principer (exempel)

• Uppgiftsminimering

– Inte hantera fler uppgifter än som krävs för ändamålet

• Lagringsminimering

– Uppgifter får inte sparas länge tid än nödvändigt

• Integritet och konfidentialitet


När är behandling tillåten?

• Nödvändigt för att ett avtal med den

registrerade ska kunna fullgöras

• Nödvändigt fullgöra rättslig förpliktelse

• Skydda intressen av grundläggande betydelse

för registrerade eller annan fysisk person

• En arbetsuppgift av allmänt intresse ska kunna

utföras eller som ett led i myndighetsutövning

• Intresseavvägning

• Samtycke


• Inventera alla era behandlingar

• Identifiera laglig grund - ändamål

• Säkerställ att de grundläggande rutinerna följs,

t.ex.:

– Inte fler uppgifter än nödvändigt

– Gallringsrutiner

– Rutiner för integritet och sekretess, t.ex.

behörighetsstyrning

2017-09-21

Åtgärder Laglighetsbedömning


Registrerades rättigheter

• Krav på att självmant ge information – policy

• Information ska ges efter begäran –

registerutdrag

• Rätt för registrerade att kräva rättelse,

begränsning eller radering

• ”Rätten att bli bortglömd”

• Hur säkerställer ni att detta kan ske i praktiken?

– IT-mässigt

– Rutiner

• Åtgärd: Uppdatera integritetspolicy samt se

över IT-system och rutiner


Särskilt om säkerhetskraven i GDPR

14

• Ska ”vidta lämpliga tekniska och

organisatoriska åtgärder för att säkerställa

en säkerhetsnivå som är lämplig i

förhållande till risken”

• Åtgärderna ska vidtas med beaktande av

– Den senaste utvecklingen

– Genomförandekostnaderna

– Behandlingens art, omfattning och ändamål

– Riskerna

Utökade säkerhetskrav


• Kan inbegripa t.ex.:

– Pseudonymisering och kryptering av

personuppgifter

– Förmågan att fortlöpande säkerställa

konfidentialitet och motståndskraft av de

system som behandlar uppgifterna och

– System för att testa effektiviteten hos åtgärder

som ska säkerställa behandlingens säkerhet


Utökade säkerhetskrav

• Centralt att ha riskbaserad approach

• Vid bedömning av lämplig säkerhetsnivå ska

risk för följande särskilt beaktas:

– Oavsiktlig eller olaglig förstöring, förlust eller

ändring

– Obehörigt röjande av eller obehörig åtkomst

till personuppgifter

• = Ni måste göra bedömningen utifrån kraven

på de personuppgifter ni behandlar

• Att följa en uppförandekod eller en standard

kan användas för att visa att följer kraven


Riskbaserad approach

Säkerhetskrav

Åtgärder: Säkerställ att IT- och säkerhetsansvariga har kompetens och resurser för att arbeta med

dataskydd. Se över era säkerhetsrutiner (såväl teknisk som organisatorisk, t.ex. NDA)


Tekniska åtgärder

Organisatoriska åtgärder

Antivirus, auktorisationskrav,

behörighetsstyrning

Brandväggar och krypteringsfunktioner,

osv.

Instruktioner och Policies

Organisation och rutiner

Känsliga uppgifterSekretess

SpecialkravUppgifter om brott

osv.

Säkerhetsnivå i förhållande till risk

Förfarande för att kontinuerligt testa

• ”Inbyggd integritet”

• Säkerhets- och integritetsaspekter ska tas hänsyn

till redan vid planering och utveckling av IT-system

• De grundläggande principerna, t.ex. undvika

fritextfält, behörighet, standardinställningar för

lagring, m.m.

• Anpassa systemen efter vilka dataskyddskrav som

gäller för just ert företag och varje situation

• Kommissionen får fastställa förordningar om

tolkningen samt tekniska standarder

• Åtgärder: Inför rutiner för att ställa krav vid IT-

upphandlingar samt utbilda eventuella arkitekter

2017-09-21 Nya dataskyddsförordningen

Privacy by design

19

• Behörighet


• Anonymisera om möjligt, undvik peka ut individer

• Begränsa åtkomsten till uppgifterna

• Hög säkerhet

– Möjligheter till kryptering, säkerhetskopiering och loggar, säker utplåning

• Funktioner för autentisering

• Enkel möjlighet till gallring, automatisk och enkel radering av uppgifter som inte behövs

• Möjliggöra utelämnande av information till registrerade

• Minimera fritextfält


Privacy by design – exempel

20

• ”Integritet som standard”

• Ska vidta lämpliga tekniska och organisatoriska

åtgärder för att, i standardfallet, säkerställa att

endast personuppgifter som är nödvändiga för

varje specifikt ändamål med behandlingen

behandlas.

• Skyldigheten avser:

– Mängden insamlade uppgifter

– Behandlingens omfattning

– Lagringstid

– Tillgänglighet


Privacy by default

• Informera om ”personuppgiftsincident” utan

oskäligt dröjsmål

• Informera tillsynsmyndigheten

– Som huvudregel: Inom 72 timmar efter vetskap om

intrånget

• I vissa fall även informera varje registrerad

individ

• Biträden ska underrätta ansvarig utan onödigt

dröjsmål efter vetskap om incident

Informationskrav vid person-uppgiftsincident


• Vilka system har ni?

• Hur uppfyller ni kraven i era egna system?

• Vilka leverantörer behöver ni kravställa mot?

• Hur kan vi uppfylla de grundläggande kraven i

våra system?


→ Era IT-system

23

• Vem ansvarar?

• Vilken kompetens har ni internt?

• Rutiner för personuppgiftsincident?

• Vad kan göras för att undvika incidenter?


→ Hur hanterar ni säkerhetskrav?

• Laglighet, korrekthet och öppenhet

• Ändamålsbegränsning


• Korrekthet

• Lagringsminimering

• Integritet och konfidentialitet – åtkomstkontroll

• De registrerades rättigheter

– Rätt bli raderad

– Rätt få registerutdrag

– Rätt till rättelse


→Hur kan ni uppfylla de grundläggande kriterierna?

Exempel på andra regler

• Individer ska lättare kunna få ut och överföra

uppgifter från en personuppgiftsansvarig till en

annan (från ett företag till ett annat)

• Gäller när grunden för behandlingen är

samtycke eller avtal och behandlingen sker

automatiserat

• Den ansvarige ska tillhandahålla uppgifterna i

” i ett strukturerat, allmänt använt och

maskinläsbart format”

• → Åtgärd: Kommer ni rent praktiskt sannolikt

träffas av denna skyldighet? Hur säkerställer vi i

sådant fall rutiner?

Nya dataskyddsförordningen

”Dataportabilitet” – underlätta att flytta uppgifter mellan olika leverantörer

2017-09-21 27

• Lagen uppmuntrar utarbetandet av uppförandekoder

• Sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller

personuppgiftsbiträden får utarbeta uppförandekoder som ges in till tillsynsmyndigheten

• Åtgärd: Överväg om ni bör arbeta för en uppförandekod i er bransch


Uppförandekoder – specifik tolkning av lagen?

28

• Förordningen ger möjlighet till certifiering - att

personuppgiftsbehandling är i enlighet med

förordningen

• För detta krävs ackrediterat certifieringsorgan

(finns ej idag)

• Dataskyddsstyrelsen ska samla alla

certifieringsmekanismer i ett offentligt register

• Idag finns alltså ingen möjlighet till certifiering

Certifiering

Nya dataskyddsförordningen2017-09-21 29

Konsekvenser och hur ska vi arbeta med lagen?

Konsekvenser av lagen

• Dataskydd blir en (lednings)fråga

• Viktigare att följa lagen

• Integritetsfrågorna får mer uppmärksamhet

och kräver resurser, organisation och budget

• Ökat fokus på förebyggande åtgärder och

dokumentation

• System och databaser kan bli olagliga

Nya dataskyddsförordningen2017-09-21 31


• Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv.Juridisk genomgång

• Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policyer för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv.

Juridiska dokument/ policyer

• Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv.Tekniska åtgärder

• Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisation

• Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv.

Organisatoriska åtgärder - rutiner

32

• Budgetera och planera, skapa medvetenhet internt

om de nya reglerna och undersök nuvarande status

• Efterlevnadsprojekt

– Säkerställ laglig behandling

– Fördela ansvar och sätt organisation

– Juridiska dokument, avtal och policys

– IT-åtgärder, inklusive IT-säkerhet

– Organisatoriska åtgärder

• Utbilda din organisation om privacy by design

• Tillämpa krav på dataskydd och integritet i IT-

upphandlingar

• Uppdatera personuppgiftsbiträdesavtal och IT-

policies

33

Hur kan vi förbereda oss?

New General Data Protection Regulation

• Ha en intern projektledare och ev. även en

inhyrd

• Lägg mycket tid i början på att identifiera rätt

personer som ska delta

• Lägg stor vikt vid planeringsstadiet

• Diskutera ambitionsnivå av compliance –

riskapproach

• Börja nu!


Tips för ett lyckat efterlevnadsprojekt

34

• Identifiera behandlingar och system

– Laglig grund för behandlingen

• Identifiera tredjeparter

• Mappa vilka legala enheter i koncernen som är

personuppgiftsansvariga och biträden

• Vilka juridiska dokument, rutiner och

samtycken finns idag?

• Identifiera brister och områden att hantera

inför att förordningen träder i kraft


Nulägesanalys (”Gap analysis”)

35

• Hur säkerställa ett effektivt efterlevnadssystem

(”Data Protection Management System”)?

– Säkerställ att behandlingen är laglig

– Sätt ansvar och organisation

– Uppdatera juridiska dokument, avtal, samtycken

och policyer

– IT- och säkerhetsåtgärder

– Organisatoriska åtgärder och rutiner –

accountability


Efterlevnadsprojekt

36

• Behöver vi ett dataskyddsombud? Vem är annars

högst ansvarig?

• Olika kompetens – informationssäkerhet,

projektledning och juridik

• Vad är en lämplig organisering för er?

– Lands eller bolagsvis: Lokala kontaktpersoner

– Områdesvis:

HR/Kunddata/Leverantörsdata/Marknad/Kundklubb

• Ansvar över olika system/behandlingar

• Rapportordningar och arbetsbeskrivningar

• Övervakning av efterlevnad (internt/externt)


Sätt ansvar och organisation

37

• Personuppgiftsbiträdesavtal och ev. underbiträdesavtal

• Information till registrerade (personuppgiftspolicy)

• Samtyckestexter

• Mall och rutiner för konsekvensbedömning

• Ev. dokumentation/avtal för överföring till tredje land

• Rutiner och dokumentation för incidenthantering

• Rutiner inför upphandling

• Interna policyer för behandlingen, lagrings- och gallringsrutiner


Juridisk dokumentation/policyer (exempel)

38

• Säkerhetskrav – är de tillräckliga utifrån de krav

som ställs i lag och med hänsyn till vilka

uppgifter det rör sig om?

• Börja tillämpa inbyggd integritet (privacy by

design) vid egen utveckling

• Tekniska rutiner för gallring,

behörighetsstyrning, autentisering

• Tekniska rutiner för att undvika

personuppgiftsincidenter


IT- och säkerhetsåtgärder (exempel)

39

• Utbildningsrutiner (och rutiner för att övervaka att utbildning genomförts)

• Utelämnande av information

• Dokumentationsrutiner

• Samtycken checklistor

• Register över behandling

• Rutiner för anmälan av personuppgiftsincident

• Konsekvensbedömning vid ny behandling

• Rutiner vid upphandlingar

• Contract management

• Sekretessavtal

• Med mera..


Organisatoriska åtgärder och rutiner

40

Lycka till och kör hårt!


Marielle Eide / Associate lawyer

Telefon: 0709-25 26 13

[email protected]

Advokatfirman Delphi / Östra Hamngatan 29 / 411 10 Göteborg / Sweden

Tel: + 46 (0)31 10 72 00 / Fax: +46 (0)31 13 94 69 / delphi.se


Documents

Den nya dataskyddsförordningen (GDPR) · • Nya dataskyddsförordningen (”GDPR”) • Ersätter nuvarande PuL och gäller i hela EU • De nya reglerna gäller från och med