GDPR - Den nya dataskyddsförordningen

© IRM AB All rights reserved
Frukostmöte 15 februari 2017
GDPR
den nya dataskyddsförordningen
Nicole Norrestad – Dataskyddsombud Sverige
Ulla Åkerman ‐ IRM

AGENDA
Dataskyddsombud Sverige AB nicole@dataskyddsombud.com
Regeringsgatan 111 www.dataskyddsombud.com Tfn: 0708 ‐ 431650
11139 Stockholm Org Nr: 556936 ‐ 7039
HISTORIK
GRUNDER
REGISTRERADES RÄTTIGHETER
PERSONUPPGIFTSANSVARIG
PERSONUPPGIFTSBITRÄDE
SANKTIONER6
BAKGRUND1
2
3
4
5
OM DATASKYDDS‐
FÖRORDNINEGN
VIKTIGASTE
FÖRÄNDRINGAR
TERRITORIELL
TILLÄMPIGHET
PRINCIPER LAGLIG GRUND
SÄRSKILDA
UPPGIFTER
DOMAR I
BROTTMÅL
INFORMATION RÄTTELSE RADERING PORTABILITET
INCIDENTER
REGISTER‐
FÖRTECKNINGAR
KONSEKVENS‐
BEDÖMNING
DATASKYDDS‐
OMBUD
DEFINITION
EGET
ANSVAR
AVTAL
SKADETÅND
ADMINISTRATIVA
SANKTIONER
SÄKERHETS‐
ÅTGÄRDER
MISSBRUKS‐
REGELN
DEFINITIONER

HISTORIKBAKGRUND1 OM DATASKYDDS‐
FÖRORDNINEGN
VIKTIGASTE
FÖRÄNDRINGAR
TERRITORIELL
TILLÄMPIGHET
GRUNDER
SANKTIONER6
2
3
4
5
SÄRSKILDA
UPPGIFTER
DOMAR I
BROTTMÅL
INCIDENTER
REGISTER‐
FÖRTECKNINGAR
KONSEKVENS‐
BEDÖMNING
DATASKYDDS‐
OMBUD
DEFINITION
EGET
ANSVAR
AVTAL
SKADETÅND
ADMINISTRATIVA
SANKTIONER
SÄKERHETS‐
ÅTGÄRDER
MISSBRUKS‐
REGELN
DEFINITIONER

Dataskyddsombud Sverige AB
 Historik
 Grundare och medarbetare
 Tjänsteområden
 Analys och Projektledning
 Utbildningar
 IT‐rätt (Persuppgiftsbiträdesavtal)
 IT‐säkerhet
 Dataskyddsombud
 Rekrytering och bemanning
 Varför välja oss?
11139 Stockholm Org Nr: 556936 ‐ 7039

Kursens syfte och mål
 Nyheter medkommande Dataskyddsförordningen
 Olika typer av personuppgifter
 Grundläggande krav och laglig grund för behandling
 Den registrerades rättigheter
 Den personuppgiftsansvariges ansvar/skyldigheter
 Personuppgiftsbiträden
 Sanktioner
11139 Stockholm Org Nr: 556936 ‐ 7039

Historik
11139 Stockholm Org Nr: 556936 ‐ 7039
1973
Datalagen
1995
Dataskyddsdirektivet
1998
Personuppgiftslagen
2007
Uppdaterad
Personuppgiftslag
April 2016
General Data Protection
Regulation ‐ GDPR
Januari 2012
Kommissionens förslag till
dataskyddsförordning
Maj 2018
GDPR träder i kraft
1973
Datainspektionen

Dataskyddförordningen
11139 Stockholm Org Nr: 556936 ‐ 7039
 Antogs den 24 maj 2016, tillämpligt från den 25 maj 2018.
 Generell förordning som kommer att gälla lika i alla EES‐länder.
 Förordning är tillskillnad från direktiv direkt tillämplig i varje medlemsland
 Förordningen tillåter dock varje enskilt medlemsland ett visst mått av egen
lagstiftning.

11139 Stockholm Org Nr: 556936 ‐ 7039
 Ersätter tidigare Dataskyddsdirektivet (95/46/EC) och uppdaterar
Personuppgiftslagen (PuL)
 Förordningen är att anse som Lex Generalis.
 99 artiklar och 173 skäl. Jmfr PuL 53 paragrafer.
 Stadfäster mycket av det vi redan ansett utgöra praxis.

11139 Stockholm Org Nr: 556936 ‐ 7039
 Regeringen har tillsatt en utredning som ska redovisa uppdraget senast den
12 maj 2017. (Kommittédirektiv 2016:15)
 Undersöka vilka kompletterande nationella föreskrifter som förordningen kräver.
 Analysera vilka bestämmelser om administrativa sanktionsavgifter och andra sanktioner
som Sverige behöver eller bör införa.
 Undersöka om det finns behov av generella bestämmelser för
personuppgiftsbehandling utanför EU‐rättens tillämpningsområde.
 När rapporten kommer, blir det tydligare vad som kommer att gälla i Sverige.

11139 Stockholm Org Nr: 556936 ‐ 7039
 Aktivt ansvar för
personuppgiftsansvariga
 Ansvar även för
personuppgiftsbiträden
 Incidentrapportering
 Ökade krav på information till
registrerade
 Inbyggt dataskydd
 Konsekvensbedömningar
 Dataskyddsombud
 Missbruksregeln försvinner
 Ökade sanktioner och
skadestånd till registrerade
 Dataportabilitet
 Ökat skydd för barn
 Pseudonymisering

11139 Stockholm Org Nr: 556936 ‐ 7039
 Tillämplig på helt eller delvis automatiserad behandling av personuppgifter
samt manuell behandling om personuppgifterna ingår i eller kommer att ingå
i ett register.
 Personuppgifter som inte är ordnade enligt särskilda kriterier omfattas inte av
GDPR.
 Gäller endast personer i livet (samma som PuL).

Territoriell tillämplighet
11139 Stockholm Org Nr: 556936 ‐ 7039
 Utökat territoriellt tillämpningsområde
 Behandlingen utförs av personuppgiftsansvarig eller ett
personuppgiftsbiträde som är etablerad i unionen, oavsett om behandlingen
utförs i unionen eller inte.
 Behandling av personuppgifter som avser registrerade som befinner sig i
unionen och som utförs av en personuppgiftsansvarig eller ett
personuppgiftsbiträde som inte är etablerad i unionen, om behandlingen har
anknytning till:
 utbjudande av varor eller tjänster till sådana registrerade i unionen
 övervakning av registrerades beteende

Personuppgifter
11139 Stockholm Org Nr: 556936 ‐ 7039
 Personuppgiftslagen
 All slags information som direkt eller indirekt kan hänföras till en
fysisk person som är i livet.
 Dataskyddsförordningen
 Varje upplysning som avser en identifierad eller identifierbar fysisk
person (nedan kallad en registrerad), varvid en identifierbar fysisk
person är en person som direkt eller indirekt kan identifieras
särskilt med hänvisning till en identifierare som ett namn, ett
identifikationsnummer, en lokaliseringsuppgift eller
onlineidentifikatorer eller en eller flera faktorer som är specifika
för den fysiska personens fysiska, fysiologiska, genetiska, psykiska,
ekonomiska, kulturella eller sociala identitet.

Behandling
11139 Stockholm Org Nr: 556936 ‐ 7039
 Behandling (enligt Dataskyddsförordningen)
 En åtgärd eller kombination av åtgärder beträffande
personuppgifter eller uppsättningar av personuppgifter,
oberoende av om de utförs automatiserat eller ej, såsom
insamling, registrering, organisering, strukturering, lagring,
bearbetning eller ändring, framtagning, läsning, användning,
utlämning genom överföring, spridning eller tillhandahållande på
annat sätt, justering eller sammanförande, begränsning, radering
eller förstöring,

Missbruksregeln
11139 Stockholm Org Nr: 556936 ‐ 7039
 Enligt PuL behöver stora delar av lagens bestämmelser behöver inte
tillämpas på behandling av personuppgifter som finns ostrukturerat
material så länge behandlingen inte innebär en kränkning av den
personliga integriteten
 Ostrukturerat material är:
”Personuppgifter som inte ingår i eller är avsedda att ingå i en samling av
personuppgifter som har strukturerats för att påtagligt underlätta sökning efter
eller sammanställning av personuppgifter.”
 Missbruksregeln kommer att försvinna med Dataskyddsförordningen!

Missbruksregeln
11139 Stockholm Org Nr: 556936 ‐ 7039
 Ingår i eller är avsedda att ingå i en samling av personuppgifter
 Undantaget är tillämpligt på personuppgifter som inte ingår i eller är tänkta att ingå i en
samling av personuppgifter
 Personuppgiftsanknuten struktur:
 Undantaget tillämpligt på personuppgifterna som inte har strukturerats utifrån just
personuppgifter
 Undantaget är tillämpligt om struktureringen skett utifrån t.ex. datum och klockslag.
 Undantaget kan tillämpas även om det det går att sammanställa indexerade
personuppgifter om detta inte gjorts.
 Påtagligt underlätta sökningen eller sammanställning av personuppgifter:
 Undantaget är tillämpligt om strukturen inte uppnått viss nivå eller kvalitet
 Namn i bokstavsordning omfattas av undantaget
 Lista på personuppgifter måste vara statisk för att undantaget ska vara tillämpligt.

Missbruksregeln
11139 Stockholm Org Nr: 556936 ‐ 7039
 Delar av PuL som inte behöver tillämpas på ostrukturerat material:
 9 § Grundläggande krav på behandling
 10§ När behandling är tillåten
 13 § Förbud mot behandling av känsliga uppgifter
 21 § Förbud mot andra än myndigheter att behandla uppgifter om brott
 22 § Restriktioner vid behandling av personnummer
 23 och 24 §§ om information till den registrerade
 26 § registerutdrag
 28 § om rättelse
 33 § om överföring av personuppgifter till tredje land
 42 § upplysningar till allmänheten om behandlingar som inte anmälts till TSM

Missbruksregeln
11139 Stockholm Org Nr: 556936 ‐ 7039
 Undantaget bara aktuellt på automatiserad behandling eftersom manuell
behandling av personuppgifter omfattas av PuL endast om de ingår i ett
register.
 Följande typer av personuppgifter, vilka nu anses som ostrukturerat
material, kan komma att omfattas av GDPR.
 Enkla listor med personuppgifter (tidigare okvalificerade)
 Publicering av löpande text på Internet (ej strukturerade)
 Användning av ljud‐ och bildupptagningar (ej strukturerade)
 Vanlig användning av datorns filsystem (t.ex. namngivning av mappar)
 Vanlig användning av datorstödd kommunikation (t.ex. enskild medarbetares egen
användning av e‐postprogram för kommunikation)
 Facebook och Twitter

Kränkning
11139 Stockholm Org Nr: 556936 ‐ 7039
 Trots undantaget gäller att behandling av personuppgifter inte får innebära
en kräkning av den registrerades integritet:
 Att samla personuppgifter för att förfölja eller skandalisera en person.
 Att samla en stor mängd uppgifter om en person utan något godtagbart skäl.
 Att medvetet behandla uppgifter som är klart felaktiga eller missvisande.
 Att sprida uppgifter som innebär förtal eller förolämpning.
 Att sprida personuppgifter som innebär att man bryter mot författningsregler och
andra regler som föreskriver tystnadsplikt.
 Missbruksregeln kommer att försvinna med Dataskyddsförordningen.

DEFINITIONERHISTORIKBAKGRUND1 OM DATASKYDDS‐
FÖRORDNINEGN
VIKTIGASTE
FÖRÄNDRINGAR
TERRITORIELL
TILLÄMPIGHET
GRUNDER
SANKTIONER6
2
3
4
5
SÄRSKILDA
UPPGIFTER
DOMAR I
BROTTMÅL
INCIDENTER
REGISTER‐
FÖRTECKNINGAR
KONSEKVENS‐
BEDÖMNING
DATASKYDDS‐
OMBUD
DEFINITION
EGET
ANSVAR
AVTAL
SKADETÅND
ADMINISTRATIVA
SANKTIONER
SÄKERHETS‐
ÅTGÄRDER
MISSBRUKS‐
REGELN

Integritetstrappan
11139 Stockholm Org Nr: 556936 ‐ 7039
Tillåten behandling
Känsliga uppgifter
Personnummer Uppgifter om brott
Grundläggande krav
Överföring till 3:e land
Information och registrerades
rättigheter

 Behandlingen ska vara
 Laglig (ej olaglig telefonavlyssning, inbrott.
 Korrekt och i enlighet med god sed (branschorganisationer och interna regler)
 Ej lämnas till annan i vetskap om att uppgiftera inte kommer att behandlas korrekt
 Ändamålen
 Särskilda (ej alltför allmänna) , uttryckligt angivna och berättigade
 ej behandla för ändamål som är oförenligt med ursprungliga ändamålet
 Uppgifterna
 adekvata, relevanta, riktiga och aktuella
 inte fler än nödvändigt
 får ej bevaras längre än nödvändigt
Grundläggande principer
11139 Stockholm Org Nr: 556936 ‐ 7039

Grundläggande principer
11139 Stockholm Org Nr: 556936 ‐ 7039
 Integritet och konfidentialitet
 behandlas på ett sätt som säkerställer lämplig säkerhet för
personuppgifterna, inbegripet skydd mot obehörig eller otillåten
behandling och mot förlust, förstöring eller skada genom
olyckshändelse, med användning av lämpliga tekniska eller
organisatoriska åtgärder
 Ansvarsskyldighet
 Utökning av ansvarsskyldigheten består i att det är den
personuppgiftsansvarige som ska ansvara för och kunna visa att
principerna efterlevs.

 Samtycke
 eller nödvändigt för
 a)  att fullgöra ett avtal
 b)  att tillvarata, försvara eller göra gällande en rättslig skyldighet
 c)  skydda vitala intressen för den registrerade
 d)  arbetsuppgift av allmänt intresse
 e)  myndighetsutövning, eller efter en
 f)  intresseavvägning
Tillåten behandling
11139 Stockholm Org Nr: 556936 ‐ 7039

1. Samtycke
11139 Stockholm Org Nr: 556936 ‐ 7039
 Samtycke bör lämnas genom en entydig bekräftande handling som innebär
ett frivilligt, specifikt, informerat och otvetydigt medgivande från den
registrerades sida om att denne godkänner behandling av personuppgifter
rörande honom eller henne.
 Nyheter med Dataskyddsförordningen
 Inte längre tillräckligt med ”passivt samtycke” = förkryssade boxar.
 Kräver en aktiv handling, passivitet godtas inte – tänk kreativt!
 Måste samtycka specifikt till just den typen av behandling
 Samtycke får inte ställas som villkor för att få tjänster som inte kräver behandling
tjänstens ändamål.
 Spara samtycket – datum och text
 Ska var lika enkelt återkalla samtycke som att de. Kräver tekniska lösningar.

2. Fullgöra avtal
11139 Stockholm Org Nr: 556936 ‐ 7039
 Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade
är part eller för att vidta åtgärder på begäran av den registrerade innan ett
sådant avtal ingås.
 Ex. Anställningsavtal, hyreskontrakt, köpeavtal
 Ex. Offerter, Ansökningar etc. som föregår ett avtal
 Behöver inte vara skriftligt avtal

3. Fullgöra rättslig förpliktelse
11139 Stockholm Org Nr: 556936 ‐ 7039
 Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar
den personuppgiftsansvarige.
 Ex att rapportera löner och skatter
 Rapportera frånvaro i skolan
 Att bevara uppgifter om konton och transaktioner

4. Skydda grundläggande intressen
11139 Stockholm Org Nr: 556936 ‐ 7039
 Behandlingen är nödvändig för att skydda intressen som är av
grundläggande (vital) betydelse för den registrerade eller för en annan fysisk
person.
 Ex kontakta berörda i händelse av brand
 Återkalla felaktiga konsumentvaror
 Kontakt med anhöriga vid akut sjukdom och olyckor.
 Utlämnande av läkemedelsförteckning till föreskrivare när samtycke inte
kan ges.
 Tidigare vitala intressen, nu grundläggande – Skillnad?

5. Arbetsuppgift av allmänt intresse eller led i
myndighetsutövning
11139 Stockholm Org Nr: 556936 ‐ 7039
 Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller
som ett led i den personuppgiftsansvariges myndighetsutövning.
 Kommer att kräva stöd i lag eller förordning
 Tidigare gällde att med allmänt intresse avsågs t.ex.
 Arbetsmarknadsparternas framställande av lönestatistik
 Bevarande för framtiden om arbetarrörelsen, föreningslivets och näringslivets
verksamhet,
 Statistik över deltagare i större idrottsevenemang
 Oklart vad som kommer att gälla enligt Dataskyddsförordningen.

6. Intresseavvägningen
11139 Stockholm Org Nr: 556936 ‐ 7039
 Behandlingen är nödvändig för ändamål som rör den
personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte
den registrerades intressen eller grundläggande rättigheter och friheter
väger tyngre och kräver skydd av personuppgifter, särskilt när den
registrerade är ett barn.
 Den personuppgiftsansvarige bedömer vad som utgör ett berättigat intresse.
 Personuppgiftsansvariga som nyttjar berättigande intresse ska hålla register
över de överväganden de gjort så de kan påvisa att de tagit tillräcklig hänsyn
till rättigheter och friheter för de personer vars uppgifter behandlas.

6. Intresseavvägningen
11139 Stockholm Org Nr: 556936 ‐ 7039
 Datainspektionen kan fatta beslut som kan överklagas till domstol. Här
tillmäts den registrerades åsikt stor betydelse.
 Gäller inte för offentliga myndigheter när de utför myndighetsutövning.

Särskilda kategorier av uppgifter
11139 Stockholm Org Nr: 556936 ‐ 7039
 Känsliga uppgifter enligt PuL. Uppgifter som avslöjar
 ras eller etniskt ursprung,
 politiska åsikter,
 religiös eller filosofisk övertygelse,
 medlemskap i fackförening
 hälsa, sexualliv och sexuell läggning
 genetiska och biometriska uppgifter
 Huvudregeln är att behandling av dessa uppgifter är förbjuden.
 Det finns dock många undantag.

Undantag mot förbudet
11139 Stockholm Org Nr: 556936 ‐ 7039
 Undantag
 Samtycke, uttryckligt (om inte lagstiftning säger att samtycke inte gäller)
 Skyldigheter och rättigheter inom arbetsrätten, social trygghet och socialt skydd.
 Skydda den registrerades eller någon annans grundläggande intressen när den
registrerade är fysiskt eller rättsligt förhindrad att ge samtycke
 Stiftelse, förening, ej vinstdrivande organ (politiskt, filosofiskt, religiöst eller fackligt
syfte)
 Tydligt eget offentliggörande

Undantag mot förbudet
11139 Stockholm Org Nr: 556936 ‐ 7039
 Undantag från förbudet (forts.)
 Fastslå, göra gällande eller försvara rättsliga anspråk
 Fullgörande av arbetsuppgift i ett viktigt allmänt intresse på grundval av lag
 Förebyggande hälso‐ och sjukvård, bedömning av arbetskapacitet, diagnoser, hälso‐
och sjukvård, social omsorg (inklusive administration)
 Allmänt intresse på folkhälsoområdet
 Arkiveringsändamål för historiska, statistiska eller vetenskapliga forskningsändamål

Uppgifter om brott
11139 Stockholm Org Nr: 556936 ‐ 7039
 Fällande domar i brottmål och därmed sammanhängande säkerhetsåtgärder
får endast behandlas under kontroll av myndighet.
 Även myndigheter måste dock följa grundläggande principer för behandling
samt säkerställa at behandlingen är laglig.
 Datainspektionen har meddelat föreskrifter om undantag. Dessa måste
anpassas till Förordningen.

Uppgifter om brott
11139 Stockholm Org Nr: 556936 ‐ 7039
 Undantag i DIFS 2010:1, bl.a.
 om behandlingen är nödvändig för att fullgöra en föreskrift på
socialtjänstområdet,
 friskolors elevvårdande verksamhet
 advokatverksamhet
 whistleblowing
 enstaka uppgifter för:
 fastställande av rättsliga anspråk
 anmälningsskyldighet enligt lag

Personnummer
11139 Stockholm Org Nr: 556936 ‐ 7039
 Får bara behandlas med samtycke, eller om det är klart
motiverat med hänsyn till:
 ändamålet med behandlingen
 vikten av en säker identifiering
 något annat beaktansvärt skäl
 Gäller till exempel för:
 Sjukvård
 Banker och försäkringsbolag
 Får beslutas av nationell rätt.

Den registrerades rätt till information
11139 Stockholm Org Nr: 556936 ‐ 7039
 Vid den registrerades begäran, ska information tillhandahållas den
registrerade om alla åtgärder som vidtagits med anledning av den
registrerades kommunikation med personuppgiftsansvarig. Det kan handla
om:
 Rättelse
 Radering
 Begränsning
 Anmälningsskyldighet
 Dataportabilitet
 Invändningar
 Profilering

11139 Stockholm Org Nr: 556936 ‐ 7039
 Information som ska tillhandahållas om personuppgifterna samlas in från
den registrerade
1. Identitet på den personuppgiftsansvarige samt dennes kontaktuppgifter
2. Kontaktuppgifter till dataskyddsombud
3. Ändamålet med behandlingen samt rättslig grund
4. Berättigade intressen (vilka intressen behandlingen grundar sig på)
5. Eventuella mottagare av uppgifterna
6. Överföring till tredjeland samt skyddsnivå för detta
7. Lagringsperioden och kriterier för fastställande av perioden
8. Rätt till registerutdrag, rättelse, radering, begränsning, uppgiftsportabilitet och att invända mot behandlingen
9. Rätt att återkalla samtycke
10. Rätt att inge klagomål till tillsynsmyndigheten
11. Om insamlandet av uppgifterna är ett lagkrav eller krav enligt avtal
12. Förekomst av profilering samt logiken bakom denna samt förutsedda följder
 Informationen ska ämnas när personuppgifterna erhålls

11139 Stockholm Org Nr: 556936 ‐ 7039
 Information som ska tillhandahållas om personuppgifterna inte har erhållits
från den registrerade utan från någon annan
1. Identitet på den personuppgiftsansvarige samt dennes kontaktuppgifter
2. Kontaktuppgifter till dataskyddsombud
3. Ändamålet med behandlingen samt laglig grund
4. Kategorier av uppgifter
5. Eventuella mottagare av uppgifterna
6. Överföring till tredjeland samt skyddsnivå för detta
7. Lagringsperioden och kriterier för fastställande av perioden
8. Berättigade intressen (vilka intressen behandlingen grundar sig på)
9. Rätt till registerutdrag, rättelse, radering, begränsning, uppgiftsportabilitet och att invända mot behandlingen
10. Rätt att återkalla samtycke
11. Rätt att inge klagomål till tillsynsmyndigheten
12. Varifrån uppgifterna kommer samt om ursprunget är allmänna) källor
13. Förekomst av profilering samt logiken bakom denna samt förutsedda följder

11139 Stockholm Org Nr: 556936 ‐ 7039
 Om uppgifter samlats in från annan, ska information lämnas senast
 inom en månad efter det att uppgifterna erhållits, eller
 vid den tidpunkt när man kommunicerar med den registrerade, eller
 om uppgifterna ska lämnas ut till annan, senast när uppgifterna lämnas
ut första gången.
 Information behöver inte lämnas i bl.a. följande fall
 den registrerade redan förfogar över informationen
 omöjligt eller oproportionell ansträngning

Registerutdrag
11139 Stockholm Org Nr: 556936 ‐ 7039
 Den registrerade har rätt att få bekräftelse på om personuppgifter behandlas
och isf. tillgång till uppgifterna samt följande information.
 Ändamålen med behandlingen
 Mottagare eller kategorier av mottagare
 Lagringsperiod eller principer för fastställande
 Rätt till registerutdrag, rättelse, radering, begränsning,
uppgiftsportabilitet och att invända mot behandlingen
 Rätt att ingen klagomål till Datainspektionen
 Varifrån uppgifterna samlats in
 Förekomst av profilering samt logiken bakom denna samt förutsedda
följder

Rättelse
11139 Stockholm Org Nr: 556936 ‐ 7039
 Rätt att få felaktiga uppgifter rättade
 Rätt att få inkompletta uppgifter kompletterade
 Självklarhet, eftersom felaktiga uppgifter inte får behandlas.

Radering‐ Rätt att bli bortglömd
11139 Stockholm Org Nr: 556936 ‐ 7039
 Rätt att erhålla radering av uppgifter utan onödigt dröjsmål bl.a. om:
 uppgifterna inte längre behövs för det ändamål för vilka de samlades in
 uppgifterna behandlats olagligt
 den registrerade återkallar samtycke
 i vissa fall invänder mot behandlingen av uppgifter (även profilering)
 invänder mot behandling av uppgifter för direkt marknadsföring
 Undantag finns (se artikel 17.3)

Radering‐ Rätt att bli bortglömd
11139 Stockholm Org Nr: 556936 ‐ 7039
 Om uppgifterna ska raderas och de har offentliggjorts ska andra
personuppgiftsansvariga som behandlar uppgifterna underrättas och
eventuella länkar till eller kopior av uppgifterna raderas (undantag finns, se
art. 17.3)
 Mycket svårt i praktiken att radera uppgifter då många IT‐system inte stödjer
detta. Alternativen måste tills vidare kanske bli anonymisering så att det inte
längre är möjligt att identifiera den registrerade så att avsikten med
Förordningen uppnås.
 Radering av loggar?

Dataportabilitet
11139 Stockholm Org Nr: 556936 ‐ 7039
 Rätt för den registrerade att ”ta med sig” personuppgifter om sig själv för att
antingen spara dem för eget bruk eller överföra dem till en annan
personuppgiftsansvarig.
 Kan t.ex. handla om information om köpmönster enligt lojalitetsprogran,
kontaktlistor eller spelade låtar enligt spellistor.
 Rätt för den registrerade att få uppgifterna överförda:
 1. Direkt till den registrerade
 2. Direkt till den andra personuppgiftsansvarige
 3. Direkt till mellanlagrande part

Dataportabilitet
11139 Stockholm Org Nr: 556936 ‐ 7039
 Gäller när grunden för behandlingen är:
 Samtycke
 Avtal mellan den registrerade och personuppgiftsansvarig.
 Gäller endast automatiserad behandling – ej manuell behandling på papper
 Vilken information gäller rätten?
 Personuppgifter som rör den registrerade själv. (Ej läggas till grund för att inte föra över
uppgifter att om personuppgifter tillhörande andra förekommer)
 Personuppgifter som den registrerade har tillhandahållit själv.
 Personuppgifter som generats genom den registrerades handlingar och aktiviteter.

Personuppgiftsincidenter
11139 Stockholm Org Nr: 556936 ‐ 7039
 Personuppgiftsansvarig ska anmäla till tillsynsmyndigheten utan onödigt
dröjsmål (inom 72 timmar efter vetskap om händelsen).
 Personuppgiftsbiträde ska informera den personuppgiftsansvarige
omedelbart.
 Anmälan till tillsynsmyndigheten ska åtminstone:
 beskriva personuppgiftsincidentens art
 beskriva kategorier och ungefärligt antal registrerade, kategorier av och ungefärligt antal
uppgiftsposter
 förmedla kontaktuppgifter för dataskyddsombudet
 beskriva de sannolika konsekvenserna
 beskriva föreslagna eller vidtagna åtgärder

Personuppgiftsincidenter
11139 Stockholm Org Nr: 556936 ‐ 7039
 Den registrerade ska som huvudregel informeras om det föreligger hög risk
för enskildas rättigheter och friheter t.ex:
 att den enskilde förlorar kontrollen över sina uppgifter
 att hans eller hennes rättigheterna inskränks
 att den registrerade utsätts för diskriminering, identitetsstöld eller
bedrägeri
 att den registrerade råkar ut för finansiell förlust, skadlig
ryktesspridning, brott mot sekretess eller tystnadsplikt.
 Personuppgiftsincidenten ska dokumenteras så att Datainspektionen kan
kontrollera efterlevnad

Registerförteckningar
11139 Stockholm Org Nr: 556936 ‐ 7039
 Personuppgiftsansvarig och eventuella företrädare ska föra ett register över
behandlingar av personuppgifter
 Följande uppgifter ska dokumenteras
 a) namn och kontaktuppgifter för personuppgiftsansvarig, ev.
företrädare och ev. dataskyddsombud
 b) ändamålen med behandlingen
 c) kategorier av registrerade och kategorier av personuppgifter
 d) kategorier av mottagare
 e) ev. överföring till tredjeland samt dokumentation av skyddsåtgärder
 f) tidsfrist för radering (om möjligt)
 g) tekniska och organisatoriska säkerhetsåtgärder

11139 Stockholm Org Nr: 556936 ‐ 7039
 Personuppgiftsbiträde och eventuella företrädare ska föra ett register över
behandlingar av personuppgifter
 Följande uppgifter ska dokumenteras
 a) namn och kontaktuppgifter för personuppgiftsbiträdet och
personuppgiftsansvarig som personuppgiftsbiträdet arbetar för och ev.
dataskyddsombud
 b) kategorier av behandlingar som utförs för resp.
personuppgiftsansvarig
 c) ev. överföring till tredjeland samt dokumentation av skyddsåtgärder
 d) tekniska och organisatoriska säkerhetsåtgärder

11139 Stockholm Org Nr: 556936 ‐ 7039
 Företag som sysselsätter färre än 250 personer behöver inte upprätta
registerförteckning om inte:
 Behandlingen sannolikt kommer att medföra en risk för registrerades
rättigheter och friheter,
 Behandlingen inte är tillfällig
 Behandlingen omfattar särskilda kategorier av uppgifter eller fällande
domar i brottmål eller överträdelser.

Konsekvensbedömningar
11139 Stockholm Org Nr: 556936 ‐ 7039
 Om en typ av behandling sannolikt leder till en hög risk för fysiska personers
rättigheter och friheter ska den personuppgiftsansvarige före behandlingen
utföra en bedömning av den planerade behandlingens konsekvenser för
skyddet av personuppgifter. Särskilt vid:
 Systematisk och omfattande bedömning av personer
 Behandling i stor omfattning
 Systematiska övervakning av allmän plats i stor omfattning
 Dataskyddsombudet ska rådfrågas

Konsekvensbedömningar
11139 Stockholm Org Nr: 556936 ‐ 7039
 Bedömningen ska bl.a. innehålla:
 beskrivning av och ändamålet med behandlingen
 utvärdering av risk för registrerads rättigheter och friheter
 åtgärder som planeras för att hantera riskerna
 Om möjligt inhämta synpunkter från de registrerade eller deras företrädare
 Förhandssamråd med Datainspektionen om bedömningen visar hög risk

Dataskyddsombud
11139 Stockholm Org Nr: 556936 ‐ 7039
 Personuppgiftsansvarig och personuppgiftbiträde måste ha ett
Dataskyddsombud om:
 Myndighet alt. offentligt organ, ej domstolar.
 Praxis att utse Dataskyddsombud även om ”myndighetsliknande” verksamhet.
 Kärnverksamheten är behandling som regelbunden övervakning i stor omfattning
 Kärnverksamheten är behandling av känsliga uppgifter i stor omfattning
 Om det inte är uppenbart att en Dataskyddsombud inte behövs, bör företag göra
en analys av detta.
 Om en Dataskyddsombud utses på frivillig basis, gäller samma krav som om det
hade varit tvingande.

Dataskyddsombud
11139 Stockholm Org Nr: 556936 ‐ 7039
 Dataskyddsombudet har följande uppgifter:
 Informera och ge råd till personuppgiftsansvarig, personuppgiftsbiträde och
registrerade avseende behandling av personuppgifter.
 Övervaka efterlevnaden av Förordningen
 Ge råd avseende konsekvensbedömningen
 Samarbeta med Datainspektionen
 Kontaktpunkt med Datainspektionen
 Registerförteckningar
 Tidigare Personuppgiftsombudets ansvar
 Ny den personuppgiftsansvariges ansvar – tas dock ofta ändå av Dataskyddsombudet

Säkerhet vid behandlingen
11139 Stockholm Org Nr: 556936 ‐ 7039
 Vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en
säkerhetsnivå som är lämplig i förhållande till risken.
 Pseudonymisering och kryptering
 Konfidentialitet, integritet, tillgänglighet och motståndskraft hos systemen och tjänster
 Återställning vid incident
 Löpande testa och utvärdera effektiviteten
 Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker
som behandling medför:
 oavsiktlig eller olaglig förstöring,
 förlust eller ändring
 obehörigt röjande av eller obehörig åtkomst

Säkerhet vid behandlingen
11139 Stockholm Org Nr: 556936 ‐ 7039
 Privacy by design and privacy by default
 Genomföra lämpliga tekniska och organisatoriska åtgärder för att endast de
personuppgifter behandlas som är nödvändiga för varje specifikt ändamål
med avseende på:
 antal insamlade uppgifter
 behandlingens omfattning
 tiden för lagring
 uppgifternas tillgänglighet
 att de inte görs tillgängliga för obegränsat antal enskilda
 Ska genomsyra alla beslut om behandling

Personuppgiftsbiträden
11139 Stockholm Org Nr: 556936 ‐ 7039
 Den som behandlar personuppgifter för den personuppgiftsansvariges
räkning.
 Exempel:
 Leverantörer av lönesystem
 Förmedlare
 Molntjänster
 Arkiveringstjänster
 Konsulter inom olika tjänstesektorer
 Personuppgiftsansvarig och personuppgiftsbiträde ska skriftligen
dokumentera instruktioner och skyldigheter

Eget ansvar
11139 Stockholm Org Nr: 556936 ‐ 7039
 Personuppgiftsbiträdet har eget ansvar för behandlingen och ska bland
annat för egen del:
 Upprätthålla tillräckliga organisatoriska och säkerhetsmässiga lösningar.
 Utföra riskanalyser
 Upprätta registerförteckningar
 Utse Dataskyddsombud
 Analysera hur man följer Förordningen och kunna redovisa detta
 Kan också drabbas av sanktioner

Avtal mellan parterna
11139 Stockholm Org Nr: 556936 ‐ 7039
 Det ska finnas ett skriftligt avtal mellan personuppgiftsansvarig och
personuppgiftsbiträdet som särskilt ska ange:
 föremålet för behandlingen,
 behandlingens varaktighet,
 art och ändamål,
 typen av personuppgifter
 och kategorier av registrerade,
 personuppgiftsansvariges skyldigheter och rättigheter anges
 Personuppgiftsbiträdet måste ställa tillräckliga garantier om att genomföra
lämpliga tekniska och organisatoriska åtgärder för att uppfylla Förordningen
och skydda den registrerades rättigheter.

Avtal mellan parterna
11139 Stockholm Org Nr: 556936 ‐ 7039
 Avtalet ska även reglera att personuppgiftsansvarig:
 endast får behandla personuppgifter på dokumenterade instruktioner från den
personuppgiftsansvarige,
 säkerställer att de personer som behandlar personuppgifter har åtagit sig att iaktta
konfidentialitet eller omfattas lagstadgad tystnadsplikt
 ska vidta alla i Förordningen angivna säkerhetsåtgärder
 säkerställer att eventuella underleverantörer inte får anlita underleverantörer utan tillstånd samt
att avtal finns med dessa i alla led.
 hjälpa personuppgiftsansvarig med tekniska åtgärder för att kunna svara på förfrågan om
registerutdrag.
 hjälpa personuppgiftsansvarig med att säkerställa att ansvar för säkerhetsåtgärder,
personuppgiftsincidenter, konsekvensbedömningar och förhandssamråd kan utföras.
 radera eller återlämna alla personuppgifter till den personuppgiftsansvarige vid avtalets
upphörande
 ska ge den personuppgiftsansvarige tillgång till all information som krävs, inkl att acceptera att
revisioner av verksamheten görs.

Sanktioner
11139 Stockholm Org Nr: 556936 ‐ 7039
 Den personuppgiftsansvarige och personuppgiftsbiträdet kan drabbas av
sanktioner för brott mot Förordningen:
 upp till 10 miljoner euro eller 2 % av globala årsomsättningen (beroende på
vad som är högst) bl.a. om
 inget dataskyddsombud
 ingen registerförteckning
 ingen konsekvensbedömning
 upp till 20 miljoner euro eller 4 % av globala årsomsättningen (beroende på
vad som är högst) bl.a. om
 behandlar personuppgifter fast det inte är tillåtet
 känsliga personuppgifter fast man inte får
 inte lämnar information som krävs

Sanktioner
11139 Stockholm Org Nr: 556936 ‐ 7039
 Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella
uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade
och den skada som de har lidit.
 Om överträdelsen skett med uppsåt eller genom oaktsamhet.
 De åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet har vidtagit för
att lindra den skada som de registrerade har lidit.
 Genomförda säkerhetsåtgärder och ansvarsfördelning mellan den personuppgiftsansvarige
eller personuppgiftsbiträdet
 Eventuella relevanta tidigare överträdelser

Sanktioner
11139 Stockholm Org Nr: 556936 ‐ 7039
 Graden av samarbete med tillsynsmyndigheten
 De kategorier av personuppgifter som påverkas av överträdelsen.
 Det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom
 Icke efterlevnad av uppmaning att korrigera åtgärder
 Tillämpandet av godkända uppförandekoder eller godkända certifieringsmekanismer
 Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna
i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt,
genom överträdelsen

Vad ska man göra nu?
11139 Stockholm Org Nr: 556936 ‐ 7039
 Få styrelse och lednings uppmärksamhet om att detta är viktigt.
 Analysera om ni behöver utse ett Dataskyddsombud.
 Utbilda verksamheten om personuppgiftsfrågor.
 Upprätta interna styrdokument för dataskydd.
 Säkerställ att information till registrerade är korrekt.
 Analysera om ni förlitar er på missbruksregeln

Vad ska man göra nu?
11139 Stockholm Org Nr: 556936 ‐ 7039
 Om behandlingen grundar sig på samtycke, säkerställ att dessa är korrekt
givna.
 Upprätta registerförteckningar.
 Säkerställ ni kan efterkomma den registrerades förfrågan om information,
registerutdrag, dataportabilitet etc.
 Se över personuppgiftsbiträdesavtal –Omförhandla avtalen.
 Analysera om ni själva är personuppgiftsbiträden.

Så – vad gör man nu?

Analysera förmågor, system, integrration..

Informationsmodell

Karta över
verksamhetsförmågor,
informationssystem och
integrationer


Kund
t_Kund
fysisk person eller organisation
i roll som kund hos ett förlag
Kunder
Fysiska personer eller organisationer i
roll som kund hos ett förlag
Förlagsenhet
t_Agare
förlag (eller del av förlag)
som äger kunder och
information
Förlag
Kunduppgift hos förlagsenhet
t_KundAgare
kunduppgift hos viss förlagsenhet
Kunduppgift hos förlag
t_KundUppgifterPerForlag
kunduppgift hos ett visst förlag
Förlag
t_Forlag
förlag
Kampanj
t_Kampanj
ett antal erbjudanden som hålls
samman som en enhet
Kampanjer
Samlingar av erbjudanden till kunder
om prenumerationer
Erbjudande
t_Erbjudande
ett antal titlar som som
erbjuds som ett paket
Erbjudanden
En samling titlar som erbjudas som en
enhet till kunder att avtala om
Titel
t_Titel
tidskriftstitel för
prenumeration
Huvudtitel
Prenumeration
t_Abonnemang
arrangemang för kund för
distribution av ett antal
utgåvor av en titel  Kampanj
 Erbjudande
Kampanjsplit
t_KampanjSplitKod
identifierad del av kampanj som
skiljer ut vissa
kampanjaktiviteter från andra
Kampanjsplit
Prenumerationsavtal
t_Avtal
avtal mellan kund och förlag
om prenumeration
Titel i prenumerationsavtal
t_AvtalTitel
detalj i prenumerationsavtal
som avser specifik titel
Erbjudandetitel
t_ErbjudandeTitel
titel i erbjudande
 Titel
 Erbjudandetitel
Utgåva
t_Utgava
utgåva av en titel
 Utgåva tom
 Utgåva from
Detaljrad för  utgåva i
prenumerationsavtal
t_AvtalTitelUtgava
detalj i prenumerationsavtal
som avser specifik utgåva av
en titel
 Utgåva
Prenumerationer
Mottagare
Titelsortiment
Tidskriftstitlar och utgåvor för prenumeration
Betalare
Distributörer
Distributör
t_Distributor
part som distribuerar titlar,
artiklar och/eller avier
Distributionsgrupp
t_DistributionGrupp
De uppgifter som behövs för en
distributör för distribution av en titel
 Titel
Postdistributör
t_PostDistributor
part som distribuerar
postförsändelser
Postdistributörsområde
t_PostDistributorOmrade
geografiskt område för
postdistribution, definierat av
postdistributör
Postdistributörs‐delområde
t_PostDistributorDelOmrade
postnummerserie, definierad av
postdistributör för postdistribution
Postdistributörer
Distributionsarrangemang för titel
Leverans av utgåva i avtal
t_AvtalTitelUtgavaLev
utförd leverans av utgåva av titel i ett
prenumerationsavtal
Utgåva i
prenumerations‐
avtal
Leverans av utgåva i avtal
Aviseringsarrangemang
t_Faktura
arrangemang för avisering
av en betalare
för en eller flera
prenumerationer
Återbetalning till kund
Återbetalning till kund
t_Aterbetalning
Betalningsavi
t_Avi
meddelande till kund om
vad som ska betalas
Betalningsavirad
t_AviRad
specificering av
delbelopp på
betalningsavi
Titel på betalningsavi
t_AviTitel
faktat att en titel
förekommer på en
betalningsavi
 Titel
Betalning från kund
Betalning
t_Betalning
bokförd prenumerations‐
inbetalning från kund
Kreditering av
betalningsavi
t_Kredit
Betalning som ännu inte är
fakturerad
t_Forskott
prenumerationsinbetalning från
kund som ska faktureras i efterskott
 Titel
 Inbetalare
Kundreskontrapost
t_Reskontra
postering i kundreskontra
Kreditering av
inbetalningsavi
 Fakturamottagare
Huvudtitel –
 titelnummer
 Prenumerationsavtal
 Titel i prenumerationsavtal
 Prenumerationshändelse
Prenumerations‐
 händelse
 Prenumerations‐
avtal
Betalningsavisering
Kund
Prenumerationshändelse
t_AbonnemangHandelse
händelse som har skett,
och/eller i vissa fall ska ske,
för en viss prenumeration
Huvudtitel
Kundreskontra
Parter
Konfigu‐
rering av
utbud
och
tjänster
Drift
Förlag, förlagens utbud
och beställningar
Kunder och förlagens
arrangemang med
kunder
Distribution Betalningshantering
Betalnings‐
händelser
Bokföring av
betalnings‐
händelser
Distributionshändelser
Huvuderbjudande
Erbjudande
Prenumerationsavtal
Erbjudande i
kampanng
t_Kampanj
Erbjudande
Prenumerations‐
beställningar
Prenumerationsbeställningsfil
t_Beställningsfil
fil som vi tar emot från extern
part, med beställningar av
prenumerationer
Kundpost i filpost
prenumerationsbeställningsfil
t_BeställningsfilKundinfo
kundpost i en filpost i
prenumerationsbeställningsfil,
motsvarande en kundroll
(prenumerationsmottagare eller
separat prenumerationsbetalare)
Registrerad kund
Beställningspost
prenumerationsbeställningsfil
t_Beställningsfilrad
Filpost i
prenumerationsbeställningsfil,
motsvarande en
prenumerationsbeställning
Registrerad  prenumeration
Förnyelseunderlag
Förnyelseunderlag
t_FornyelseUnderlag
förfrågan till betalande
kund om vilka
prenumerationer som
ska förnyas
Betalare
Huvudtitel
Från prenumerationsavtal
Från avtalstitel
Nytt erbjudande
Nytt erbjudande – Erbudandetitel
Titel
Beställnings‐ och
förnyelsehämdelser
Informationsmodell ‐
översikt

Informationsmodell –
detalj

TACK!!
Nicole Norrestad Ulla Åkerman
Dataskyddsombud Sverige AB IRM AB
Nicole.dattaskyddsombud.com ulla.akerman@irm.se
0708‐431650 0730‐511 112

GDPR - Den nya dataskyddsförordningen

Recommended

Recommended

More Related Content

Featured

Featured (20)

GDPR - Den nya dataskyddsförordningen