GDPR 20170215 IRM Creative morning
Den nya dataskyddsförordningen, General Data Protection Regulation (GDPR) ersätter Personuppgiftslagen (PUL) i maj 2018. I stort sett alla organisationer som hanterar persondata i någon form behöver se över sin hantering och i många fall skapa nya policies, ansvar och rutiner. Det är lämpligt att sätta igång med arbetet redan nu. Vi berättar om den nya lagen och ger förslag på aktivitetsplan.
Här är några exempel på förändringar i och med den nya förordningen:
Personer ska få tillgång till sina egna uppgifter och kunna begära att bli raderade.
Tydligare krav på syftet med hanteringen och samtycke.
Tydligare krav på spårbarhet.
Strängare krav på den som hanterar persondata i andra hand.
Incidentrapportering vid dataintrång.
Böter på upp till 20 miljoner Euro eller 4 % av globala omsättningen.
4. Dataskyddsombud Sverige AB
Historik
Grundare och medarbetare
Tjänsteområden
Analys och Projektledning
Utbildningar
IT‐rätt (Persuppgiftsbiträdesavtal)
IT‐säkerhet
Dataskyddsombud
Rekrytering och bemanning
Varför välja oss?
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
5. Kursens syfte och mål
Nyheter medkommande Dataskyddsförordningen
Olika typer av personuppgifter
Grundläggande krav och laglig grund för behandling
Den registrerades rättigheter
Den personuppgiftsansvariges ansvar/skyldigheter
Personuppgiftsbiträden
Sanktioner
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
6. Historik
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
1973
Datalagen
1995
Dataskyddsdirektivet
1998
Personuppgiftslagen
2007
Uppdaterad
Personuppgiftslag
April 2016
General Data Protection
Regulation ‐ GDPR
Januari 2012
Kommissionens förslag till
dataskyddsförordning
Maj 2018
GDPR träder i kraft
1973
Datainspektionen
7. Dataskyddförordningen
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Antogs den 24 maj 2016, tillämpligt från den 25 maj 2018.
Generell förordning som kommer att gälla lika i alla EES‐länder.
Förordning är tillskillnad från direktiv direkt tillämplig i varje medlemsland
Förordningen tillåter dock varje enskilt medlemsland ett visst mått av egen
lagstiftning.
9. Dataskyddförordningen
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Regeringen har tillsatt en utredning som ska redovisa uppdraget senast den
12 maj 2017. (Kommittédirektiv 2016:15)
Undersöka vilka kompletterande nationella föreskrifter som förordningen kräver.
Analysera vilka bestämmelser om administrativa sanktionsavgifter och andra sanktioner
som Sverige behöver eller bör införa.
Undersöka om det finns behov av generella bestämmelser för
personuppgiftsbehandling utanför EU‐rättens tillämpningsområde.
När rapporten kommer, blir det tydligare vad som kommer att gälla i Sverige.
10. Dataskyddförordningen
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Aktivt ansvar för
personuppgiftsansvariga
Ansvar även för
personuppgiftsbiträden
Incidentrapportering
Ökade krav på information till
registrerade
Inbyggt dataskydd
Konsekvensbedömningar
Dataskyddsombud
Missbruksregeln försvinner
Ökade sanktioner och
skadestånd till registrerade
Dataportabilitet
Ökat skydd för barn
Pseudonymisering
11. Dataskyddförordningen
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Tillämplig på helt eller delvis automatiserad behandling av personuppgifter
samt manuell behandling om personuppgifterna ingår i eller kommer att ingå
i ett register.
Personuppgifter som inte är ordnade enligt särskilda kriterier omfattas inte av
GDPR.
Gäller endast personer i livet (samma som PuL).
12. Territoriell tillämplighet
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Utökat territoriellt tillämpningsområde
Behandlingen utförs av personuppgiftsansvarig eller ett
personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen
utförs i unionen eller inte.
Behandling av personuppgifter som avser registrerade som befinner sig i
unionen och som utförs av en personuppgiftsansvarig eller ett
personuppgiftsbiträde som inte är etablerad i unionen, om behandlingen har
anknytning till:
utbjudande av varor eller tjänster till sådana registrerade i unionen
övervakning av registrerades beteende
13. Personuppgifter
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Personuppgiftslagen
All slags information som direkt eller indirekt kan hänföras till en
fysisk person som är i livet.
Dataskyddsförordningen
Varje upplysning som avser en identifierad eller identifierbar fysisk
person (nedan kallad en registrerad), varvid en identifierbar fysisk
person är en person som direkt eller indirekt kan identifieras
särskilt med hänvisning till en identifierare som ett namn, ett
identifikationsnummer, en lokaliseringsuppgift eller
onlineidentifikatorer eller en eller flera faktorer som är specifika
för den fysiska personens fysiska, fysiologiska, genetiska, psykiska,
ekonomiska, kulturella eller sociala identitet.
14. Behandling
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Behandling (enligt Dataskyddsförordningen)
En åtgärd eller kombination av åtgärder beträffande
personuppgifter eller uppsättningar av personuppgifter,
oberoende av om de utförs automatiserat eller ej, såsom
insamling, registrering, organisering, strukturering, lagring,
bearbetning eller ändring, framtagning, läsning, användning,
utlämning genom överföring, spridning eller tillhandahållande på
annat sätt, justering eller sammanförande, begränsning, radering
eller förstöring,
15. Missbruksregeln
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Enligt PuL behöver stora delar av lagens bestämmelser behöver inte
tillämpas på behandling av personuppgifter som finns ostrukturerat
material så länge behandlingen inte innebär en kränkning av den
personliga integriteten
Ostrukturerat material är:
”Personuppgifter som inte ingår i eller är avsedda att ingå i en samling av
personuppgifter som har strukturerats för att påtagligt underlätta sökning efter
eller sammanställning av personuppgifter.”
Missbruksregeln kommer att försvinna med Dataskyddsförordningen!
16. Missbruksregeln
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Ingår i eller är avsedda att ingå i en samling av personuppgifter
Undantaget är tillämpligt på personuppgifter som inte ingår i eller är tänkta att ingå i en
samling av personuppgifter
Personuppgiftsanknuten struktur:
Undantaget tillämpligt på personuppgifterna som inte har strukturerats utifrån just
personuppgifter
Undantaget är tillämpligt om struktureringen skett utifrån t.ex. datum och klockslag.
Undantaget kan tillämpas även om det det går att sammanställa indexerade
personuppgifter om detta inte gjorts.
Påtagligt underlätta sökningen eller sammanställning av personuppgifter:
Undantaget är tillämpligt om strukturen inte uppnått viss nivå eller kvalitet
Namn i bokstavsordning omfattas av undantaget
Lista på personuppgifter måste vara statisk för att undantaget ska vara tillämpligt.
17. Missbruksregeln
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Delar av PuL som inte behöver tillämpas på ostrukturerat material:
9 § Grundläggande krav på behandling
10§ När behandling är tillåten
13 § Förbud mot behandling av känsliga uppgifter
21 § Förbud mot andra än myndigheter att behandla uppgifter om brott
22 § Restriktioner vid behandling av personnummer
23 och 24 §§ om information till den registrerade
26 § registerutdrag
28 § om rättelse
33 § om överföring av personuppgifter till tredje land
42 § upplysningar till allmänheten om behandlingar som inte anmälts till TSM
18. Missbruksregeln
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Undantaget bara aktuellt på automatiserad behandling eftersom manuell
behandling av personuppgifter omfattas av PuL endast om de ingår i ett
register.
Följande typer av personuppgifter, vilka nu anses som ostrukturerat
material, kan komma att omfattas av GDPR.
Enkla listor med personuppgifter (tidigare okvalificerade)
Publicering av löpande text på Internet (ej strukturerade)
Användning av ljud‐ och bildupptagningar (ej strukturerade)
Vanlig användning av datorns filsystem (t.ex. namngivning av mappar)
Vanlig användning av datorstödd kommunikation (t.ex. enskild medarbetares egen
användning av e‐postprogram för kommunikation)
Facebook och Twitter
19. Kränkning
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Trots undantaget gäller att behandling av personuppgifter inte får innebära
en kräkning av den registrerades integritet:
Att samla personuppgifter för att förfölja eller skandalisera en person.
Att samla en stor mängd uppgifter om en person utan något godtagbart skäl.
Att medvetet behandla uppgifter som är klart felaktiga eller missvisande.
Att sprida uppgifter som innebär förtal eller förolämpning.
Att sprida personuppgifter som innebär att man bryter mot författningsregler och
andra regler som föreskriver tystnadsplikt.
Missbruksregeln kommer att försvinna med Dataskyddsförordningen.
22. Behandlingen ska vara
Laglig (ej olaglig telefonavlyssning, inbrott.
Korrekt och i enlighet med god sed (branschorganisationer och interna regler)
Ej lämnas till annan i vetskap om att uppgiftera inte kommer att behandlas korrekt
Ändamålen
Särskilda (ej alltför allmänna) , uttryckligt angivna och berättigade
ej behandla för ändamål som är oförenligt med ursprungliga ändamålet
Uppgifterna
adekvata, relevanta, riktiga och aktuella
inte fler än nödvändigt
får ej bevaras längre än nödvändigt
Grundläggande principer
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
23. Grundläggande principer
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Integritet och konfidentialitet
behandlas på ett sätt som säkerställer lämplig säkerhet för
personuppgifterna, inbegripet skydd mot obehörig eller otillåten
behandling och mot förlust, förstöring eller skada genom
olyckshändelse, med användning av lämpliga tekniska eller
organisatoriska åtgärder
Ansvarsskyldighet
Utökning av ansvarsskyldigheten består i att det är den
personuppgiftsansvarige som ska ansvara för och kunna visa att
principerna efterlevs.
24. Samtycke
eller nödvändigt för
a) att fullgöra ett avtal
b) att tillvarata, försvara eller göra gällande en rättslig skyldighet
c) skydda vitala intressen för den registrerade
d) arbetsuppgift av allmänt intresse
e) myndighetsutövning, eller efter en
f) intresseavvägning
Tillåten behandling
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
25. 1. Samtycke
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Samtycke bör lämnas genom en entydig bekräftande handling som innebär
ett frivilligt, specifikt, informerat och otvetydigt medgivande från den
registrerades sida om att denne godkänner behandling av personuppgifter
rörande honom eller henne.
Nyheter med Dataskyddsförordningen
Inte längre tillräckligt med ”passivt samtycke” = förkryssade boxar.
Kräver en aktiv handling, passivitet godtas inte – tänk kreativt!
Måste samtycka specifikt till just den typen av behandling
Samtycke får inte ställas som villkor för att få tjänster som inte kräver behandling
tjänstens ändamål.
Spara samtycket – datum och text
Ska var lika enkelt återkalla samtycke som att de. Kräver tekniska lösningar.
26. 2. Fullgöra avtal
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade
är part eller för att vidta åtgärder på begäran av den registrerade innan ett
sådant avtal ingås.
Ex. Anställningsavtal, hyreskontrakt, köpeavtal
Ex. Offerter, Ansökningar etc. som föregår ett avtal
Behöver inte vara skriftligt avtal
28. 4. Skydda grundläggande intressen
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Behandlingen är nödvändig för att skydda intressen som är av
grundläggande (vital) betydelse för den registrerade eller för en annan fysisk
person.
Ex kontakta berörda i händelse av brand
Återkalla felaktiga konsumentvaror
Kontakt med anhöriga vid akut sjukdom och olyckor.
Utlämnande av läkemedelsförteckning till föreskrivare när samtycke inte
kan ges.
Tidigare vitala intressen, nu grundläggande – Skillnad?
29. 5. Arbetsuppgift av allmänt intresse eller led i
myndighetsutövning
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller
som ett led i den personuppgiftsansvariges myndighetsutövning.
Kommer att kräva stöd i lag eller förordning
Tidigare gällde att med allmänt intresse avsågs t.ex.
Arbetsmarknadsparternas framställande av lönestatistik
Bevarande för framtiden om arbetarrörelsen, föreningslivets och näringslivets
verksamhet,
Statistik över deltagare i större idrottsevenemang
Oklart vad som kommer att gälla enligt Dataskyddsförordningen.
30. 6. Intresseavvägningen
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Behandlingen är nödvändig för ändamål som rör den
personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte
den registrerades intressen eller grundläggande rättigheter och friheter
väger tyngre och kräver skydd av personuppgifter, särskilt när den
registrerade är ett barn.
Den personuppgiftsansvarige bedömer vad som utgör ett berättigat intresse.
Personuppgiftsansvariga som nyttjar berättigande intresse ska hålla register
över de överväganden de gjort så de kan påvisa att de tagit tillräcklig hänsyn
till rättigheter och friheter för de personer vars uppgifter behandlas.
32. Särskilda kategorier av uppgifter
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Känsliga uppgifter enligt PuL. Uppgifter som avslöjar
ras eller etniskt ursprung,
politiska åsikter,
religiös eller filosofisk övertygelse,
medlemskap i fackförening
hälsa, sexualliv och sexuell läggning
genetiska och biometriska uppgifter
Huvudregeln är att behandling av dessa uppgifter är förbjuden.
Det finns dock många undantag.
33. Undantag mot förbudet
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Undantag
Samtycke, uttryckligt (om inte lagstiftning säger att samtycke inte gäller)
Skyldigheter och rättigheter inom arbetsrätten, social trygghet och socialt skydd.
Skydda den registrerades eller någon annans grundläggande intressen när den
registrerade är fysiskt eller rättsligt förhindrad att ge samtycke
Stiftelse, förening, ej vinstdrivande organ (politiskt, filosofiskt, religiöst eller fackligt
syfte)
Tydligt eget offentliggörande
34. Undantag mot förbudet
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Undantag från förbudet (forts.)
Fastslå, göra gällande eller försvara rättsliga anspråk
Fullgörande av arbetsuppgift i ett viktigt allmänt intresse på grundval av lag
Förebyggande hälso‐ och sjukvård, bedömning av arbetskapacitet, diagnoser, hälso‐
och sjukvård, social omsorg (inklusive administration)
Allmänt intresse på folkhälsoområdet
Arkiveringsändamål för historiska, statistiska eller vetenskapliga forskningsändamål
35. Uppgifter om brott
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Fällande domar i brottmål och därmed sammanhängande säkerhetsåtgärder
får endast behandlas under kontroll av myndighet.
Även myndigheter måste dock följa grundläggande principer för behandling
samt säkerställa at behandlingen är laglig.
Datainspektionen har meddelat föreskrifter om undantag. Dessa måste
anpassas till Förordningen.
36. Uppgifter om brott
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Undantag i DIFS 2010:1, bl.a.
om behandlingen är nödvändig för att fullgöra en föreskrift på
socialtjänstområdet,
friskolors elevvårdande verksamhet
advokatverksamhet
whistleblowing
enstaka uppgifter för:
fastställande av rättsliga anspråk
anmälningsskyldighet enligt lag
37. Personnummer
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Får bara behandlas med samtycke, eller om det är klart
motiverat med hänsyn till:
ändamålet med behandlingen
vikten av en säker identifiering
något annat beaktansvärt skäl
Gäller till exempel för:
Sjukvård
Banker och försäkringsbolag
Får beslutas av nationell rätt.
41. Den registrerades rätt till information
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Information som ska tillhandahållas om personuppgifterna samlas in från
den registrerade
1. Identitet på den personuppgiftsansvarige samt dennes kontaktuppgifter
2. Kontaktuppgifter till dataskyddsombud
3. Ändamålet med behandlingen samt rättslig grund
4. Berättigade intressen (vilka intressen behandlingen grundar sig på)
5. Eventuella mottagare av uppgifterna
6. Överföring till tredjeland samt skyddsnivå för detta
7. Lagringsperioden och kriterier för fastställande av perioden
8. Rätt till registerutdrag, rättelse, radering, begränsning, uppgiftsportabilitet och att invända mot behandlingen
9. Rätt att återkalla samtycke
10. Rätt att inge klagomål till tillsynsmyndigheten
11. Om insamlandet av uppgifterna är ett lagkrav eller krav enligt avtal
12. Förekomst av profilering samt logiken bakom denna samt förutsedda följder
Informationen ska ämnas när personuppgifterna erhålls
42. Den registrerades rätt till information
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Information som ska tillhandahållas om personuppgifterna inte har erhållits
från den registrerade utan från någon annan
1. Identitet på den personuppgiftsansvarige samt dennes kontaktuppgifter
2. Kontaktuppgifter till dataskyddsombud
3. Ändamålet med behandlingen samt laglig grund
4. Kategorier av uppgifter
5. Eventuella mottagare av uppgifterna
6. Överföring till tredjeland samt skyddsnivå för detta
7. Lagringsperioden och kriterier för fastställande av perioden
8. Berättigade intressen (vilka intressen behandlingen grundar sig på)
9. Rätt till registerutdrag, rättelse, radering, begränsning, uppgiftsportabilitet och att invända mot behandlingen
10. Rätt att återkalla samtycke
11. Rätt att inge klagomål till tillsynsmyndigheten
12. Varifrån uppgifterna kommer samt om ursprunget är allmänna) källor
13. Förekomst av profilering samt logiken bakom denna samt förutsedda följder
43. Den registrerades rätt till information
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Om uppgifter samlats in från annan, ska information lämnas senast
inom en månad efter det att uppgifterna erhållits, eller
vid den tidpunkt när man kommunicerar med den registrerade, eller
om uppgifterna ska lämnas ut till annan, senast när uppgifterna lämnas
ut första gången.
Information behöver inte lämnas i bl.a. följande fall
den registrerade redan förfogar över informationen
omöjligt eller oproportionell ansträngning
44. Registerutdrag
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Den registrerade har rätt att få bekräftelse på om personuppgifter behandlas
och isf. tillgång till uppgifterna samt följande information.
Ändamålen med behandlingen
Mottagare eller kategorier av mottagare
Lagringsperiod eller principer för fastställande
Rätt till registerutdrag, rättelse, radering, begränsning,
uppgiftsportabilitet och att invända mot behandlingen
Rätt att ingen klagomål till Datainspektionen
Varifrån uppgifterna samlats in
Förekomst av profilering samt logiken bakom denna samt förutsedda
följder
46. Radering‐ Rätt att bli bortglömd
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Rätt att erhålla radering av uppgifter utan onödigt dröjsmål bl.a. om:
uppgifterna inte längre behövs för det ändamål för vilka de samlades in
uppgifterna behandlats olagligt
den registrerade återkallar samtycke
i vissa fall invänder mot behandlingen av uppgifter (även profilering)
invänder mot behandling av uppgifter för direkt marknadsföring
Undantag finns (se artikel 17.3)
47. Radering‐ Rätt att bli bortglömd
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Om uppgifterna ska raderas och de har offentliggjorts ska andra
personuppgiftsansvariga som behandlar uppgifterna underrättas och
eventuella länkar till eller kopior av uppgifterna raderas (undantag finns, se
art. 17.3)
Mycket svårt i praktiken att radera uppgifter då många IT‐system inte stödjer
detta. Alternativen måste tills vidare kanske bli anonymisering så att det inte
längre är möjligt att identifiera den registrerade så att avsikten med
Förordningen uppnås.
Radering av loggar?
48. Dataportabilitet
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Rätt för den registrerade att ”ta med sig” personuppgifter om sig själv för att
antingen spara dem för eget bruk eller överföra dem till en annan
personuppgiftsansvarig.
Kan t.ex. handla om information om köpmönster enligt lojalitetsprogran,
kontaktlistor eller spelade låtar enligt spellistor.
Rätt för den registrerade att få uppgifterna överförda:
1. Direkt till den registrerade
2. Direkt till den andra personuppgiftsansvarige
3. Direkt till mellanlagrande part
49. Dataportabilitet
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Gäller när grunden för behandlingen är:
Samtycke
Avtal mellan den registrerade och personuppgiftsansvarig.
Gäller endast automatiserad behandling – ej manuell behandling på papper
Vilken information gäller rätten?
Personuppgifter som rör den registrerade själv. (Ej läggas till grund för att inte föra över
uppgifter att om personuppgifter tillhörande andra förekommer)
Personuppgifter som den registrerade har tillhandahållit själv.
Personuppgifter som generats genom den registrerades handlingar och aktiviteter.
51. Personuppgiftsincidenter
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Personuppgiftsansvarig ska anmäla till tillsynsmyndigheten utan onödigt
dröjsmål (inom 72 timmar efter vetskap om händelsen).
Personuppgiftsbiträde ska informera den personuppgiftsansvarige
omedelbart.
Anmälan till tillsynsmyndigheten ska åtminstone:
beskriva personuppgiftsincidentens art
beskriva kategorier och ungefärligt antal registrerade, kategorier av och ungefärligt antal
uppgiftsposter
förmedla kontaktuppgifter för dataskyddsombudet
beskriva de sannolika konsekvenserna
beskriva föreslagna eller vidtagna åtgärder
52. Personuppgiftsincidenter
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Den registrerade ska som huvudregel informeras om det föreligger hög risk
för enskildas rättigheter och friheter t.ex:
att den enskilde förlorar kontrollen över sina uppgifter
att hans eller hennes rättigheterna inskränks
att den registrerade utsätts för diskriminering, identitetsstöld eller
bedrägeri
att den registrerade råkar ut för finansiell förlust, skadlig
ryktesspridning, brott mot sekretess eller tystnadsplikt.
Personuppgiftsincidenten ska dokumenteras så att Datainspektionen kan
kontrollera efterlevnad
53. Registerförteckningar
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Personuppgiftsansvarig och eventuella företrädare ska föra ett register över
behandlingar av personuppgifter
Följande uppgifter ska dokumenteras
a) namn och kontaktuppgifter för personuppgiftsansvarig, ev.
företrädare och ev. dataskyddsombud
b) ändamålen med behandlingen
c) kategorier av registrerade och kategorier av personuppgifter
d) kategorier av mottagare
e) ev. överföring till tredjeland samt dokumentation av skyddsåtgärder
f) tidsfrist för radering (om möjligt)
g) tekniska och organisatoriska säkerhetsåtgärder
54. Registerförteckningar
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Personuppgiftsbiträde och eventuella företrädare ska föra ett register över
behandlingar av personuppgifter
Följande uppgifter ska dokumenteras
a) namn och kontaktuppgifter för personuppgiftsbiträdet och
personuppgiftsansvarig som personuppgiftsbiträdet arbetar för och ev.
dataskyddsombud
b) kategorier av behandlingar som utförs för resp.
personuppgiftsansvarig
c) ev. överföring till tredjeland samt dokumentation av skyddsåtgärder
d) tekniska och organisatoriska säkerhetsåtgärder
55. Registerförteckningar
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Företag som sysselsätter färre än 250 personer behöver inte upprätta
registerförteckning om inte:
Behandlingen sannolikt kommer att medföra en risk för registrerades
rättigheter och friheter,
Behandlingen inte är tillfällig
Behandlingen omfattar särskilda kategorier av uppgifter eller fällande
domar i brottmål eller överträdelser.
56. Konsekvensbedömningar
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Om en typ av behandling sannolikt leder till en hög risk för fysiska personers
rättigheter och friheter ska den personuppgiftsansvarige före behandlingen
utföra en bedömning av den planerade behandlingens konsekvenser för
skyddet av personuppgifter. Särskilt vid:
Systematisk och omfattande bedömning av personer
Behandling i stor omfattning
Systematiska övervakning av allmän plats i stor omfattning
Dataskyddsombudet ska rådfrågas
57. Konsekvensbedömningar
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Bedömningen ska bl.a. innehålla:
beskrivning av och ändamålet med behandlingen
utvärdering av risk för registrerads rättigheter och friheter
åtgärder som planeras för att hantera riskerna
Om möjligt inhämta synpunkter från de registrerade eller deras företrädare
Förhandssamråd med Datainspektionen om bedömningen visar hög risk
58. Dataskyddsombud
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Personuppgiftsansvarig och personuppgiftbiträde måste ha ett
Dataskyddsombud om:
Myndighet alt. offentligt organ, ej domstolar.
Praxis att utse Dataskyddsombud även om ”myndighetsliknande” verksamhet.
Kärnverksamheten är behandling som regelbunden övervakning i stor omfattning
Kärnverksamheten är behandling av känsliga uppgifter i stor omfattning
Om det inte är uppenbart att en Dataskyddsombud inte behövs, bör företag göra
en analys av detta.
Om en Dataskyddsombud utses på frivillig basis, gäller samma krav som om det
hade varit tvingande.
59. Dataskyddsombud
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Dataskyddsombudet har följande uppgifter:
Informera och ge råd till personuppgiftsansvarig, personuppgiftsbiträde och
registrerade avseende behandling av personuppgifter.
Övervaka efterlevnaden av Förordningen
Ge råd avseende konsekvensbedömningen
Samarbeta med Datainspektionen
Kontaktpunkt med Datainspektionen
Registerförteckningar
Tidigare Personuppgiftsombudets ansvar
Ny den personuppgiftsansvariges ansvar – tas dock ofta ändå av Dataskyddsombudet
60. Säkerhet vid behandlingen
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en
säkerhetsnivå som är lämplig i förhållande till risken.
Pseudonymisering och kryptering
Konfidentialitet, integritet, tillgänglighet och motståndskraft hos systemen och tjänster
Återställning vid incident
Löpande testa och utvärdera effektiviteten
Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker
som behandling medför:
oavsiktlig eller olaglig förstöring,
förlust eller ändring
obehörigt röjande av eller obehörig åtkomst
61. Säkerhet vid behandlingen
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Privacy by design and privacy by default
Genomföra lämpliga tekniska och organisatoriska åtgärder för att endast de
personuppgifter behandlas som är nödvändiga för varje specifikt ändamål
med avseende på:
antal insamlade uppgifter
behandlingens omfattning
tiden för lagring
uppgifternas tillgänglighet
att de inte görs tillgängliga för obegränsat antal enskilda
Ska genomsyra alla beslut om behandling
63. Personuppgiftsbiträden
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Den som behandlar personuppgifter för den personuppgiftsansvariges
räkning.
Exempel:
Leverantörer av lönesystem
Förmedlare
Molntjänster
Arkiveringstjänster
Konsulter inom olika tjänstesektorer
Personuppgiftsansvarig och personuppgiftsbiträde ska skriftligen
dokumentera instruktioner och skyldigheter
64. Eget ansvar
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Personuppgiftsbiträdet har eget ansvar för behandlingen och ska bland
annat för egen del:
Upprätthålla tillräckliga organisatoriska och säkerhetsmässiga lösningar.
Utföra riskanalyser
Upprätta registerförteckningar
Utse Dataskyddsombud
Analysera hur man följer Förordningen och kunna redovisa detta
Kan också drabbas av sanktioner
65. Avtal mellan parterna
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Det ska finnas ett skriftligt avtal mellan personuppgiftsansvarig och
personuppgiftsbiträdet som särskilt ska ange:
föremålet för behandlingen,
behandlingens varaktighet,
art och ändamål,
typen av personuppgifter
och kategorier av registrerade,
personuppgiftsansvariges skyldigheter och rättigheter anges
Personuppgiftsbiträdet måste ställa tillräckliga garantier om att genomföra
lämpliga tekniska och organisatoriska åtgärder för att uppfylla Förordningen
och skydda den registrerades rättigheter.
66. Avtal mellan parterna
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Avtalet ska även reglera att personuppgiftsansvarig:
endast får behandla personuppgifter på dokumenterade instruktioner från den
personuppgiftsansvarige,
säkerställer att de personer som behandlar personuppgifter har åtagit sig att iaktta
konfidentialitet eller omfattas lagstadgad tystnadsplikt
ska vidta alla i Förordningen angivna säkerhetsåtgärder
säkerställer att eventuella underleverantörer inte får anlita underleverantörer utan tillstånd samt
att avtal finns med dessa i alla led.
hjälpa personuppgiftsansvarig med tekniska åtgärder för att kunna svara på förfrågan om
registerutdrag.
hjälpa personuppgiftsansvarig med att säkerställa att ansvar för säkerhetsåtgärder,
personuppgiftsincidenter, konsekvensbedömningar och förhandssamråd kan utföras.
radera eller återlämna alla personuppgifter till den personuppgiftsansvarige vid avtalets
upphörande
ska ge den personuppgiftsansvarige tillgång till all information som krävs, inkl att acceptera att
revisioner av verksamheten görs.
68. Sanktioner
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Den personuppgiftsansvarige och personuppgiftsbiträdet kan drabbas av
sanktioner för brott mot Förordningen:
upp till 10 miljoner euro eller 2 % av globala årsomsättningen (beroende på
vad som är högst) bl.a. om
inget dataskyddsombud
ingen registerförteckning
ingen konsekvensbedömning
upp till 20 miljoner euro eller 4 % av globala årsomsättningen (beroende på
vad som är högst) bl.a. om
behandlar personuppgifter fast det inte är tillåtet
känsliga personuppgifter fast man inte får
inte lämnar information som krävs
69. Sanktioner
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella
uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade
och den skada som de har lidit.
Om överträdelsen skett med uppsåt eller genom oaktsamhet.
De åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet har vidtagit för
att lindra den skada som de registrerade har lidit.
Genomförda säkerhetsåtgärder och ansvarsfördelning mellan den personuppgiftsansvarige
eller personuppgiftsbiträdet
Eventuella relevanta tidigare överträdelser
70. Sanktioner
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Graden av samarbete med tillsynsmyndigheten
De kategorier av personuppgifter som påverkas av överträdelsen.
Det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom
Icke efterlevnad av uppmaning att korrigera åtgärder
Tillämpandet av godkända uppförandekoder eller godkända certifieringsmekanismer
Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna
i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt,
genom överträdelsen
71. Vad ska man göra nu?
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Få styrelse och lednings uppmärksamhet om att detta är viktigt.
Analysera om ni behöver utse ett Dataskyddsombud.
Utbilda verksamheten om personuppgiftsfrågor.
Upprätta interna styrdokument för dataskydd.
Säkerställ att information till registrerade är korrekt.
Analysera om ni förlitar er på missbruksregeln
72. Vad ska man göra nu?
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
Om behandlingen grundar sig på samtycke, säkerställ att dessa är korrekt
givna.
Upprätta registerförteckningar.
Säkerställ ni kan efterkomma den registrerades förfrågan om information,
registerutdrag, dataportabilitet etc.
Se över personuppgiftsbiträdesavtal –Omförhandla avtalen.
Analysera om ni själva är personuppgiftsbiträden.