2. WE ARE A LEADING
CONSULTING FIRM
WITHIN
MANAGEMENT & IT
2200MSEK
turnover
1986
founded
3BUSINESS AREAS
• Management Consulting
• Digital Consulting
• Enterprise Consulting
OTHER SERVICES
• Maintenance & Outsourcing
employees, share of women
1700 28%
8PARTNERS
7. VAD ÄR GDPR?
EUs nya Dataskyddsförordning
Krav på att ni ska ha kontroll över vilka
personuppgifter som behandlas samt i vilka
system de förekommer.
Ökade krav och skärpt ansvarsutkrävningen
både när ni är Personuppgiftsansvariga och
då ni är Personuppgiftsbiträden
Krav på att ni utför lämpliga tekniska och
organisatoriska åtgärder utformade för för
att säkerställa ett inbyggt dataskydd och
dataskydd som standard.
Ska skydda personers grundläggande fri-
och rättigheter vid behandling av
personuppgifter
Träder i kraft maj 2018 och tiden innan
dess bör användas för att förbereda sig
Företag som inte uppfyller lagen hotas
med vite på upptill 4% av global
årsinkomst eller 20 miljoner
För er organisation innebär det:
8. VAD ÄR EN
PERSONUPPGIFT?
ALL SLAGS INFORMATION SOM DIREKT ELLER
INDIREKT KAN HÄNFÖRAS TILL EN FYSISK PERSON
SOM ÄR I LIVET
8
9. FÖRÄNDRINGAR ATT LÄGGA PÅ MINNET
9
STRAFFAVGIFTERSÄKERHETSINCIDENTER PRIVACY BY DESIGN
SAMTYCKE REGLERAD DATA
UTÖKADE RÄTTIG- &
SKYLDIGHETER
MISSBRUKSREGELNSAMTYCKE BARN
10. DATASKYDDSPRINCIPER
10
LAGLIGHET, KORREKTHET OCH ÖPPENHET
Uppgifterna ska behandlas på ett lagligt, korrekt
och öppet sätt i förhållande till den registrerade.
ÄNDAMÅLSBEGRÄSNING
De ska samlas in för särskilda, uttryckligt angivna och
berättigade ändamål och inte senare behandlas på ett sätt som
är oförenligt med dessa ändamål.
UPPGIFTSMINIMERING
De ska vara adekvata, relevanta och begränsade till vad som krävs i
förhållande till de ändamål för vilka de behandlas.
KORREKTHET
De ska vara korrekta och om nödvändigt uppdaterade, om inte ska de utan dröjsmål
raderas eller rättas.
INTEGRITET OCH KONFIDENTIALITET*
De ska behandlas på ett sätt som säkerställer vederbörlig säkerhet för
personuppgifterna med användning av lämpliga tekniska eller organisatoriska
åtgärder.
ANSVARSSKYLDIGHET*
Den registeransvarige ska ansvara för och kunna visa att principerna efterlevs.
Artikel 5, skäl 39, artikel 6.4, skäl 50
LAGRINGSMINIMERING
De ska förvaras i en form som förhindrar identifiering av den registrerade under en
längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna
behandlas.
1
2
4
3
5
6
7
Sammanfattar huvudsakliga ansvarsområden för
personuppgiftsbehandling
12. Compliance all the way to trust
GRUNDLÄGGANDE AKTÖRER
Dataskyddsombud
Tillsynsmyndighet
Personuppgiftsbiträde
Personuppgiftsansvarig
Tredje part
EDPB
Registrerad
Identifierad eller identifierbar
levande individ vars personuppgifter
behandlas.
Personuppgift
All slags information som direkt
eller indirekt kan hänföras till en
fysisk person som är i livet.
Personuppgiftsbehandling
Åtgärd som inbegriper hantering av
personuppgifter oavsett om den är
automatiserad eller ej; insamling
registrering, lagring, bearbetning,
utlämning, tillhandahållande.
13. EDPB
Compliance all the way to trust
GRUNDLÄGGANDE AKTÖRER
Dataskyddsombud
Tillsynsmyndighet
Personuppgiftsbiträde
Personuppgiftsansvarig
Tredje part
European Data Protection Board
EU-organ som samlar medlemsstaternas
dataskyddsmyndigheter.
14. EDPB
Compliance all the way to trust
GRUNDLÄGGANDE AKTÖRER
Dataskyddsombud
Tillsynsmyndighet
Personuppgiftsbiträde
Personuppgiftsansvarig
Tredje part
Datainspektionen
Central tillsynsmyndighet för personuppgifter.
Ansvarar bl.a. för
- Förebyggande arbete
- Rådgivning och stöd till Dataskyddsombud
- Revision och systemtillsyn av organisationers
tillämpning
- Kontaktpunkt för handläggning av enskildas
klagomål
15. Compliance all the way to trust
GRUNDLÄGGANDE AKTÖRER
Dataskyddsombud
Tillsynsmyndighet
Personuppgiftsbiträde
Personuppgiftsansvarig
Tredje part
EDPB
Personuppgiftsansvarig
Organisation som bestämmer
ändamålen och medlen för behandling
av personuppgift.
Dataskyddsombud
Vissa, men inte nödvändigtvis alla
organisationer måste ha en utsedd
Dataskyddsombud, personen ska utses på
grundval av yrkesmässiga kvalifikationen,
ha en oberoende ställning ex på
ansvarsområden;
Rådgivande och informerande
Övervaka efterlevnad
Samarbete med Datainspektionen
Kontaktpunkt för den registrerade
16. Compliance all the way to trust
GRUNDLÄGGANDE AKTÖRER
Dataskyddsombud
Tillsynsmyndighet
Personuppgiftsbiträde
Personuppgiftsansvarig
Tredje part
EDPB
Personuppgiftsbiträde
Organisation som behandlar
personuppgift åt
personuppgiftsansvariges räkning, ex
sourcingleverantör eller partner
17. Ny inhämtning
Inhämtning
Samtycke
Nytt samtycke
Nytt anv.omr
3 att bli glömd
att korrigera
till transparens
till portabilitet
Jag har rätt:
Jag måste säkerställa
Privacy by design bl a
genom att alltid ha korrekt
information och vara
transparent.
Lagring
4
Rättelse
Information
1
2
5
Gallring
6
PERSONUPPGIFTENS LIVCYKEL
Process DokumentationTeknik/IT Organisation Kommunikation Utbildning CM Kontrollramverk
För varje del i livscykeln måste följande komponenter ses över:
18. 18
SMART OCH KOSTNADSEFFEKTIV INFORMATIONSFÖRSÖRJNING
GDPR är en möjlighet att få ordning på er informationshantering, information &
data management. Ni kan fokusera på att styra er affär med hjälp av en
kostnadseffektiv informationsförsörjning. Ni vet exakt vilka skydd ni behöver och
ni får kontroll på leveransen av IT.
LITA PÅ INFORMATION
De personuppgifter ni samlar in, använder ni som ni lovat.
Informationen är korrekt och uppdaterad. Det går att lita på att de
personuppgifter ni har stämmer. Ni kan bygga er affär på tillförlitlig
information och kan ta risker ni annars inte velat ta.
KONKURRENSFÖRDEL
I ett samhälle där information och sammankopplandet av information
/digitalisering är så centralt blir säkerhet en fråga om trovärdighet. Ett företag
som är transparant med hur de använder personuppgifter, som har kontroll och
kan litas på, kommer att klara sig bättre än sina konkurrenter. Det vet
investerare, ägare och kunder.
FÖRTROENDE SKAPAR MÖJLIGHETER
När en person (kund, partner och anställd) känner tillit till er förmåga
att hantera deras personuppgifter kommer de vara generösare i sin
vilja att dela med sig av uppgifterna. På så sätt skapas utrymme för er
att skapa fler affärsmöjligheter.
MINSKA KOSTNADER FÖR INCIDENTER
Uppfyller ni GDPR har ni kontroll på cybersäkerhet
och IT-säkerhet och slipper dryga böter, skadat
förtroende hos ägare, kunder och omvärlden,
skadat varumärke.
NÄR NI UPPFYLLER GDPR
20. Kundsystem VAN services EDI - växelLeverantörssystem
ERP
WMS
Utskriftssystem
Transport system
Web shop
CRM
BI
21. DATASKYDDSPRINCIPER
21
LAGLIGHET, KORREKTHET OCH ÖPPENHET
Uppgifterna ska behandlas på ett lagligt, korrekt
och öppet sätt i förhållande till den registrerade.
ÄNDAMÅLSBEGRÄSNING
De ska samlas in för särskilda, uttryckligt angivna och
berättigade ändamål och inte senare behandlas på ett sätt som
är oförenligt med dessa ändamål.
UPPGIFTSMINIMERING
De ska vara adekvata, relevanta och begränsade till vad som krävs i
förhållande till de ändamål för vilka de behandlas.
KORREKTHET
De ska vara korrekta och om nödvändigt uppdaterade, om inte ska de utan dröjsmål
raderas eller rättas.
INTEGRITET OCH KONFIDENTIALITET*
De ska behandlas på ett sätt som säkerställer vederbörlig säkerhet för
personuppgifterna med användning av lämpliga tekniska eller organisatoriska
åtgärder.
ANSVARSSKYLDIGHET*
Den registeransvarige ska ansvara för och kunna visa att principerna efterlevs.
Artikel 5, skäl 39, artikel 6.4, skäl 50
LAGRINGSMINIMERING
De ska förvaras i en form som förhindrar identifiering av den registrerade under en
längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna
behandlas.
1
2
4
3
5
6
7
Sammanfattar huvudsakliga ansvarsområden för
personuppgiftsbehandling
Hur länge behöver
vi spara data?
Vilka ska ha rätt
till data?
Får vi spara eller
skicka data?
Hur övervakar och
rapporterar vi?
Vilka personuppgifter
är relevanta?
22. LÅT "PRIVACY BY DESIGN" VÄGLEDA INTEGRATIONSARBETET
samla in så få uppgifter som möjligt
• (bara sådana personuppgifter som är nödvändiga för syftet!)
behålla uppgifter så kort tid som möjligt
• (uppgifter ska raderas/anonymiseras så fort behovet av identifiering upphört)
så få användare som möjligt ska ha tillgång till personuppgifter
• (bara användare som har en yrkesmässig anledning!)
uppgifter ska kunna skyddas under hela sin livscykel
• (insamling, transport, säkerhetskopiering, skrotning av lagringsmedia mm)
22http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/inbyggd-integritet-privacy-by-design/
25. UPPGIFTSMINIMERING
• ”Allting loggas… Överallt.. Och det är inbyggt i koden..”
− Skapa upp skript som rensar data och schemalägg
− Spara inte data i onödan!
• Konsolidering av meddelanden
− Flytta uppsamling till käll-systemet.
• Konsekvenser av att filer är bortrensade:
− Svårare/omöjligt att felsöka och åtgärda.
− Systemstöd för att kunna göra omskick filer från käll-systemet.
− Krav på bättre loggning.
− Arkivering och loggning är i vissa lösningar ihoplänkat.
25
Lagringsminimering
Change Management
26. UTMANINGAR MED INTEGRATIONSUTVECKLING
• Exempelfiler för
utveckling ska vara
anonymiserade.
Utveckling
• Krav mot kunder &
leverantörer vid test
av EDI flöden.
• Anonymisering av
data kan behövas.
Test &
Acceptans • GDPR data får
förekomma men i
kontrollerad form.
Produktion
26
Lagringsminimering
27. ANONYMISERA DATA
• ORDERS
− Anonymisera adressdata in testsystems
• Export till CRM
− Anonymisera org. nummer i export till test CRM system
27
PROD
/
TEST
Anonymisera
data
Lagringsminimering
28. SÄKRA UPP INTEGRATIONSLANDSKAPET
Data/system
tillgång
Data inte tillgänglig I
integrationsplattform.
Säkra protokoll
• SFTP
• HTTPS
• Etc.
Rollbaserad tillgång
Sätta upp rättigheter på
databaser.
Sätta upp rättigheter på
fileshares.
Kryptering
Kryptera filer/känsligt
data.
28
Integritet &
konfidentialitet
29. MONITORERING
• Verifiera status på rensningsskript.
• Verifiera rättigheter på shares
29https://blogs.msdn.microsoft.com/biztalkhealthmonitor/2014/06/26/overview-of-biztalk-health-monitor-bhm/
Ansvarsskyldig
het
32. SCENARIO (2) HÄLSO-APP
INFORMATION OM OCH SAMTYCKE TILL BEHANDLING AV PERSONUPPGIFTER
32
Jag
Försäkringsbolag
personuppgiftsansvarig
Analys, bedömning &
rapportering av mottagen data..
Påvisa samband mellan hälsofrämjande
aktiviteter & minskad ohälsa
Friskvårdsaktiviteter
Samtycke
• Ditt namn
• Personnr
• Födelsedatum
• Mejladress
• Vilken arbetsgivare
Riktad marknadsföring
Tillhandahålla rabatter,
kundanpassa varor och tjänster
33. GDPR
THE EU GENERAL DATA PROTECTION REGULATION
33
• Leverantörsintegrationer
• Arkitektur med servrar utanför EU
34. 34
INTERFACE
ANALYS OCH
ACTION PLAN
1. Lista alla Interface
Lista av alla interface
5. Skapa upp rensningsjobb &
validering
Om personuppgifter måste
sparas temporärt. Skapa upp
rensningsjobb och validering.
6. Validera externa partners
Skickas data till externa
partners. Se till att rätt
dokumentation finns.
4. Definiera grupper som behöver
tillgång till filerna
Lista vilka användare/grupper
som behöver tillgång till data och
varför.
3. Behöver man arkivera
integrationsmeddelandet?
Tänk på att inte lagra data som
inte behövs. Om behov finns,
identifiera hur länge behovet
finns.
2. Innehåller integration GDPR
data?
Kan man klara sig utan
personuppgifter i integrationen?
37. Compliance all the way to trust
3. Implementation av
GDPR “compliance”
baseline
1. GDPR
complianceanalys
2. GDPR-arkitektur och
planering
4. GDPR baseline
validering och
verifiering
Risker och svagheter
mitigerade i företagets
arkitektur och planer
Känn till dina
risker och
svagheter
Steg för steg uppnå
“compliance”
Kontinuerligt mäta
och kontrollera
hygiennivå
“Paper trail to demonstrate
compliance”
- En väl dokumenterad
process för att vid ev
incident eller revision kunna
bevisa att ni har gjort vad ni
förmår för att förhindra
incidenter.
ACANDOS FÖRSLAG PÅ
ANGREPPSSÄTT
GDPR
complianceanalys
38. An assessment to help the client understand how
their business measures up to GDPR today.
• areas the client needs to prioritize
• step-by-step road-map to compliance
1. ASSESSMENT
38
Implementation will involve business
stakeholders, IT-organization as well as vendors.
2. IMPLEMENTATION
Both the regulation and our client processes are
in movement and need to be reviewed and
aligned regularly.
3. VERIFICATION & VALIDATION
1
May 25th 2018
2 3 3
As of today Acando has over 70 consultants educated and certified in GDPR, working
with a cross-functional approach with subject matter experts at its core. This gives
both a width and depth in our capacity to help our clients on their way to compliance
of the General Data Protection Regulation (GDPR).
TYPICAL CLIENT NEEDS AND ACANDO SERVICE OFFERINGS
Denna första bild som fungerar som en ”överflygning” av Acando som fungerar att prata kring
Vår ambition är att aktivt öka andelen kvinnor samt att aktivt sänka medelåldern.
JOANDA
JOANDA
Så… Vad är GDORGDPR är EU:s nya dataskyddsförordning och omfattar alla organisationer som på något sätt hanterar personliga och känsliga uppgifter om sina anställda eller kunder. Lagen innebär bland annat hårdare krav än PUL Lagen
Förstärkning av enskildas rättigheter och tydliggörande av ansvar och skyldigheter för den som behandlar personuppgifter
Modernisering – nu gällande regler bygger på ett direktiv från 1995, innebär att PUL kommer att sluta gälla
Harmonisering – samma rättigheter och skyldigheter i hela EU/EES
Fritt flöde av personuppgifter inom EU?
Vad är som gäller för bolagen? * Krav på kontroll över vilka PU som behandlas samt vilka system de kan förekomma i
* Ökat krav och ansvarsutkrävning bade för Personuppgiftsansvariga och biträden, vilket vi kommer gå in på mer i detalj senare i presentationen.
Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till.
Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. (3 § personuppgiftslagen)
Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. En anställd eller någon annan som behandlar personuppgifter under den personuppgiftsansvariges direkta ansvar är inte personuppgiftsbiträde.
Ett personuppgiftsbiträde kan vara antingen en fysisk eller en juridisk person. Om en personuppgiftsansvarig till exempel anlitar en servicebyrå blir denna ett personuppgiftsbiträde som får behandla personuppgifter enligt den personuppgiftsansvariges instruktioner..
Tryck särskilt på exempel såsom
Cookie ID
IP-adress
Fakturanummer
Etc.
Samtycke - Strängare villkor, Det är viktigt att företag ber om samtycke/medgivande där det tydligt anges syftet för insamling av data, rättslig grund för behandlingen och hur länge den kommer lagras. Den enskilde har rätten att återkalla samtycke. Som det ser ut idag kan ett företag som vill sälja kunddata gömma några ord om det i de allmänna villkoren. Men den nya dataskyddsförordningen kräver ett mycket mer uttryckligt och tydligt samtycke från konsumenten. Det finns också andra legala grunder för att behandla personuppgifter, exempelvis för att kunna fullfölja ett avtal eller att det finns andra undantag i lagar.
Barn – om ett barn under 16 år vill använda sig av onlinetjänster så krävs det att föräldrar ger sitt samtycke. Uttryckas tydligt och på ett sätt så att barn förstår. Än strängare regler gäller för barn under 13 år.
Reglerad Data - Definitionerna av personuppgifter och känsliga personuppgifter har utökats. (Tex. Genetisk och biometrisk data ( hälsa och genetisk data, ras, politisk åsikt, tro, medlem
i fackförening. )
Missbruksregeln: GDPR gäller både för strukturerad som ostrukturerad persondata – Strukturerad – Databas Ostrukturerad - ljud Bild, email.
Säkerhetsincidenter: Ny reglering av hur säkerhets incidenter ska upptäckas, rapporteras och kommuniceras. Incident ska rapporteras till tillsynsmyndigheten samt den som berörs av incidenten inom 72 timmar, från det att ärendet upptäckts. Så om ett företag blir hackad och utsätter personuppgifter för fara så ska detta rapporteras till datainspektionen som är sveriges tillsynsmyndighet
“Privacy by Design”. VI kan kalla det ”Inbyggd integritet” på svenska, detta innebär i korthet att företag är skyldiga att systemet ska designas och ha inbyggda mekanismer som skyddar den personliga integriteten. Tex. uppgifter kan bara lagras en viss tid och sedan tas de bort. Inbyggd integritet innebär t.ex. att man kan bygga in att data raderas automatiskt.
Utökade rättig & skyldigheter: Individen får utökade rättigheter –vilka detta är kommer jag till sen. Företag har stärkta krav på att göra säkerhetsbedömningar, Konsekvensbedömningar vid val av tex molntjänst, leverantör -
Straffavgifter: De företag som inte följer förordningen riskerar bland annat straffavgifter, som i värsta fall kan belasta organisationer med viten upp till 4% av globala årsomsättning.
Dataskyddsprinciperna sammanfattar de huvudsakliga ansvarsområden som följer personuppgiftsbehandling för organisationer.
Principerna är i huvudsak oförändrade men med en del skärpningar samt med tillägget ansvarsskyldighet
Tänk på!
- De grundläggande principerna gäller alltid när ni behandlar personuppgifter
- Ni ska behandla personuppgifter på ett öppet sätt i förhållande till den registrerade
- Det räcker inte att göra rätt utan ni ska kunna visa att ni gör rätt!
Laglighet korrekthet och öppenhet
Klart och tydlig språk, transparens, lättillgängligt. Det bör vara klart och tydligt för den registrerade hur personuppgifter som rör dem insamlas, används, konsulterats eller på andra sätt behandlas. Kommunikationen måste ske på ett lättgillgänglit och lätt begripligt sätt.
Ändamålsbegränsning
”Uppgifterna ska samlas in för särskilda, uttryckligt angivna ochberättigade ändamål och inte senare behandlas på̊ ett sätt som är oörengligt med dessa ändamåö”
Ändamålet ska dokumenteras
Oförenlighetsprövning – art 6.4
UPPGIFTSMINIMERING
Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas”
Inte för att personuppgifterna kan vara ”bra att ha”
Korrekthet
Uppgifterna ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål”
Lagringsminimering
”Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas”
Inför tidsfrister för radering eller regelbunden kontroll
Integritet och konfidentialitet
”Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder”
- Nyhet- Säkerhet för personuppgifter
ANSVARSKYLDIGHET
Ska ansvara och kunna visa att principerna efterlevs – papertrail, validering/verifiering
Hur kan visa att vi föjer GDPR?
Öppenhetsprincipen – transparens
Interna strategier för dataskydd
Dokumentation
Uppförandekoder – sektorspecifika, branchöverenskommelse, direktmarknadsföring
Certifiering –
Systematiskt arbeta med dataskyddsfrågor
Personuppgfitsansvarige ska föra register
Vid behandling av personuppgifter ska följande gälla:
Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål; ytterligare behandling av personuppgifter för arkiveringsändamål i allmänhetens intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 83.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).
c) De ska vara adekvata, relevanta och begränsade till vad som krävs i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
d) De ska vara korrekta och om nödvändigt uppdaterade; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).
e) De ska förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter får lagras under längre perioder i den mån som uppgifterna uteslutande behandlas för arkiveringsändamål i allmänhetens intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 83.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att garantera den registrerades fri- och rättigheter (lagringsminimering). eb)
De ska behandlas på ett sätt som säkerställer vederbörlig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).
ee) (…)
f) (…)
2. Den registeransvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).
Registrerad
Identifierad eller identifierbar levande individ vars personuppgifter behandlas
PersonuppgiftAll slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet
Personuppgiftsbehandlingåtgärd som inbegriper hantering av personuppgifter oavsett om den är automatiserad eller ej; insamling registrering, lagring, bearbetning, utlämning, tillhandahållande
European Data Protection Board EU-organ som samlar medlemsstaternas dataskyddsmyndigheter
Datainspektionen central tillsynsmyndighet för personuppgifter ansvarar bl.a. för
Förebyggande arbete
Rådgivning och stöd till DPO/PUO
Revision och systemtillsyn av organisationers tillämpning
Kontaktpunkt för handläggning av enskildas klagomål
Dataskyddsombud
Vissa, men inte nödvändigtvis alla organisationer måste ha en utsedd Dataskyddsombud, personen ska utses på grundval av yrkesmässiga kvalifikationen, ha en oberoende ställning ex på ansvarsområden;
Rådgivande och informerande
Compliance översyn
Samarbete med Datainspektionen
Kontaktpunkt för den registrerade
Personuppgiftsbiträde
Organisation som behandlar personuppgift åt personuppgiftsansvariges räkning, ex sourcingleverantör eller partner
Tredje part
Organisation som är behöriga att behandla personuppgift men som inte är direkt under PuA eller PuB
Personuppgift
Varje upplysning som avser en identifierad eller identiferbar fysisk person varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identfierare som ett namn, ett identifiktionsnummer, en lokaliseringsuppgift eller onlineidentifkator leller en eller flera faktorer som är specifika för den fysksika personnens fysiska, fysiologiska, genetisk, psykiska, ekonomiska, kulturella eller sociala identitet
Behandling
En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende om de utförs automatiserat eller ej, såsom insamling, regisrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begräsning,radergin eller förstöring.
Begränsning av behandling
Uppgifterna får endast användas i vissa särskilt angivna fall, bl.a. den registrerades samtycke
På begäran av den registrerade
vid begäran om rättelse eller invändning,
som alternativ till radering,
om den registrerade behöver uppgifterna för rättsliga anspråk
Den registrerade ska underrättas när begränsningen upphör
Invända mot behandling
Rätt att invända mot (motsätta sig) behandling som grundas på allmänt intresse, myndighetsutövning eller intresseavvägning
Den personuppgiftsansvarige måste göra en ny prövning (intresseavvägning) utifrån den registrerades situation och eventuellt upphöra med behandling
Vid direkt marknadsföring måste behandling upphöra
Särskilt om forskning och statistik och bevakning av rättsliga anspråk, allmänt intresse m.m.
EDPB he Article 29 Working Party (WP29), bringing together the European Union’s national data protection authorities,
which will similarly be made up of the heads of national supervisory authorities (or their representatives)
The EDPB has a much enhanced status. It is not merely an advisory committee, but an independent body of the European Union with its own legal personality.
The EDPB normally decides matters by a simple majority, but rules of procedure and binding decisions (in the first instance) are to be determined by a two-thirds majority.
Primary role is to contribute to the consistent application of the GDPR throughout the Union. It advises the Commission, in particular on the level of protection offered by third countries or international organisations, and promotes cooperation between national supervisory authorities. It issues guidelines, recommendations and statements of best Practice.
The EDPB’s most distinctive new role is to conciliate and determine disputes between national supervisory authorities
dock finns det även ca 15 andra myndigheter som utövar viss tillsyn
Val av vilken tillsynsmyndighet I Eu som blir aktuell från fall till fall beror på:
För att PUO eller PuB är etablerad på tillynsmyndighetens territorium
Registrerade som är bosatta I den tillsynsmyndighetens medlemstat I väsentlig ggrad påverkas eller sannolikt I väsentlig grad kommer att påverkas av behandlingen
Ett klagomål lämnat in till denna tillsynsmyndighet
Personuppgiftsansvarig
En fysisk eller juridisk person offentlig mydnighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandling av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemtaternas nationella rätt kan den personuppgiftsansvarige ller de särskilda kriterierna för hur denne ska utses öreskrivas I uniosrätten eller I medlemstaternas nationella rätt
Skyldigheter för personuppgiftsansvariga
Ansvarsskyldighet
Den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att förordningen följs, och för att kunna visa att förordningen följs
Inbyggt dataskydd och dataskydd som standard
Register över behandlingarSäkerhetAnmälan av personuppgiftsincidenter
Konsekvensbedömningar och förhandssamråd
Utse dataskyddsombud?
Dataskyddsombud
Organisationer är skyldiga att utse ett dataskyddsombud om:
Myndighet (ej domstolar i deras dömande verksamhet).
Kärnverksamheten består av behandling, som på grund av sin karaktär, sin omfattning och eller sina ändamål kräver regelbunden eller systematisk övervakning av de registrerade i stor skala.
Kärnverksamheten består av behandling i stor skala av integritetskänsliga personuppgifter (det som idag är känsliga person-uppgifter jämte genetiska eller biometriska data för identifiering samt uppgifter om lagöverträdelser m.m.).
Medlemsstaterna kan utöka skyldigheten att utse ett dataskyddsombud. Här är det således upp till lagstiftaren att besluta om det ska finnas en utökad skyldighet (art. 37.4).
Personuppgiftsansvariga, personuppgiftsbiträden eller sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden får även i andra fall utse ett personuppgiftsombud (art. 37.4).
Skyldigheten omfattar såväl personuppgiftsansvariga som personuppgiftsbiträden (art. 37.1).
Vem kan utses till dataskyddsombud?
Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 39 (art. 37.5)
Fysisk person
Kan vara anställd av den personuppgiftsansvarige eller vara ett externt ombud (art. 37.6).
Dataskyddsombudet får ha andra arbetsuppgifter men dessa får inte leda till en intressekonflikt för ombudet (art. 38.6)
Dataskyddsombudets uppgifter (art. 39)
Informera och ge råd till personuppgiftsansvariga eller personuppgiftsbiträden samt anställda.
Övervaka att reglerna i förordningen och andra dataskyddsregler efterlevs (även andra medlemsstaters regler).
På begäran ge råd i den ”konsekvensbedömning” som ska göras och se till att den följs.
Samarbeta med Datainspektionen och bl.a. vara kontaktpunkt.
Iaktta den ”riskbaserade approachen”.
Ska vara tillgänglig för de registrerade som kan kontakta ombudet för utövande av sina rättigheter som registrerad (art. 38.4). Kontaktuppgifterna ska offentliggöras.
Dataskyddsombudets ställning
Ska ha en oberoende ställning i förhållande till den personuppgiftsansvarige eller personuppgiftsbiträdet (art. 38.3).
Ska inte kunna bestraffas för utövandet av sitt uppdrag (art. 38.3)
Ska rapportera direkt till ”högsta förvaltningsnivå” (art. 38.3).
Ska vara bunden av tystnadsplikt i enlighet med nationell lag eller EU-lagstiftning (art. 38.5).
Några kommentarer
Det kommer ställas högre krav på dataskyddsombudets kvalifikationer. Det finns en osäkerhet hur kravet kommer tolkas.
Datainspektionen har ingen förhandsinformation om hur lagstiftaren tänker kring utökad skyldighet att utse dataskyddsombud.Anmälningsskyldigheten ersätts av en skyldighet att till Datainspektionen meddela dataskyddsombudets kontaktuppgifter (se art. 37.7).
Förteckningsskyldigheten för dataskyddsombud upphör. Denna skyldighet gäller, under vissa förutsättningar, istället för personuppgiftsansvarig (se art. 30).
Den uttryckliga skyldigheten för dataskyddsombudet att anmäla brister till Datainspektionen försvinner. Samtidigt finns ett krav på ombudet att samarbeta med tillsynsmyndigheten vilket naturligtvis kan innebära att denne tar kontakt med myndigheten i motsvarande situationer.
Det är oklart om det går att ha fler än ett dataskyddsombud.
Personuppgiftsbiträde
Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Skyldigheter för personuppgiftsbiträden
Lämna garantier för att förordningen följs
Krav på biträdesavtalet
Bistå den personuppgiftsansvarige
Register över behandling
Eget ansvar för säkerhet
Anmälan av personuppgiftsincidenter – till den personuppgiftsansvarige
Utse dataskyddsombud
Tredje part
Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ son inte är den registrerade, den personuppgiftsbiträde eller de som personer som under den personuppgiftsansvariges eller personuppgiftsbiträdes direkta ansvar är behöriga att behandla perosnuppgifterna
Vi gick tidigare igenom lite kort om vad en personuppgift är, men hur skulle en personuppgifts livscykel kunna se ut i ett makroperspektiv hos organisationer eller bolag.
Inhämtning, här ska bolagen kika mer på:- Vilka personuppgifter ska vi behandla och vad vill vi använda dem till? ”nice to have” VS ”Must have”- vilken är den rättsliga grunden för inhämtning- vilka system kommer att användas för behandlingen? etc
2. Information och registerutdrag till berört dataobjekt
Information är en väsentlig del av skyddet
Den personuppgiftsansvarige har en skyldighet att - ge klar och tydlig information- underlätta utövande av rättigheterna
Tidsfrister och kostnadsfritt
Informationsskyldigheten är mer omfattande än tidigare
3. Samtycke
samtyckesframställan ska presenteras på ett klart och tydligt sätt och ni ska kunna visa att den registrerade har samtyckt
Den registrerade ska informeras om rätten att återkalla ett samtycke
Mycket begränsat för myndigheter att använda
Om villkoret för att få tillgång till en vara och tjänst är ett samtycke till onödig behandling (utöver) kan det innebära att samtycket inte kan anses frivilligt
Samtycke av barn under 16 år (13 år) kräver godkännande av vårdnadshavare för ”informationssamhällets tjänster”
4. Lagring
Lagtringsminimering - Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas”
Inför tidsfrister för radering eller regelbunden kontroll
5. Rättelse
Rätta felaktiga uppgifter
Komplettera ofullständiga uppgifter
Informera mottagare om rättelsen
6. Gallring
Radering – ”rätten att bli glömd”
Radera personuppgifter om den registrerade
Informera, i vissa fall, andra personuppgifts- ansvariga och mottagare
Förutsättningar, bl.a.- om uppgifter inte längre behövs för ändamålen- återkallat samtycke
Undantag, bl.a. Artikel 17 och 19, skäl 65-66 -Nödvändig för yttrande- och informationsfriheten - Nödvändig för rättslig förpliktelse, allmänt intresse och myndighetsutövning, rättsliga anspråk
1.1 Ny inhämtning
Så fort en personuppgiftsbehandling görs med nytt ändamål måste nytt samtycke, ny information etc göras
Dataportabilitet
Rätt att få ut och överföra egna personuppgifter till annan personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format, om
uppgifter har tillhandahållits av den registrerade, behandling sker med stöd av samtycke eller avtal, behandling sker automatiseratinte påverkar andra rättigheter och friheter
Process: hur arbetar vi säkert?
Teknik/It – hur löser vi det tekniskt på säkrast möjligast sätt?
Organisation – vilka roller måste finnas utpekade, vad är deras ansvar och mandat, var i organisationen?
Dokumentation – En väl dokumenterad process för att vid eventuell incident eller revision kunna bevisa att ni har gjort vad ni förmår för att förhindra incidenter.
Kommunikation – anpassad kommunikation till berörda delar, smart kommunikation till konsumenter,
Utbildning/Stöd – löpande utbildning av berörda personer, policies/instruktioner för koncerngemensam hantering samt för att säkerställa ett grundläggande regeluppfyllnad. Dessa kan användas som en verktygslåda för samtliga delar inom verksamheten.
Change Management – samtliga processer som tas fram måste kunna hantera förändring,
Kontrollramverk – hur verifiera och kontrollera regelefterlevnad?
JOANDA
Komplext landskap.. Många system.. Många aktörer.
Vilka av dessa principer är tillämpliga
Vilka personuppgifter är relevanta?
Hur länge behöver vi spara data?
Vilka ska ha rätt till data?
Hur övervakar och rapporterar vi?
Låt "Privacy by design" vägleda integrationsarbetet
mer konkreta exempel
JOANDA
Köer för konsolidering…
Ytterligare en eller flera dimensioner.
Anonymisera i olika miljöer.
Säkerhet
Rensa och övervaka
JOANDA
Lägg till dokument.. Som tars bort..
Hjälpa till att informera om dataspridning.
Kolla globalt.. Utmaningar och möjligheter.
Integrationsplattform i molnet?