Dataskyddsförordningen FRII Frukostseminarium 20160307

NYA DATASKYDDSFÖRORDNINGEN
Frukostseminarium med FRII - 7 mars 2016
Kerstin Wardman
Bolagsjurist, Bisnode Sverige
FACEBOOK BARNFÖRJUDS!
2
2016-03-07
NYA DATASKYDDSFÖRORDNINGEN –
FRUKOSTSEMINARIUM MED FRII 7 MARS 2016
EN RÄTTIGHETSLAGSTIFTNING!
3
•
Jag ska få veta vilka uppgifter som företag behandlar om mig
•
Jag ska kunna motsätta mig att företag behandlar mina personuppgifter
•
Jag har rätt att bli bortglömd
•
Jag ska kunna flytta mina personuppgifter från ett företag till ett annat
•
Företag ska ha ordning och reda på mina personuppgifter
•
Det ska kosta för företag att behandla mina uppgifter felaktigt
2016-03-07
PUL-UTBILDNING
AGENDA
4
•
Bakgrund och syfte med nya Dataskyddsförordningen
•
Tillämpningsområde – när och var ska förordningen tillämpas?
•
Principer för behandling av personuppgifter
•
Registrerades rättigheter
•
Profilering – Opt out
•
Data Protection Officer 2.0
•
Ansvar för personuppgiftsansvarig respektive personuppgiftsbiträde
•
Datasäkerhet, dataskyddsincidenter
•
Sanktioner
•
Förhållande till annan lagstiftning
•
Vad göra i er organisation?
2016-03-07
PUL-UTBILDNING
BAKGRUND
5
•
Den 25 januari 2012 presenterade Kommissionen ett förslag till ny dataskyddsförordning som skulle ersätta PuL
•
Överenskommelse i december 2015 mellan Parlamentet, Rådet och Kommissionen
•
Förordningen ska nu översättas till alla officiella språk
•
Officiellt antagandebeslut under våren 2016
•
Förordningen börjar gälla från våren 2018 (2 års implementationstid)
•
Implementering i 28 länder
2016-03-07
PUL-UTBILDNING
SYFTE - VARFÖR NYA REGLER?
6
•
Dagens personuppgiftslag är från 1998 - omodern
•
Syfte med de nya reglerna
- uppdatera reglerna till dagens förutsättning, Internet, molntjänster, sociala nätverk
- striktare integritetsregler
- lika regler i alla EU länder
•
Harmoniserade regler är viktigt för
- fria flödet av data
- handel över landsgränser
- skapar förtroende/säkerhet på Internet
•
Förordningen blir direkt tillämplig – behöver ej genomföras i nationell rätt
2016-03-07
PUL-UTBILDNING
TILLÄMPNINGSOMRÅDE – NÄR?
7
•
Helt eller delvis automatiserad personuppgiftsbehandling
•
Strukturerad manuell behandling med personuppgifter som är sökbar efter specifika
kriterier (”filing systems”)
•
Behandling som undantas från förordningen är bl a:
- privat behandling (telefonbok, appar, bloggar etc)
- brottskämpande arbete hos myndigheter
•
Missbruksregeln avskaffas – ingen särreglering för ostrukturerade personuppgifter
•
Ingen subsidiaritetsregel – förordningen trumfar alltid!
2016-03-07
PUL-UTBILDNING
TILLÄMPNINGSOMRÅDE – VAR?
•
Företag etablerade inom EU
•
Företag etablerade utanför EU om behandlingen avser
- erbjudande av varor och tjänster till EU-medborgare (t ex webbshop)
- övervakning av EU-medborgares beteenden (t ex cookies)
Global tillämpning!
8
2016-03-07
PUL-UTBILDNING
PRINCIPER FÖR PERSONUPPGIFTSBEHANDLING
9
•
Samma grundläggande principer för behandling som i PuL:
- Lagligt
- Specifikt och berättigat ändamål
- Begränsat antal uppgifter
•
Nya ändamål för behandling ska vara förenliga med ursprungliga ändamål
•
Samma lagliga grunder som i PuL:
- Samtycke
- Nödvändigt för att fullgöra avtal med den registrerade
- Nödvändigt för att uppfylla rättslig skyldighet
- Intresseavvägning
2016-03-07
PUL-UTBILDNING
SÄRSKILT OM SAMTYCKE
10
•
Utökat krav på samtycke
•
Frivilligt, specifikt, informerat och otvetydigt
•
Samtycket måste vara tydligt urskiljbart från andra delar i ex avtal
•
Personuppgiftsansvarige har bevisbördan
•
Redan insamlade samtycken är fortsatt giltiga om de inte har insamlats i strid mot
förordningen
•
Särskilda regler om samtycke och barn (13-16 år)
2016-03-07
PUL-UTBILDNING
NÅGRA VIKTIGA RÄTTIGHETER
11
•
Rätt till registerutdrag
•
Rätt till radering – rätten att bli bortglömd
•
Rätt till dataportabilitet
•
Rätt att invända mot behandling (som grundar sig på intresseavvägning, t ex DM)
•
Rätt till begränsning av behandling
•
Rätt till information vid insamling
2016-03-07
PUL-UTBILDNING
SÄRSKILT OM INFORMATIONSKRAVET
•
Vid insamling ska den personuppgiftsansvariga lämna information till den
registrerade:
- Identitet
- Ändamål och rättslig grund
- Ev intresseavvägning
- Mottagare eller kategori av mottagare
- Tredjelandsöverföringar
- Retentionstid
- Rätten att begära rättelse, radering, motsätta sig behandling, dataportabilitet
- Rätten att när som helst återkalla samtycke
- Rätten att inge klagomål till tillsynsmyndighet
- Förekomsten av automatiserat beslutsfattande, inkl profilering
12
2016-03-07
PUL-UTBILDNING
PROFILERING – FORTSATT OPT-OUT
13
•
Rätt att motsätta sig DM-åtgärd
•
Rätt att motsätta sig profilering
- Informationskrav om möjligheten att tacka nej
- Inget krav på aktivt samtycke för profilering
•
Rätt att tacka ja till DM-åtgärd men nej till profilering
- Profileringsregister?
2016-03-07
PUL-UTBILDNING
DATA PROTECTION OFFICER 2.0
14
•
Skyldighet att utse personuppgiftsombud (”uppgiftsskyddsombud”) om
- myndighet eller
- personuppgiftshantering en del av företagets kärnverksamhet (om behandling
inbegriper ”systematisk övervakning av registrerade”)
•
Övervakar att den personuppgiftsansvarige följer förordningen
•
Kan utses för en hel koncern
•
Personuppgiftsombudet ska ha yrkesmässig kvalifikationer och expertkunnande om
lagstiftning och praxis avseende uppgiftsskydd. Kan vara anställd eller extern person
(inga formkrav i dagens PuL).
•
Anställningsskydd
•
Kontaktpunkt för tillsynsmyndigheten (DI)
2016-03-07
PUL-UTBILDNING
ANSVAR FÖR DEN PERSONUPPGIFTSANSVARIGE
15
•
Att tillse att personuppgifter behandlas i enlighet med förordningen;
- upprätta dataskyddspolicies, uppförandekod eller certifiering
•
Säkerställa inbyggt integritetsskydd i systemen – Data protection by design and
default
•
Skyldighet att föra förteckning över personuppgiftsbehandlingar (detaljerad lista finns
i förordningen)
•
Gäller för alla företag som kontinuerligt behandlar personuppgifter
2016-03-07
PUL-UTBILDNING
NYTT ANSVAR FÖR PERSONUPPGIFTSBITRÄDE
•
Personuppgiftsbiträden som hanterar personuppgifter för personuppgiftsansvarig
•
Utökat ansvar för personuppgiftsbiträdet
- föra register över behandlingar
- utse personuppgiftsombud i vissa fall
- sanktionsregler blir gällande även för biträdet
- den registrerade kan även vända sig direkt till biträdet ang skadestånd
16
2016-03-07
PUL-UTBILDNING
SÄKERHETSKRAV
•
Lämpliga tekniska och organisatoriska säkerhetsåtgärder
- t ex dataskyddspolicies, uppförandekod, certifiering etc
•
Skyldighet att säkerställa inbyggt s k integritetsskydd - Privacy by design
1.
2.
3.
4.
5.
6.
17
minimera mängden personuppgifter
begränsa åtkomsten till uppgifterna – tydliga behörighetsregler
skydda uppgifterna – kryptering
gallra obsoleta data
låt systemet styra användaren rätt
bygg funktion för registerutdrag vid nyutveckling
•
Skyldighet att föra förteckning över personuppgiftsbehandlingar
- Namn, kontaktuppgifter, personuppgiftsombud, kategorier av mottagare,
ev behandling i tredje land etc
•
Gäller även personuppgiftsbiträden!
2016-03-07
PUL-UTBILDNING
DATASKYDDSINCIDENTER
•
Information om Dataskyddsincidenter ska anmälas till DI inom 72 timmar
•
Dataskyddsincident – ett säkerhetsbrott som leder till
- oavsiktlig eller olaglig förstöring, förlust eller ändring eller
- obehörigt röjande av eller obehörig åtkomst till personuppgifter
•
Information som ska lämnas vid en incident:
- vilka kategorier av personer kan beröras
- hur många personer berörs
- vilka konsekvenser kan det få
- vilka åtgärder har vidtagits för att motverka negativa konsekvenser
•
18
Information till registrerade (om hög integritetsrisk)
2016-03-07
PUL-UTBILDNING
ADMINISTRATIVA VITEN
19
•
Tillsynsmyndigheter får rätt att ålägga administrativa viten vid överträdelser av
förordningen
•
Beaktar vissa riktlinjer och gör överväganden
•
10 – 20 miljoner EURO eller 2-4 % av den globala omsättningen
2016-03-07
PUL-UTBILDNING
FÖRHÅLLANDE TILL ANNAN LAGSTIFTNING
20
•
Nationella anpassningar i svensk lagstiftning kommer att genomföras
- Justitiedepartementet utreder (Kommittédirektiv 2016:15)
- Utredningen ska vara klar 12 maj 2017
•
Offentlighetsprincipen befästs
•
Grundlagar?
•
Registerlagstiftning?
•
Kreditupplysningsverksamhet?
•
Motverka penningtvätt och finansiering av terrorism?
2016-03-07
PUL-UTBILDNING
VAD GÖRA I ER ORGANISATION?
21
•
Utse personuppgiftsombud
•
Se över riktlinjer och upprätta integritetspolicy.
•
Se över samtyckesblanketter och informationstexter
•
Se över rutiner för förteckningar, rättelse, registerutdrag och gallring
•
Var sparsam med användningen av personinformation
•
Fokusera på IT säkerhet
2016-03-07
PUL-UTBILDNING
MER INFORMATION
Tips på webbplatser med mer information:
-
www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform
-
www.swedma.se (särskilt om direktmarknadsföring)
Länk till den förhandlade versionen 2015-12-15 = >
- www.fedma.org/fileadmin/documents/Legal_A_Eth_C/proposal-eudatap-regulation-final-compromise151216.pdf
Länk till Regeringens utredningsuppdrag angående Dataskyddsförordningen
- www.regeringen.se/contentassets/b16563d102144523a1af80fb44321c43/dir.-201615dataskyddsforordningen
22
2016-03-07
PUL-UTBILDNING
TACK FÖR ATT NI LYSSNADE!
Kerstin Wardman
Bolagsjurist
BISNODE
E-post: [email protected]
23
2016-03-07
PUL-UTBILDNING
24
2016-03-07
PUL-UTBILDNING