Frukostseminarium om Datainspektionens tillsynsarbete 2014-03-05

973 views
785 views

Published on

Presentation från Transcendent Groups frukostseminarium på Rigoletto den 5 mars 2014:

I takt med den tekniska utvecklingen riktas ett allt större fokus mot data- och integritetsskydd vid hantering av personuppgifter. Samtidigt blir det svårare och svårare för organisationer att överblicka det växande flödet av personuppgifter. Datainspektionen är den myndighet som genom sin tillsynsverksamhet ska säkerställa att behandlingen av personuppgifter sker i enlighet med personuppgiftslagen. Vad har Datainspektionen för tillsynsbefogenheter i dagsläget? Vad kan du vänta dig vid ett eventuellt tillsynsbesök och hur bör du förbereda dig?

Det finns just nu ett EU-förslag till en ny dataskyddsförordning som planeras ersätta personuppgiftslagen inom de närmaste åren. Förordningen är ännu på förslagsstadiet men det finns en poäng i att hålla sig informerad om vad som kan väntas framöver. Vi går igenom de viktigaste nyheterna och aktuell status.

Ämne: Vad händer när Datainspektionen kommer på besök?

Talare: Magnus Bergström, Datainspektionen

Magnus Bergström är IT-säkerhetsspecialist på Datainspektionen. Magnus kommer att berätta om Datainspektionens befogenheter och vad som händer när myndigheten gör en inspektion. Magnus har mångårig erfarenhet av tillsyn kring efterlevnad av personuppgiftslagen.

Ämne: Iakttagelser från Datainspektionens praxis

Talare: Terhi Edstam, Transcendent Group

Terhi Edstam är jurist och jobbar som konsult inom financial services på Transcendent Group. Personuppgiftslagen är ett område som ofta ingår i en compliance officers ansvarsområde hos ett finansiellt bolag. Terhi kommer att diskutera de slutsatser som kan dras av Datainspektionens praxis avseende hantering och skydd av personuppgifter inom just finansiella bolag. Terhi har lång erfarenhet av compliancearbete, både från linjeroll som compliance officer och som konsult.

Ämne: Vad är status för förslaget till ny dataskyddförordning och vilka krav kommer förordningen ställa på organisationer som hanterar personuppgifter?

Talare: Per Lundevall, Transcendent Group

Per Lundevall är informationssäkerhetskonsult på Transcendent Group. Per kommer att berätta om förslaget till kommande EU-förordning för skydd av personuppgifter, så att du och din verksamhet är väl förberedda när beslutet fattas inom EU. Per har mångårig erfarenhet av rådgivning, åtgärder och efterlevnad inom området dataskydd.

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
973
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Frukostseminarium om Datainspektionens tillsynsarbete 2014-03-05

  1. 1. Frukostseminarium om Datainspektionens tillsynsarbete Rigoletto den 5 mars 2014
  2. 2. Inspektioner i praktiken Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se
  3. 3. Datainspektionens befogenheter  tillsynsmyndighet enligt personuppgiftslagen (PuL)  TUT: tillgång, uppgifter och tillträde (43 §)  otillräckligt underlag  enbart lagring (44 §)  påpekanden  enbart lagring (45 §)  säkerhetsåtgärder i enskilda fall  vite (32, 45 §§)  begäran hos domstol om utplåning (47 §) 2014-03-05
  4. 4. PuL på tre minuter 33-35 §§ tredje land säkerhet 30-32 §§ information personnummer känsliga uppgifter 2014-03-05 22 § 13-21 §§ tillåten behandling grundläggande krav 23-27 §§ 10 § 9§
  5. 5. Tillsynsverksamheten i stort  Tre olika varianter:    fältinspektioner – ”på plats”-besök (praktik) skrivbordstillsyn – frågor brevledes (teori) enkäter – oftast i form av skrivbordstillsyn  ”Strategisk” tillsyn eller ”på förekommen anledning”  Dock alltid ex officio  Sekretess? Finns, men inte gentemot oss… 2014-03-05
  6. 6. Inspektion – hur går det till?  Initial kontakt (vanligtvis via personuppgiftsombud)       Vad vill Datainspektionen veta? Vilka behöver vara med? När kan vi träffas? Tillsynsskrivelse/bekräftelse Inspektion  protokoll (+ ev. kompletterande frågor)  kommunikation (möjlighet till synpunkter) Beslut 2014-03-05
  7. 7. Beslut och beslutsformalia  Beslutsmening(ar):  Ärendet avslutas (+ eventuell uppföljning)  Konstaterar att… (någon brist)  Förutsätter att X… (åtgärdar bristen)  Förelägger X att… (åtgärda bristen)  Meddelar följande säkerhetsföreskrift… Redogörelse för tillsynsärendet  Skäl, det vill säga de rättsliga grunderna för beslutet  (eventuell) besvärshänvisning  2014-03-05
  8. 8. Besvär?  Ett myndighetsbeslut träder i kraft när det meddelas (offentlig aktör) eller når den det berör (privat aktör).  Kan (oftast) överklagas.  Rättidsprövning.  Överlämnas skyndsamt till förvaltningsrätten (om myndigheten inte självmant ändrar beslutet).  Process  dom  eventuellt högre instans…  Domen vinner laga kraft. 2014-03-05
  9. 9. PuL inom finansiella företag – iakttagelser av en compliance officer Terhi Edstam
  10. 10. © Transcendent Group Sverige AB 2013 Är PuL ett regelverk som compliance ska ansvara för inom finansiella företag?
  11. 11. Röst från branschen © Transcendent Group Sverige AB 2013 ”Min uppfattning är att det helst bör vara den funktion inom bolaget som har bäst kunskap om, eller som i vart fall har lättast att få tillgång till, de personuppgifter som hanteras inom bolagets system. Hos oss ligger ansvaret därför inom juridikavdelningen.”
  12. 12. ”Vår erfarenhet är att PuL-ansvaret bör ligga hos compliance och inte hos legal. Det ingår i compliancefunktionens ansvar att förebygga, monitorera och rapportera regelefterlevnadsrisker. Legal kan ha en roll där de vid behov kan bistå vid regeltolkning men de arbetar inte med risker på samma sätt som vi gör på compliance. Därför anser vi att det är mer lämpligt att ansvaret ligger hos compliance.” © Transcendent Group Sverige AB 2013 Röst från branschen
  13. 13. PuL-ansvaret idag och framöver? • Ändringar väntas avseende frivilligheten att utse personuppgiftsombud © Transcendent Group Sverige AB 2013 • Enligt de nuvarande reglerna är det frivilligt att ha ett personuppgiftsombud. • Enligt Datainspektionen finns det idag 3800 personuppgiftsombud i Sverige. • Olika funktioner kan vara ansvariga för PuL – lägg ansvaret där det bäst kan tas om hand.
  14. 14. © Transcendent Group Sverige AB 2013 Höjd ribba för finansiella företag?
  15. 15. Integritetskänsliga uppgifter © Transcendent Group Sverige AB 2013 • Uppgifter om personliga förhållanden är inom bank- och försäkringsväsendet normalt sett att anse som integritetskänsliga när det handlar om säkerhet. • Ett uttryck för att det är fråga om integritetskänsliga uppgifter är att uppgifterna omfattas av tystnadsplikt eller sekretess.
  16. 16. © Transcendent Group Sverige AB 2013 Går det att dra några generella slutsatser utifrån Datainspektionens undersökningar hos bolag inom finansiell sektor?
  17. 17. • Brister i spårbarhet av åtkomst och bristande behandlingshistorik för att kunna se vem behandlat vilka personuppgifter och när. • Regelbundna och systematiska uppföljningar för att kontrollera vem/vilka som tagit del av vilken information saknas. • Bristande gallringsrutiner. • Rutiner saknas för avskiljande av uppgifter hänförliga till kunder som ej längre är kunder. • Bristande säkerhet vid nya tekniska lösningar såsom appar. • Bristande interna regler för hur personuppgifter ska hanteras. © Transcendent Group Sverige AB 2013 Några exempel på Datainspektionens iakttagelser
  18. 18. © Transcendent Group Sverige AB 2013 Status PuL-compliance? Förbättringspotential finns hos de flesta bolag.
  19. 19. • Lägg PuL-ansvaret hos den befattningshavare eller funktion som är bäst lämpad för uppgiften. Det kan därmed se olika ut hos olika företag. • God kontroll och säkerhetsrutiner krävs då kunduppgifterna anses vara integritetskänsliga. • Datainspektionens praxis visar att utvecklingspotential finns. • Inför kommande regelskärpning kan det vara en god idé att redan nu göra en PuL-inventering. © Transcendent Group Sverige AB 2013 Sammanfattningsvis
  20. 20. Exempel på relevanta frågeställningar och åtgärder: • förteckning över samtliga personuppgiftsbehandlingar? systeminventering? • redogörelse för vilka ändamål personuppgiftsbehandlingar genomförs? • redogörelse för varifrån personuppgifter inhämtas? • information som har lämnats vid insamling av personuppgifter? • samtycken som hämtats vid insamling av personuppgifter? • hur länge sparas uppgifterna? • rutiner för gallring av personuppgifter? • rutiner för att lämna registerutdrag? • rutiner för att ta emot anmälningar om att inte behandla någons personuppgifter? • förekommer det att personuppgifter säljs eller överlämnas till tredje part? I vilket syfte? • informationen om de anställda, vad har HR för rutiner? • interna regler och rutinbeskrivningar uppdaterade? © Transcendent Group Sverige AB 2013 Checklista för PuL-inventering
  21. 21. Förslag till EU-förordning för skydd av personuppgifter Per Lundevall
  22. 22. • Vad innebär förordningen? • Hur påverkar den oss? • När tror vi att den kommer träda i kraft?
  23. 23. Attityder hos medborgarna i EU 70 procent är oroliga 67 procent vet inte var man ska klaga
  24. 24. Varför ny förordning? © Transcendent Group Sverige AB 2013 • Det finns 250 miljoner EUmedborgare på nätet. • Skydd är en grundläggande rättighet. • Personuppgifter är big business. • Avslöjanden från Edward Snowden snabbar upp processen.
  25. 25. • • • • • • En enda uppsättning regler Dataportabilitet och rätten att bli glömd Privacy by design Privacy by default Anmälningsplikt – inom 24 timmar Endast en part © Transcendent Group Sverige AB 2013 Vad föreslår kommissionen?
  26. 26. Om vi inte är compliant då? © Transcendent Group Sverige AB 2013 Böter upp till € 1M eller 2 procent av organisationens totala omsättning.
  27. 27. När börjar förordningen gälla? © Transcendent Group Sverige AB 2013 • beslut beräknas fattas i slutet av 2014 • träder i kraft två år senare
  28. 28. Sammanfattningsvis 70 procent av EU:s befolkning är orolig EU kommer stärka upp med en förordning Påverkar alla organisationer som hanterar personuppgifter Krav på förändringar i nya och befintliga system och processer • Utökade sanktionsmöjligheter • Beslut förväntas tas i slutet av 2014 och träda i kraft 2016/2017 • Så, vad ska ni få med er? © Transcendent Group Sverige AB 2013 • • • •
  29. 29. www.transcendentgroup.com

×