GDPR 20161202 IRM Creative morning Den nya dataskyddsförordningen, General Data Protection Regulation (GDPR) ersätter Personuppgiftslagen (PUL) i maj 2018. I stort sett alla organisationer som hanterar persondata i någon form behöver se över sin hantering och i många fall skapa nya policies, ansvar och rutiner. Det är lämpligt att sätta igång med arbetet redan nu. Vi berättar om den nya lagen och ger förslag på aktivitetsplan. Här är några exempel på förändringar i och med den nya förordningen: Personer ska få tillgång till sina egna uppgifter och kunna begära att bli raderade. Tydligare krav på syftet med hanteringen och samtycke. Tydligare krav på spårbarhet. Strängare krav på den som hanterar persondata i andra hand. Incidentrapportering vid dataintrång. Böter på upp till 20 miljoner Euro eller 4 % av globala omsättningen.

2. Nya Dataskyddsförordningen (GDPR)
Frukostmöte IRM 2016‐12‐02 Peter Tallungs peter@irm.se
© IRM AB All rights reserved

3. 1973 Sverige:
Datalagen
Världens första
nationella
integritetsskydds‐
lagstiftning
1998 Sverige:
Personuppgifts‐
lagen (PuL)
2018 Sverige:
Dataskydds‐
förordningen
© IRM AB All rights reserved

4. 14 april 2016 tog EU‐parlamentet och EU‐rådet ett slutligt beslut om Dataskydds‐
förordningen. Förordningen ska tillämpas i alla medlemsstater från och med den 25
maj 2018
Texten hittar du här:
http://eur‐lex.europa.eu/legal‐content/SV/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=SV
© IRM AB All rights reserved

5. Förordningen bygger i många delar på att det finns
nationella bestämmelser.
Omfattande lagstiftningsarbete kommer att krävas.
Det förutsätts att detta arbete är klart tills maj 2018.
© IRM AB All rights reserved

6. Exempel på stärkta rättigheter för de registrerade:
• Lättare att få insyn
• Rätt att bli bortglömd
• Uppgiftsportabilitet
Exempel på tuffare krav:
• Rapportering av personuppgiftsincidenter
• Registerföring
• Undantaget i PuL för
ostrukturerad data
försvinner
• Krav på
dataskyddsombud
• Sanktioner
© IRM AB All rights reserved

7. personuppgift:
”varje upplysning som avser en
identifierad eller identifierbar
fysisk person (nedan kallad en
registrerad), varvid en identifierbar
fysisk person är en person som
direkt eller indirekt kan
identifieras särskilt med hänvisning
till en identifierare som ett namn,
ett identifikationsnummer,
en lokaliseringsuppgift eller
online‐identifikatorer eller en eller
flera faktorer som är specifika för den fysiska personens fysiska,
fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller
sociala identitet.”
© IRM AB All rights reserved

8. behandling : en åtgärd eller kombination av åtgärder beträffande
personuppgifter eller uppsättningar av personuppgifter, oberoende av
om de utförs automatiserat eller ej, såsom insamling, registrering,
organisering, strukturering, lagring, bearbetning eller ändring,
framtagning, läsning, användning, utlämning genom överföring,
spridning eller tillhandahållande på annat sätt, justering eller
sammanförande, begränsning, radering eller förstöring
© IRM AB All rights reserved

9. personuppgiftsansvarig : fysisk eller juridisk person, offentlig
myndighet, institution eller annat organ som ensamt eller
tillsammans med andra bestämmer ändamålen och medlen för
behandlingen av personuppgifter
personuppgiftsbiträde :
fysisk eller juridisk person,
offentlig myndighet, institution
eller annat organ som
behandlar personuppgifter
för den personuppgiftsansvariges
räkning
© IRM AB All rights reserved

10. Förslag till plan för arbetet med
anpassning till Dataskydds-
förordningen
Att börja med:
1. Kartlägg dagens hantering av persondata:
‐ Vilken persondata hanterar vi?
‐ När/var samlar vi in persondata?
‐ När/var/hur lagrar vi persondata?
‐ När/var/vart/hur skickar vi persondata (till intern eller extern part)?
Leverabler:
‐ Karta över verksamhetsförmågor, informationssystem och
integrationer.
‐ En eller flera informationsmodeller
‐ Rapport över nuläge
2. Skapa ett övergripande arbetsdokument med struktur för hantering av
frågeställningarna som dyker upp under arbetets gång.
© IRM AB All rights reserved

11. Förslag till plan för arbetet med
anpassning till
Dataskyddsförordningen
3. Kartlägg ansvarsförhållanden.
Vad är vi persondataansvariga för?
Vad är vi persondatabiträden för?
Därefter
4. Bygg grundläggande mekanismer: pseudonymisering, rutiner för
radering/utgallring
Sedan
5. Skapa organisation. Persondataombud eller motsvarande för att leda
arbetet framåt
6. Skapa och implementera roller, policies och rutiner
© IRM AB All rights reserved

12. Karta över
verksamhets-
förmågor,
informations-
system och
integrationer
© IRM AB All rights reserved

13.
Kund
t_Kund
fysisk person eller organisation
i roll som kund hos ett förlag
Kunder
Fysiska personer eller organisationer i
roll som kund hos ett förlag
Förlagsenhet
t_Agare
förlag (eller del av förlag)
som äger kunder och
information
Förlag
Kunduppgift hos förlagsenhet
t_KundAgare
kunduppgift hos viss förlagsenhet
Kunduppgift hos förlag
t_KundUppgifterPerForlag
kunduppgift hos ett visst förlag
Förlag
t_Forlag
förlag
Kampanj
t_Kampanj
ett antal erbjudanden som hålls
samman som en enhet
Kampanjer
Samlingar av erbjudanden till kunder
om prenumerationer
Erbjudande
t_Erbjudande
ett antal titlar som som
erbjuds som ett paket
Erbjudanden
En samling titlar som erbjudas som en
enhet till kunder att avtala om
Titel
t_Titel
tidskriftstitel för
prenumeration
Huvudtitel
Prenumeration
t_Abonnemang
arrangemang för kund för
distribution av ett antal
utgåvor av en titel Kampanj
 Erbjudande
Kampanjsplit
t_KampanjSplitKod
identifierad del av kampanj som
skiljer ut vissa
kampanjaktiviteter från andra
Kampanjsplit
Prenumerationsavtal
t_Avtal
avtal mellan kund och förlag
om prenumeration
Titel i prenumerationsavtal
t_AvtalTitel
detalj i prenumerationsavtal
som avser specifik titel
Erbjudandetitel
t_ErbjudandeTitel
titel i erbjudande
 Titel
 Erbjudandetitel
Utgåva
t_Utgava
utgåva av en titel
 Utgåva tom
 Utgåva from
Detaljrad för utgåva i
prenumerationsavtal
t_AvtalTitelUtgava
detalj i prenumerationsavtal
som avser specifik utgåva av
en titel
 Utgåva
Prenumerationer
Mottagare
Titelsortiment
Tidskriftstitlar och utgåvor för prenumeration
Betalare
Distributörer
Distributör
t_Distributor
part som distribuerar titlar,
artiklar och/eller avier
Distributionsgrupp
t_DistributionGrupp
De uppgifter som behövs för en
distributör för distribution av en titel
 Titel
Postdistributör
t_PostDistributor
part som distribuerar
postförsändelser
Postdistributörsområde
t_PostDistributorOmrade
geografiskt område för
postdistribution, definierat av
postdistributör
Postdistributörs‐delområde
t_PostDistributorDelOmrade
postnummerserie, definierad av
postdistributör för postdistribution
Postdistributörer
Distributionsarrangemang för titel
Leverans av utgåva i avtal
t_AvtalTitelUtgavaLev
utförd leverans av utgåva av titel i ett
prenumerationsavtal
Utgåva i
prenumerations‐
avtal
Leverans av utgåva i avtal
Aviseringsarrangemang
t_Faktura
arrangemang för avisering
av en betalare
för en eller flera
prenumerationer
Återbetalning till kund
Återbetalning till kund
t_Aterbetalning
Betalningsavi
t_Avi
meddelande till kund om
vad som ska betalas
Betalningsavirad
t_AviRad
specificering av
delbelopp på
betalningsavi
Titel på betalningsavi
t_AviTitel
faktat att en titel
förekommer på en
betalningsavi
 Titel
Betalning från kund
Betalning
t_Betalning
bokförd prenumerations‐
inbetalning från kund
Kreditering av
betalningsavi
t_Kredit
Betalning som ännu inte är
fakturerad
t_Forskott
prenumerationsinbetalning från
kund som ska faktureras i efterskott
 Titel
 Inbetalare
Kundreskontrapost
t_Reskontra
postering i kundreskontra
Kreditering av
inbetalningsavi
 Fakturamottagare
Huvudtitel –
 titelnummer
 Prenumerationsavtal
 Titel i prenumerationsavtal
 Prenumerationshändelse
Prenumerations‐
 händelse
 Prenumerations‐
avtal
Betalningsavisering
Kund
Prenumerationshändelse
t_AbonnemangHandelse
händelse som har skett,
och/eller i vissa fall ska ske,
för en viss prenumeration
Huvudtitel
Kundreskontra
Parter
Konfigu‐
rering av
utbud
och
tjänster
Drift
Förlag, förlagens utbud
och beställningar
Kunder och förlagens
arrangemang med
kunder
Distribution Betalningshantering
Betalnings‐
händelser
Bokföring av
betalnings‐
händelser
Distributionshändelser
Huvuderbjudande
Erbjudande
Prenumerationsavtal
Erbjudande i
kampanng
t_Kampanj
Erbjudande
Prenumerations‐
beställningar
Prenumerationsbeställningsfil
t_Beställningsfil
fil som vi tar emot från extern
part, med beställningar av
prenumerationer
Kundpost i filpost
prenumerationsbeställningsfil
t_BeställningsfilKundinfo
kundpost i en filpost i
prenumerationsbeställningsfil,
motsvarande en kundroll
(prenumerationsmottagare eller
separat prenumerationsbetalare)
Registrerad kund
Beställningspost
prenumerationsbeställningsfil
t_Beställningsfilrad
Filpost i
prenumerationsbeställningsfil,
motsvarande en
prenumerationsbeställning
Registrerad prenumeration
Förnyelseunderlag
Förnyelseunderlag
t_FornyelseUnderlag
förfrågan till betalande
kund om vilka
prenumerationer som
ska förnyas
Betalare
Huvudtitel
Från prenumerationsavtal
Från avtalstitel
Nytt erbjudande
Nytt erbjudande – Erbudandetitel
Titel
Beställnings‐ och
förnyelsehämdelser
Informations-
modell -
översikt
© IRM AB All rights reserved

14. Informations-
modell –
detalj
© IRM AB All rights reserved

15. Behandling i ostrukturerat material, till exempel löpande text på internet, är enligt
personuppgiftslagen tillåten så länge behandlingen inte utgör en kränkning av den
registrerades personliga integritet. När dataskyddsförordningen träder i kraft försvinner
denna svenska särreglering. Förordningen ska tillämpas i sin helhet på all automatiserad
behandling av personuppgifter.
Har ni i er organisation utnyttjat undantaget för behandling i ostrukturerat material, till
exempel vid publicering av personuppgifter på en webbplats eller i annan löpande text,
är det viktigt att ni undersöker vilka förutsättningar ni har för att behandla uppgifterna
enligt förordningens bestämmelser. Ni kan till exempel behöva undersöka om ni har en
rättslig grund för behandlingen, att ni uppfyller de grundläggande kraven på
behandlingen och att ni informerar de registrerade på ett korrekt sätt.
(Datainspektionen)
Undantaget i PuL för
personuppgifter i
ostrukturerat material
(den så kallade missbruks-
regeln) försvinner
© IRM AB All rights reserved

16. Principer för
behandling av
personuppgifter
– artikel 5 (Motsvarar 9§ PuL)
(Motsvarar 9 § i PuL –
inga större förändringar)
 a) laglighet, korrekthet och öppenhet
 b) ändamålsbegränsning (särskilda, uttryckligt angivna och berättigade
ändamål, ej behandla för oförenliga ändamål)
 c) uppgiftsminimering (adekvata, relevanta, ej för många)
 d) korrekthet (korrekta, uppdaterade, rättas utan dröjsmål)
 e) lagringsminimering (ej spara längre än nödvändigt)
 f) integritet och konfidentialitet (uppgifterna ska skyddas mot obehörig eller
otillåten behandling m.m.)
 Ansvarsskyldighet (den personuppgiftsansvarige ska kunna ansvara för och
kunna visa att punkterna ovan efterlevs)
© IRM AB All rights reserved

17. Laglig behandling
av personuppgifter
– artikel 6 (Motsvarar 10§ PuL )
a) samtycke,
eller nödvändig behandling
för
b) att fullgöra avtal
c) rättslig förpliktelse
d) skydda intressen som är av grundläggande betydelse för den
registrerade
e) arbetsuppgift av allmänt intresse eller led i myndighetsutövning
f) intresseavvägning
Lagstiftaren får precisera tillämpningen
© IRM AB All rights reserved

18. Villkor för
samtycke
– artikel 7
Viljeyttring som ska
vara
 frivillig
 specifik
 informerad
 otvetydig
som ges genom
 uttalande eller
 entydig bekräftande
handling
Personuppgiftsansvarig har bevisbördan
Ska vara lika lätt att återkallas som att ges
© IRM AB All rights reserved

19. Villkor som gäller barns samtycke avseende
informationssamhällets tjänster – artikel 8
Kräver vårdnadshavares
samtycke för barn under 16 år
Medlemsstaterna kan lagstifta om lägre ålder, ner till 13 år
Personuppgiftsansvarig ska
göra rimliga ansträngningar
för att kontrollera att
samtycke ges av rätt person
informationssamhällets tjänster:
tjänster som vanligtvis utförs mot ersättning
på distans, på individuell begäran
© IRM AB All rights reserved

20. Behandling av särskilda kategorier av
personuppgifter – artikel 9
Behandling av särskilda kategorier av personuppgifter är förbjuden med följande
undantag:
a) uttryckligt samtycke (om inte lagstiftning säger att samtycke inte gäller)
b) skyldigheter och rättigheter inom arbetsrätten, social trygghet och socialt skydd
c) skydda den registrerades eller någon annans grundläggande intressen när den
registrerade är fysiskt eller rättsligt förhindrad att ge samtycke
d) stiftelse, förening, ej vinstdrivande organ (politiskt, filosofiskt, religiöst eller fackligt syfte)
e) tydligt eget offentliggörande
fortsättning…
Särskilda kategorier av personuppgifter:
Uppgifter som avslöjar ras eller etniskt ursprung, politiska
åsikter, religiös eller filosofisk övertygelse, medlemskap i
fackförening, genetiska och biometriska uppgifter, uppgifter om
hälsa, sexualliv och sexuell läggning
© IRM AB All rights reserved

21. Behandling av särskilda kategorier av
personuppgifter – artikel 9
Behandling av särskilda kategorier av personuppgifter är förbjuden med följande
undantag:
fortsättning…
f) fastslå, göra gällande eller försvara rättsliga anspråk
g) fullgörande av arbetsuppgift i ett viktigt allmänt intresse på grundval av lag
h) förebyggande hälso‐ och sjukvård, bedömning av arbetskapacitet, diagnoser,
hälso‐ och sjukvård, social omsorg (inklusive administration)
i) allmänt intresse på folkhälsoområdet
j) arkiveringsändamål för historiska, statistiska eller vetenskapliga
forskningsändamål
Flera av punkterna ovan kräver nationell lagstiftning
© IRM AB All rights reserved

22. Behandling av personuppgifter som rör
fällande domar i brottmål samt
överträdelser – artikel 10
Endast
 under kontroll av myndighet
 tillåtet enligt
unionslagstiftningen
eller en medlemsstats
lagstiftning
© IRM AB All rights reserved

23. Klar och tydlig information och kommunikation
samt klara och tydliga villkor för utövandet av
den registrerades rättigheter – artikel 12
All information ska vara begriplig och lämnas i en lätt tillgänglig
form
 ett klart och tydligt språk
 skriftligt, elektroniskt, muntligt (identitetskontroll krävs)
 vid begäran om åtgärd (utdrag, rättelse, radering, begränsning, portabilitet,
invändningar) ska information lämnas inom en månad
© IRM AB All rights reserved

24. Information som ska ges till den registrerade
– artikel 13 -14
− vem som är personuppgiftsansvarig och kontaktuppgifter till ev. dataskyddsombud
− syftet med och den rättsliga grunden för behandlingen
− kategorier av personuppgifter som behandlas
− eventuella mottagare av uppgifterna
− överföring till tredjeland
− lagringsperioden och kriterier för fastställande av perioden
− rätt till registerutdrag, rättelse, radering, begränsning, uppgiftsportabilitet och att invända
mot behandlingen
− rätt att återkalla samtycke
− att man kan ge in klagomål till tillsynsmyndigheten
− varifrån uppgifterna kommer
− förekomst av profilering (bl.a. förutsedda följder)
Behöver ej informera i den mån den registrerade redan förfogar över informationen
© IRM AB All rights reserved

25. Den registrerades rätt till tillgång (”registerutdrag”)
– artikel 15 (och 12)
ungefär samma regler som idag, dessutom gäller
 möjlighet till elektroniska registerutdrag (art. 15.3)
Om den registrerade gör begäran i elektronisk form ska informationen
tillhandahållas i ett elektroniskt format som är allmänt använt om den
registrerade inte begär något annat
 begriplig och lättfattlig form, även muntligt efter id‐koll
 ska lämna en kopia av de uppgifter som håller på att behandlas
 gratis (för ytterligare kopior får man ta ut en administrativ avgift – om begäran
är oskälig p.g.a. dess repetitiva karaktär art. 12.5)
© IRM AB All rights reserved

26. Den registrerades rätt till tillgång (”registerutdrag”)
– artikel 15 (och 12)
Förutom kopia av alla uppgifter som behandlas ska information lämnas om
a) ändamålen med behandlingen
b) kategorier av personuppgifter
c) mottagare eller kategorier av mottagare
d) lagringsperioden
e) rätt att begära rättelse, radering, begränsning och att göra invändningar
f) rätt att inge klagomål till tillsynsmyndigheten
g) varifrån uppgifterna kommer
h) när det gäller beslut grundade på automatisk behandling: logiken bakom samt
betydelsen och förutsedda följder av behandlingen
Överföring till tredjeland samt skyddsåtgärder
© IRM AB All rights reserved

27. Rätt att bli bortglömd
– artikel 17
Rätt att få uppgifter raderade
utan onödigt dröjsmål bl.a. om:
uppgifterna inte längre behövs
uppgifterna behandlats olagligt
den registrerade
o återkallar samtycke
o i vissa fall invänder mot behandlingen av uppgifter (även profilering)
o invänder mot behandling av uppgifter för direkt marknadsföring
(Undantag Artikel 17.3)
Om uppgifterna ska raderas och de har offentliggjorts ska andra
personuppgiftsansvariga som behandlar uppgifterna underrättas
och eventuella länkar till eller kopior av uppgifterna raderas
(Undantag Artikel 17.3)
© IRM AB All rights reserved

28. Rätt till dataportabilitet
– artikel 20
Den registrerade har i vissa fall rätt att
få ut uppgifter som han eller hon själv
lämnat till en personuppgiftsansvarig
för att kunna överlämna till en annan
personuppgiftsansvarig.
Den förste personuppgiftsansvarige får då troligen inte ha kvar
uppgifterna
Uppgiftsportabiliteten gäller inte bara för sociala medier
© IRM AB All rights reserved

29. Automatiserat
individuellt
beslutsfattande,
bland annat
profilering
– artikel 22
profilering: Varje form av automatisk
behandling av personuppgifter som består i att
dessa personuppgifter används för att bedöma
vissa personliga egenskaper hos en fysisk
person, i synnerhet för att analysera och
förutsäga denna fysiska persons
arbetsprestationer, ekonomiska situation, hälsa,
personliga preferenser, intressen, pålitlighet,
beteende, vistelseort eller förflyttningar
© IRM AB All rights reserved

30. Automatiserat individuellt
beslutsfattande,
bland annat profilering
– artikel 22
Registrerad har rätt att inte bli föremål för beslut som enbart
grundas på automatisk behandling och som har rättsliga följder eller
kännbart påverkar personen
Undantag:
− nödvändigt för ingåendet eller fullgörandet av ett avtal,
− uttryckligen tillåts enligt lagstiftning,
− grundar sig på den registrerades samtycke
Lämpliga åtgärder ska vidtas för att skydda den registrerades rättigheter, friheter och
rättsliga intressen.
Profileringen får inte grunda sig på särskilda kategorier av uppgifter (känsliga uppgifter)
© IRM AB All rights reserved

31. Den personuppgiftsansvariges ansvar
– artikel 24
Lämpliga tekniska och organisatoriska åtgärder ska genomföras
för att försäkra och kunna visa att behandlingen följer
förordningen.
Godkända uppförandekodexar eller godkänd
certifieringsmekanism får användas.
© IRM AB All rights reserved

32. Inbyggt dataskydd och dataskydd som standard
– artikel 25
Tekniska och organisatoriska åtgärder ska byggas in från början
så att behandlingen uppfyller alla krav i förordningen och
skyddar den registrerade
Den personuppgiftsansvarige ska genomföra lämpliga tekniska
och organisatoriska åtgärder för att endast de personuppgifter
behandlas som är nödvändiga för varje specifikt ändamål med
avseende på:
o antal insamlade uppgifter
o behandlingens omfattning
o tiden för lagring
o uppgifternas tillgänglighet
o att de inte görs tillgängliga för obegränsat antal enskilda
© IRM AB All rights reserved

33. Personuppgiftsbiträden – artikel 28
Ska ge tillräckliga garantier för säkerheten. Hanteringen ska
regleras genom ett avtal eller liknande där det ska framgå att
personuppgiftsbiträdet:
a) endast får behandla personuppgifter efter dokumenterade instruktioner
b) endast får anlita personal som åtar sig att iaktta sekretess
c) ska vidta alla säkerhetsåtgärder enligt artikel 32
d) endast får anlita annat personuppgiftsbiträde om den
personuppgiftsansvarige skriftligen godkänt detta
e) ska kunna hjälpa personuppgiftsansvarig med att ta fram registerutdrag
m.m.
forts…
© IRM AB All rights reserved

34. Personuppgiftsbiträden – artikel 28
forts…
f) ska bistå personuppgiftsansvarig med att se till att skyldigheterna enligt
artiklarna 32 – 36 fullgörs
o säkerhet (32)
o anmälan av personuppgiftsincident (33)
o information till registrerade om personuppgiftsincident (34)
o konsekvensbedömning avseende dataskydd (35)
o förhandssamråd (36)
g) återlämna eller radera alla personuppgifter till den
personuppgiftsansvarige efter avslutad behandling och förstöra kopior
m.m.
h) ge personuppgiftsansvarig tillgång till info som krävs för att kontrollera att
skyldigheterna fullgjorts och tillåta inspektioner
Personuppgiftsansvarig och personuppgiftsbiträde ska skriftligen
dokumentera instruktioner och skyldigheter
© IRM AB All rights reserved

35. Register över behandlingar – artikel 30
Personuppgiftsansvarig och personuppgiftsbiträde ska föra
register över behandlingar av personuppgifter, som på begäran
ska lämnas till tillsynsmyndighet. (Undantag: färre än 250
anställda) Följande uppgifter ska dokumenteras:
‐ namn och kontaktuppgifter för personuppgiftsansvarig och
personuppgiftsbiträde och ev. dataskyddsombud
‐ kategorier av registrerade och kategorier av personuppgifter
‐ kategorier av behandling
‐ ändamål med behandlingen
‐ kategorier av mottagare
‐ ev. tredjeland
‐ tidsfrister för radering
‐ säkerhetsåtgärder
© IRM AB All rights reserved

36. Säkerhet i samband
med behandlingen
– artikel 32 (motsvarar 31 § PuL)
Vidta lämpliga tekniska och
organisatoriska åtgärder med
beaktande av och hänsyn till
− tillgängliga teknik och genomförandekostnader
− behandlingens art, omfattning sammanhang och ändamål
− sannolikhet för och allvaret av risk för enskildas rättigheter
Åtgärderna kan bl.a. omfatta
− pseudonymisering och kryptering av personuppgifter
− förmågan att säkerställa konfidentialitet, integritet, tillgänglighet och
motståndskraft
− förmågan att återställa tillgänglighet och tillgång till uppgifterna vid fysisk
eller teknisk incident
© IRM AB All rights reserved

37. Anmälan av en personuppgifts-incident till
tillsynsmyndigheten – artikel 33
Personuppgiftsansvarig ska anmäla till tillsynsmyndigheten utan
onödigt dröjsmål (inom 72 timmar efter vetskap om händelsen)
Personuppgiftsbiträde ska informera den personuppgiftsansvarige
omedelbart
Anmälan till tillsynsmyndigheten ska åtminstone
 beskriva personuppgiftsincidentens art
 beskriva kategorier och ungefärligt antal registrerade, kategorier av och
ungefärligt antal uppgiftsposter
 förmedla kontaktuppgifter för dataskyddsombudet
 beskriva de sannolika konsekvenserna
 beskriva föreslagna eller vidtagna åtgärder
© IRM AB All rights reserved

38. Information till registrerade om en
personuppgiftsincident – artikel 34
Den registrerade ska som huvudregel informeras om det föreligger
hög risk för enskildas rättigheter och friheter t.ex.
o att den enskilde förlorar kontrollen över sina uppgifter
o att hans eller hennes rättigheterna inskränks
o att den registrerade utsätts för diskriminering, identitetsstöld eller bedrägeri
o att den registrerade råkar ut för finansiell förlust, skadlig ryktesspridning, brott mot
sekretess eller tystnadsplikt.
Informationen till den registrerade ska innehålla
 uppgift om personuppgiftsincidentens art
 de upplysningar och rekommendationer som ska lämnas till
tillsynsmyndigheten.
(Undantag finns)
© IRM AB All rights reserved

39. Dataskyddsombud – artikel 37
Dataskyddsombud är obligatoriskt
(för både personuppgiftsansvarig och
personuppgiftsbiträde) i följande fall:
 för myndighet eller offentligt organ
 regelbunden och systematisk övervakning av enskilda i stor omfattning
 behandling i stor omfattning av särskilda kategorier av uppgifter eller
personuppgifter som rör fällande domar i brottmål
och överträdelser
Kan vara ett och samma ombud för flera företag i en koncern
eller flera nämnder i en kommun eller liknande. Kan vara
konsult.
© IRM AB All rights reserved

40. Dataskyddsombud – artikel 38
Personuppgiftsansvarig och
personuppgiftsbiträde ska
 se till att ombudet i god tid deltar i alla
frågor som rör skyddet av
personuppgifter
 stödja ombudet genom att tillhandahålla de
resurser som krävs, ge tillgång till personuppgifter,
underhålla hans eller hennes sakkunskap
 se till att ombudet inte tar emot några instruktioner rörande
uppdraget
Den registrerade får kontakta ombudet
Ombudet får inte bli föremål för påföljder för att ha utfört sina
arbetsuppgifter.
Ombudet ska rapportera direkt till högsta förvaltningsnivån
© IRM AB All rights reserved

41. Dataskyddsombud – artikel 39
Dataskyddsombudet ska ha
åtminstone följande uppgifter
 informera och ge råd till den person
uppgiftsansvarige, personuppgiftsbiträdet och
anställda som behandlar personuppgifter
 övervaka efterlevnaden av förordningen,
inbegripet bland annat ansvarstilldelning och utbildning av personal som
deltar i behandling av personuppgifter
 ge råd vad gäller konsekvensbedömning
 samarbeta med och vara kontaktpunkt för tillsynsmyndigheten
© IRM AB All rights reserved

42. Administrativa
sanktions-
avgifter (böter)
– artikel 83
Upp till 10 miljoner euro
eller 2 % av globala
årsomsättningen
(beroende på vilket som är högst) bland annat om
− inget dataskyddsombud
− ingen registerförteckning
− ingen konsekvensbedömning
upp till 20 miljoner euro eller 4 % av globala årsomsättningen (beroende på
vilket som är högst) bland annat om
− behandlar personuppgifter fast det inte är tillåtet
− känsliga personuppgifter fast man inte får
− inte lämnar information som krävs
© IRM AB All rights reserved

43. Läs mer
− Dataskyddsförordningens fulla text i Europarådets officiella tidning:
http://eur‐lex.europa.eu/legal‐content/SV/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=SV
− Datainspektionens information:
http://www.datainspektionen.se/lagar‐och‐regler/eus‐dataskyddsreform/
© IRM AB All rights reserved