Nya Dataskyddsförordningen, GDPR

Advokat Josephine Borg

Elmzell – Partners in Law

Ledande specialister på HR-juridik

Vi hjälper dig som arbetsgivare att hantera företagetsviktigaste resurs – personalen

Allmän affärsjuridik inkl GDPR

Bli medlem i Elmzells grupp p¬ Linkedin:

Elmzell HR-juridik

Agenda

• Historik

• Ett urval av nyheterna med GDPR jämfört med

PUL

• Genomgång av regelverket

• Rättigheter och skyldigheter enligt GDPR

• Tillsyn

• Hur du förbereder verksamheten för de nya

reglerna

Från Dataskyddsdirektivet till GDPR

1995 – Dataskyddsdirektivet (95/46 EG)

1998 – Personuppgiftslagen (1998:204) (”PUL”)

2017 – SOU 2017:39 Dataskyddsutredningen

2018 – Dataskyddsförordningen (”GDPR”)

5

Ett urval av nyheterna med GDPR jämfört med PUL

6

Ansvarsskyldigheten - bevisbördan

Ett urval av nyheterna med GDPR jämfört

med PUL forts.

• Missbruksregeln försvinner (§ 5 a PUL)

• Känsliga personuppgifter omfattar genetisk och biometrisk

information

• Anmälan av personuppgiftsincident till Datainspektionen inom

72 timmar

• Utökade krav på information till de

registrerade

• Höga sanktionsavgifter vid brott

mot förordningen på upp till det

högsta av 4 % av den globala års-

omsättningen eller € 20 000 000

7

Huvuddragen i GDPR

• Gäller vid behandling av personuppgifter

som är helt eller delvis automatiserad eller

manuell om uppgifterna finns eller är

avsedda att finnas i register

• Syftet är att förhindra att människors integritet kränks genom

behandling av personuppgifter

• Bygger på samma grundprinciper som PUL men mer formella

krav och ansvar på den som behandlar personuppgifter

• GDPR är subsidiär till annan lagstiftning och kan kompletteras

av nationella bestämmelser

8

Vad är personuppgifter?

En personuppgift är ”en eller flera uppgifter i kombination som

indirekt eller direkt kan identifiera en fysisk person.”

Detta innefattar ej anonym information som exempelvis statistik

Exempel på personuppgifter för anställda:

• Namn

• Personnummer

• Kontaktuppgifter

• Kontonummer

• Foto

• Röst

• Värderande omdömen

• Resultat från personlighetstest eller kunskapstest

9

Särskilda kategorier av personuppgifter

(känsliga personuppgifter)

• Ras och etnicitet

• Politiska åsikter

• Religiös eller filosofisk

övertygelse

• Medlemskap i fackförening

• Genetiska och biometriska

uppgifter

• Hälsa

• Sexualliv eller sexuell läggning

10

Särskilt om vissa personuppgifter

• Uppgifter om personnummer eller samordningsnummerfår behandlas utan samtycke endast när det är klart

motiverat med hänsyn till ändamålet med behandlingen,

vikten av en säker identifiering eller något annat

beaktansvärt skäl (Lagförslag 13 § i den nya svenska lagen)

• Uppgifter som rör fällande domar i brottmål får endast

utföras under kontroll av

myndighet och då behandling-

en är tillåten enligt lag (Art. 10 GDPR)

11

Vad är personuppgiftsbehandling?

• Insamling

• Registrering

• Lagring

• Strukturering

• Bearbetning

• Ändring

• Organisering

• Läsning

• Utlämnande/överföring/överlämnande/spridning

• Sammanställning eller samkörning

12

Vilka behandlar personuppgifter?

• Personuppgiftsansvarig – den som ensam eller

tillsammans med andra bestämmer ändamålen med

behandlingen av personuppgifter

• Personuppgiftsbiträde – den som behandlar

personuppgifter för den personuppgiftsansvariges räkning

• Underbiträde – den som anlitas av personuppgiftsbiträdet

• Dataskyddsombud – utses av den personuppgifts-

ansvarige eller personuppgiftsbiträdet för att säkerställa att

behandling av personuppgifter sker på ett korrekt sätt

13

Hur ska behandlingen gå till?

Behandlingen av personuppgifter ska vara:

• Laglig, korrekt och transparent i förhållande till den

registrerade

• För särskilda, uttryckligt angivna och berättigade ändamål

• Adekvata, relevanta och inte mer omfattande än

nödvändigt

• Korrekta och ej sparade längre än nödvändigt

• Lämplig ur säkerhetssynpunkt

14

Grundläggande kraven enligt GDPR

Behandling av personuppgifter är laglig om det finns ett

giltigt samtycke från den registrerade eller om

behandlingen är nödvändig för att:

• Fullgöra ett avtal som den registrerade är part i• Fullgöra en rättslig förpliktelse

• Skydda intressen av grundläggande betydelse för den

registrerade

• Utföra en uppgift av allmänt intresse

• Om berättigat intresse finns som väger tyngre än den registrerades krav på skydd av personuppgifter – intresseavvägning

15

Vad är ett giltigt samtycke?

• ”Varje slag av frivillig, specifik och otvetydig viljeyttring

genom vilken den registrerade, efter att ha fått information,

godtar behandlingen av personuppgifter som rör honom

eller henne”

• Den registrerade kan när som helst återkalla sitt samtycke

16

Arbetstagares samtycke

• Arbetstagare kan normalt inte lämna giltiga samtycken

pga av beroendeställning

• Hypotetiskt eller tyst samtycke godtas ej

• Arbetsgivare bör alltid se till att stödja en behandling på

ytterligare grund utöver ett samtycke

17

Barns samtycke

Lagförslag: Föräldrars samtycke om barnet är under 13 år

Gäller ”informationssamhällets tjänster”

Metod för att kontrollera att vuxen ger samtycke online?

- ” Rimliga ansträngningar från den registeransvarige för

att kontrollera att samtycke ges eller godkänns av den

person som har föräldraansvar för barnet, med hänsyn

till tillgänglig teknik.”

18

Rättigheter enligt GDPR

• Den registrerade ska få tydlig och begriplig information om

behandlingen

• Rätt att få tillgång till de personuppgifter som behandlas

gratis

• Rätt att rätta felaktiga personuppgifter (gäller även för dem

till vilka personuppgifter överförts)

• Rätt till begränsning och radering (”Right to be forgotten”)

• Rätt att invända mot att personuppgifter används för

direktmarknadsföring eller automatiserat beslutsfattande

och profilering

• Dataportabilitet – dvs. personuppgifterna ska kunna

överföras

19

Skyldigheter enligt GDPR

• Föra register över behandlingar av personuppgifter

• Vidta ”lämpliga tekniska och organisatoriska åtgärder” för

att skydda personuppgifterna

• Optimera IT-system (”Privacy by design”)

• Göra konsekvensbedömning om en

personuppgiftsbehandling medför hög risk för fysiska

personers rättigheter och friheter

• Meddela Datainspektionen inom 72 timmar om

personuppgiftsincidenter – i vissa fall även de registrerade

20

Tillsynsmyndighet

www.datainspektionen.se

Byter under 2018 namn till

Integritetsskyddsmyndigheten

21

Så förbereder du verksamheten

• Inventera och dokumentera vilka personuppgifter som

hanteras, hur de samlas in och till vem uppgifterna lämnas ut

- Endast ”need to have” inga ”nice to have”!

- Behandlar ni personuppgifter i ostrukturerat material?

- Finns det känsliga personuppgifter?

• Inventera och dokumentera på vilka rättsliga grunder

behandlingen sker – samtycke, avtal etc.?

• Hur länge sparas personuppgifter – gallring?

• Är de registrerade tillräckligt informerade om behandlingen –

information?

• Hur inhämtar ni samtycke? Hur sparar ni uppgifter om att

samtycke lämnats?

22

Så förbereder du verksamheten, forts.

• Hur ska ni tillmötesgå de registrerades rättigheter?

• Behöver ni utse ett Dataskyddsombud? Om inte dokumentera

er bedömning

• Behöver ni göra en konsekvensbedömning? Om inte

dokumentera er bedömning

• Register och rutiner

• Upprätta en dataskyddspolicy. Personuppgiftsansvariga måste

kunna dokumentera och visa att GDPR följs

23

Så förbereder du verksamheten, forts.

• Säkerställ att IT-system har inbyggd integritet (”privacy by

design”)

- minimera mängden personuppgifter,

- begränsa åtkomsten till personuppgifterna och

- skydda personuppgifterna

• Se över er organisation och klargör ansvaret för att GDPR

följs internt

24

www.iuslaboris.com

North America: Mexico - United States

Central & South America: Argentina - Brazil - Chile - Colombia - Panama - Peru

Western Europe: Austria - Belgium - Cyprus - Denmark - Finland - France - Germany - Greece - Ireland - Italy

Luxembourg - Netherlands - Norway - Portugal - Spain - Sweden - Switzerland - United Kingdom

Eastern Europe: Czech Republic - Estonia - Hungary - Latvia - Lithuania - Poland - Romania - Russia - Slovakia - Turkey - Ukraine

Middle East & Asia Pacific: China - India - Israel - Japan - Korea, Republic of - New Zealand - United Arab Emirates

Kontakt:josephine.borg@elmzell.se

Tel: 08 21 16 04

Mobil: 0709 42 61 98