NYA DATASKYDDSFÖRORDNINGEN Frukostseminarium med FRII - 7 mars 2016 Kerstin Wardman Bolagsjurist, Bisnode Sverige FACEBOOK BARNFÖRJUDS! 2 2016-03-07 NYA DATASKYDDSFÖRORDNINGEN – FRUKOSTSEMINARIUM MED FRII 7 MARS 2016 EN RÄTTIGHETSLAGSTIFTNING! 3 • Jag ska få veta vilka uppgifter som företag behandlar om mig • Jag ska kunna motsätta mig att företag behandlar mina personuppgifter • Jag har rätt att bli bortglömd • Jag ska kunna flytta mina personuppgifter från ett företag till ett annat • Företag ska ha ordning och reda på mina personuppgifter • Det ska kosta för företag att behandla mina uppgifter felaktigt 2016-03-07 PUL-UTBILDNING AGENDA 4 • Bakgrund och syfte med nya Dataskyddsförordningen • Tillämpningsområde – när och var ska förordningen tillämpas? • Principer för behandling av personuppgifter • Registrerades rättigheter • Profilering – Opt out • Data Protection Officer 2.0 • Ansvar för personuppgiftsansvarig respektive personuppgiftsbiträde • Datasäkerhet, dataskyddsincidenter • Sanktioner • Förhållande till annan lagstiftning • Vad göra i er organisation? 2016-03-07 PUL-UTBILDNING BAKGRUND 5 • Den 25 januari 2012 presenterade Kommissionen ett förslag till ny dataskyddsförordning som skulle ersätta PuL • Överenskommelse i december 2015 mellan Parlamentet, Rådet och Kommissionen • Förordningen ska nu översättas till alla officiella språk • Officiellt antagandebeslut under våren 2016 • Förordningen börjar gälla från våren 2018 (2 års implementationstid) • Implementering i 28 länder 2016-03-07 PUL-UTBILDNING SYFTE - VARFÖR NYA REGLER? 6 • Dagens personuppgiftslag är från 1998 - omodern • Syfte med de nya reglerna - uppdatera reglerna till dagens förutsättning, Internet, molntjänster, sociala nätverk - striktare integritetsregler - lika regler i alla EU länder • Harmoniserade regler är viktigt för - fria flödet av data - handel över landsgränser - skapar förtroende/säkerhet på Internet • Förordningen blir direkt tillämplig – behöver ej genomföras i nationell rätt 2016-03-07 PUL-UTBILDNING TILLÄMPNINGSOMRÅDE – NÄR? 7 • Helt eller delvis automatiserad personuppgiftsbehandling • Strukturerad manuell behandling med personuppgifter som är sökbar efter specifika kriterier (”filing systems”) • Behandling som undantas från förordningen är bl a: - privat behandling (telefonbok, appar, bloggar etc) - brottskämpande arbete hos myndigheter • Missbruksregeln avskaffas – ingen särreglering för ostrukturerade personuppgifter • Ingen subsidiaritetsregel – förordningen trumfar alltid! 2016-03-07 PUL-UTBILDNING TILLÄMPNINGSOMRÅDE – VAR? • Företag etablerade inom EU • Företag etablerade utanför EU om behandlingen avser - erbjudande av varor och tjänster till EU-medborgare (t ex webbshop) - övervakning av EU-medborgares beteenden (t ex cookies) Global tillämpning! 8 2016-03-07 PUL-UTBILDNING PRINCIPER FÖR PERSONUPPGIFTSBEHANDLING 9 • Samma grundläggande principer för behandling som i PuL: - Lagligt - Specifikt och berättigat ändamål - Begränsat antal uppgifter • Nya ändamål för behandling ska vara förenliga med ursprungliga ändamål • Samma lagliga grunder som i PuL: - Samtycke - Nödvändigt för att fullgöra avtal med den registrerade - Nödvändigt för att uppfylla rättslig skyldighet - Intresseavvägning 2016-03-07 PUL-UTBILDNING SÄRSKILT OM SAMTYCKE 10 • Utökat krav på samtycke • Frivilligt, specifikt, informerat och otvetydigt • Samtycket måste vara tydligt urskiljbart från andra delar i ex avtal • Personuppgiftsansvarige har bevisbördan • Redan insamlade samtycken är fortsatt giltiga om de inte har insamlats i strid mot förordningen • Särskilda regler om samtycke och barn (13-16 år) 2016-03-07 PUL-UTBILDNING NÅGRA VIKTIGA RÄTTIGHETER 11 • Rätt till registerutdrag • Rätt till radering – rätten att bli bortglömd • Rätt till dataportabilitet • Rätt att invända mot behandling (som grundar sig på intresseavvägning, t ex DM) • Rätt till begränsning av behandling • Rätt till information vid insamling 2016-03-07 PUL-UTBILDNING SÄRSKILT OM INFORMATIONSKRAVET • Vid insamling ska den personuppgiftsansvariga lämna information till den registrerade: - Identitet - Ändamål och rättslig grund - Ev intresseavvägning - Mottagare eller kategori av mottagare - Tredjelandsöverföringar - Retentionstid - Rätten att begära rättelse, radering, motsätta sig behandling, dataportabilitet - Rätten att när som helst återkalla samtycke - Rätten att inge klagomål till tillsynsmyndighet - Förekomsten av automatiserat beslutsfattande, inkl profilering 12 2016-03-07 PUL-UTBILDNING PROFILERING – FORTSATT OPT-OUT 13 • Rätt att motsätta sig DM-åtgärd • Rätt att motsätta sig profilering - Informationskrav om möjligheten att tacka nej - Inget krav på aktivt samtycke för profilering • Rätt att tacka ja till DM-åtgärd men nej till profilering - Profileringsregister? 2016-03-07 PUL-UTBILDNING DATA PROTECTION OFFICER 2.0 14 • Skyldighet att utse personuppgiftsombud (”uppgiftsskyddsombud”) om - myndighet eller - personuppgiftshantering en del av företagets kärnverksamhet (om behandling inbegriper ”systematisk övervakning av registrerade”) • Övervakar att den personuppgiftsansvarige följer förordningen • Kan utses för en hel koncern • Personuppgiftsombudet ska ha yrkesmässig kvalifikationer och expertkunnande om lagstiftning och praxis avseende uppgiftsskydd. Kan vara anställd eller extern person (inga formkrav i dagens PuL). • Anställningsskydd • Kontaktpunkt för tillsynsmyndigheten (DI) 2016-03-07 PUL-UTBILDNING ANSVAR FÖR DEN PERSONUPPGIFTSANSVARIGE 15 • Att tillse att personuppgifter behandlas i enlighet med förordningen; - upprätta dataskyddspolicies, uppförandekod eller certifiering • Säkerställa inbyggt integritetsskydd i systemen – Data protection by design and default • Skyldighet att föra förteckning över personuppgiftsbehandlingar (detaljerad lista finns i förordningen) • Gäller för alla företag som kontinuerligt behandlar personuppgifter 2016-03-07 PUL-UTBILDNING NYTT ANSVAR FÖR PERSONUPPGIFTSBITRÄDE • Personuppgiftsbiträden som hanterar personuppgifter för personuppgiftsansvarig • Utökat ansvar för personuppgiftsbiträdet - föra register över behandlingar - utse personuppgiftsombud i vissa fall - sanktionsregler blir gällande även för biträdet - den registrerade kan även vända sig direkt till biträdet ang skadestånd 16 2016-03-07 PUL-UTBILDNING SÄKERHETSKRAV • Lämpliga tekniska och organisatoriska säkerhetsåtgärder - t ex dataskyddspolicies, uppförandekod, certifiering etc • Skyldighet att säkerställa inbyggt s k integritetsskydd - Privacy by design 1. 2. 3. 4. 5. 6. 17 minimera mängden personuppgifter begränsa åtkomsten till uppgifterna – tydliga behörighetsregler skydda uppgifterna – kryptering gallra obsoleta data låt systemet styra användaren rätt bygg funktion för registerutdrag vid nyutveckling • Skyldighet att föra förteckning över personuppgiftsbehandlingar - Namn, kontaktuppgifter, personuppgiftsombud, kategorier av mottagare, ev behandling i tredje land etc • Gäller även personuppgiftsbiträden! 2016-03-07 PUL-UTBILDNING DATASKYDDSINCIDENTER • Information om Dataskyddsincidenter ska anmälas till DI inom 72 timmar • Dataskyddsincident – ett säkerhetsbrott som leder till - oavsiktlig eller olaglig förstöring, förlust eller ändring eller - obehörigt röjande av eller obehörig åtkomst till personuppgifter • Information som ska lämnas vid en incident: - vilka kategorier av personer kan beröras - hur många personer berörs - vilka konsekvenser kan det få - vilka åtgärder har vidtagits för att motverka negativa konsekvenser • 18 Information till registrerade (om hög integritetsrisk) 2016-03-07 PUL-UTBILDNING ADMINISTRATIVA VITEN 19 • Tillsynsmyndigheter får rätt att ålägga administrativa viten vid överträdelser av förordningen • Beaktar vissa riktlinjer och gör överväganden • 10 – 20 miljoner EURO eller 2-4 % av den globala omsättningen 2016-03-07 PUL-UTBILDNING FÖRHÅLLANDE TILL ANNAN LAGSTIFTNING 20 • Nationella anpassningar i svensk lagstiftning kommer att genomföras - Justitiedepartementet utreder (Kommittédirektiv 2016:15) - Utredningen ska vara klar 12 maj 2017 • Offentlighetsprincipen befästs • Grundlagar? • Registerlagstiftning? • Kreditupplysningsverksamhet? • Motverka penningtvätt och finansiering av terrorism? 2016-03-07 PUL-UTBILDNING VAD GÖRA I ER ORGANISATION? 21 • Utse personuppgiftsombud • Se över riktlinjer och upprätta integritetspolicy. • Se över samtyckesblanketter och informationstexter • Se över rutiner för förteckningar, rättelse, registerutdrag och gallring • Var sparsam med användningen av personinformation • Fokusera på IT säkerhet 2016-03-07 PUL-UTBILDNING MER INFORMATION Tips på webbplatser med mer information: - www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform - www.swedma.se (särskilt om direktmarknadsföring) Länk till den förhandlade versionen 2015-12-15 = > - www.fedma.org/fileadmin/documents/Legal_A_Eth_C/proposal-eudatap-regulation-final-compromise151216.pdf Länk till Regeringens utredningsuppdrag angående Dataskyddsförordningen - www.regeringen.se/contentassets/b16563d102144523a1af80fb44321c43/dir.-201615dataskyddsforordningen 22 2016-03-07 PUL-UTBILDNING TACK FÖR ATT NI LYSSNADE! Kerstin Wardman Bolagsjurist BISNODE E-post: [email protected] 23 2016-03-07 PUL-UTBILDNING 24 2016-03-07 PUL-UTBILDNING