Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg....
Transcript of Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg....
Nya Dataskyddsförordningen, GDPR
Advokat Josephine Borg
Elmzell – Partners in Law
Ledande specialister på HR-juridik
Vi hjälper dig som arbetsgivare att hantera företagetsviktigaste resurs – personalen
Allmän affärsjuridik inkl GDPR
Bli medlem i Elmzells grupp p¬ Linkedin:
Elmzell HR-juridik
Agenda
• Historik
• Ett urval av nyheterna med GDPR jämfört med
PUL
• Genomgång av regelverket
• Rättigheter och skyldigheter enligt GDPR
• Tillsyn
• Hur du förbereder verksamheten för de nya
reglerna
Från Dataskyddsdirektivet till GDPR
1995 – Dataskyddsdirektivet (95/46 EG)
1998 – Personuppgiftslagen (1998:204) (”PUL”)
2017 – SOU 2017:39 Dataskyddsutredningen
2018 – Dataskyddsförordningen (”GDPR”)
5
Ett urval av nyheterna med GDPR jämfört med PUL
6
Ansvarsskyldigheten - bevisbördan
Ett urval av nyheterna med GDPR jämfört
med PUL forts.
• Missbruksregeln försvinner (§ 5 a PUL)
• Känsliga personuppgifter omfattar genetisk och biometrisk
information
• Anmälan av personuppgiftsincident till Datainspektionen inom
72 timmar
• Utökade krav på information till de
registrerade
• Höga sanktionsavgifter vid brott
mot förordningen på upp till det
högsta av 4 % av den globala års-
omsättningen eller € 20 000 000
7
Huvuddragen i GDPR
• Gäller vid behandling av personuppgifter
som är helt eller delvis automatiserad eller
manuell om uppgifterna finns eller är
avsedda att finnas i register
• Syftet är att förhindra att människors integritet kränks genom
behandling av personuppgifter
• Bygger på samma grundprinciper som PUL men mer formella
krav och ansvar på den som behandlar personuppgifter
• GDPR är subsidiär till annan lagstiftning och kan kompletteras
av nationella bestämmelser
8
Vad är personuppgifter?
En personuppgift är ”en eller flera uppgifter i kombination som
indirekt eller direkt kan identifiera en fysisk person.”
Detta innefattar ej anonym information som exempelvis statistik
Exempel på personuppgifter för anställda:
• Namn
• Personnummer
• Kontaktuppgifter
• Kontonummer
• Foto
• Röst
• Värderande omdömen
• Resultat från personlighetstest eller kunskapstest
9
Särskilda kategorier av personuppgifter
(känsliga personuppgifter)
• Ras och etnicitet
• Politiska åsikter
• Religiös eller filosofisk
övertygelse
• Medlemskap i fackförening
• Genetiska och biometriska
uppgifter
• Hälsa
• Sexualliv eller sexuell läggning
10
Särskilt om vissa personuppgifter
• Uppgifter om personnummer eller samordningsnummerfår behandlas utan samtycke endast när det är klart
motiverat med hänsyn till ändamålet med behandlingen,
vikten av en säker identifiering eller något annat
beaktansvärt skäl (Lagförslag 13 § i den nya svenska lagen)
• Uppgifter som rör fällande domar i brottmål får endast
utföras under kontroll av
myndighet och då behandling-
en är tillåten enligt lag (Art. 10 GDPR)
11
Vad är personuppgiftsbehandling?
• Insamling
• Registrering
• Lagring
• Strukturering
• Bearbetning
• Ändring
• Organisering
• Läsning
• Utlämnande/överföring/överlämnande/spridning
• Sammanställning eller samkörning
12
Vilka behandlar personuppgifter?
• Personuppgiftsansvarig – den som ensam eller
tillsammans med andra bestämmer ändamålen med
behandlingen av personuppgifter
• Personuppgiftsbiträde – den som behandlar
personuppgifter för den personuppgiftsansvariges räkning
• Underbiträde – den som anlitas av personuppgiftsbiträdet
• Dataskyddsombud – utses av den personuppgifts-
ansvarige eller personuppgiftsbiträdet för att säkerställa att
behandling av personuppgifter sker på ett korrekt sätt
13
Hur ska behandlingen gå till?
Behandlingen av personuppgifter ska vara:
• Laglig, korrekt och transparent i förhållande till den
registrerade
• För särskilda, uttryckligt angivna och berättigade ändamål
• Adekvata, relevanta och inte mer omfattande än
nödvändigt
• Korrekta och ej sparade längre än nödvändigt
• Lämplig ur säkerhetssynpunkt
14
Grundläggande kraven enligt GDPR
Behandling av personuppgifter är laglig om det finns ett
giltigt samtycke från den registrerade eller om
behandlingen är nödvändig för att:
• Fullgöra ett avtal som den registrerade är part i• Fullgöra en rättslig förpliktelse
• Skydda intressen av grundläggande betydelse för den
registrerade
• Utföra en uppgift av allmänt intresse
• Om berättigat intresse finns som väger tyngre än den registrerades krav på skydd av personuppgifter – intresseavvägning
15
Vad är ett giltigt samtycke?
• ”Varje slag av frivillig, specifik och otvetydig viljeyttring
genom vilken den registrerade, efter att ha fått information,
godtar behandlingen av personuppgifter som rör honom
eller henne”
• Den registrerade kan när som helst återkalla sitt samtycke
16
Arbetstagares samtycke
• Arbetstagare kan normalt inte lämna giltiga samtycken
pga av beroendeställning
• Hypotetiskt eller tyst samtycke godtas ej
• Arbetsgivare bör alltid se till att stödja en behandling på
ytterligare grund utöver ett samtycke
17
Barns samtycke
Lagförslag: Föräldrars samtycke om barnet är under 13 år
Gäller ”informationssamhällets tjänster”
Metod för att kontrollera att vuxen ger samtycke online?
- ” Rimliga ansträngningar från den registeransvarige för
att kontrollera att samtycke ges eller godkänns av den
person som har föräldraansvar för barnet, med hänsyn
till tillgänglig teknik.”
18
Rättigheter enligt GDPR
• Den registrerade ska få tydlig och begriplig information om
behandlingen
• Rätt att få tillgång till de personuppgifter som behandlas
gratis
• Rätt att rätta felaktiga personuppgifter (gäller även för dem
till vilka personuppgifter överförts)
• Rätt till begränsning och radering (”Right to be forgotten”)
• Rätt att invända mot att personuppgifter används för
direktmarknadsföring eller automatiserat beslutsfattande
och profilering
• Dataportabilitet – dvs. personuppgifterna ska kunna
överföras
19
Skyldigheter enligt GDPR
• Föra register över behandlingar av personuppgifter
• Vidta ”lämpliga tekniska och organisatoriska åtgärder” för
att skydda personuppgifterna
• Optimera IT-system (”Privacy by design”)
• Göra konsekvensbedömning om en
personuppgiftsbehandling medför hög risk för fysiska
personers rättigheter och friheter
• Meddela Datainspektionen inom 72 timmar om
personuppgiftsincidenter – i vissa fall även de registrerade
20
Tillsynsmyndighet
www.datainspektionen.se
Byter under 2018 namn till
Integritetsskyddsmyndigheten
21
Så förbereder du verksamheten
• Inventera och dokumentera vilka personuppgifter som
hanteras, hur de samlas in och till vem uppgifterna lämnas ut
- Endast ”need to have” inga ”nice to have”!
- Behandlar ni personuppgifter i ostrukturerat material?
- Finns det känsliga personuppgifter?
• Inventera och dokumentera på vilka rättsliga grunder
behandlingen sker – samtycke, avtal etc.?
• Hur länge sparas personuppgifter – gallring?
• Är de registrerade tillräckligt informerade om behandlingen –
information?
• Hur inhämtar ni samtycke? Hur sparar ni uppgifter om att
samtycke lämnats?
22
Så förbereder du verksamheten, forts.
• Hur ska ni tillmötesgå de registrerades rättigheter?
• Behöver ni utse ett Dataskyddsombud? Om inte dokumentera
er bedömning
• Behöver ni göra en konsekvensbedömning? Om inte
dokumentera er bedömning
• Register och rutiner
• Upprätta en dataskyddspolicy. Personuppgiftsansvariga måste
kunna dokumentera och visa att GDPR följs
23
Så förbereder du verksamheten, forts.
• Säkerställ att IT-system har inbyggd integritet (”privacy by
design”)
- minimera mängden personuppgifter,
- begränsa åtkomsten till personuppgifterna och
- skydda personuppgifterna
• Se över er organisation och klargör ansvaret för att GDPR
följs internt
24
www.iuslaboris.com
North America: Mexico - United States
Central & South America: Argentina - Brazil - Chile - Colombia - Panama - Peru
Western Europe: Austria - Belgium - Cyprus - Denmark - Finland - France - Germany - Greece - Ireland - Italy
Luxembourg - Netherlands - Norway - Portugal - Spain - Sweden - Switzerland - United Kingdom
Eastern Europe: Czech Republic - Estonia - Hungary - Latvia - Lithuania - Poland - Romania - Russia - Slovakia - Turkey - Ukraine
Middle East & Asia Pacific: China - India - Israel - Japan - Korea, Republic of - New Zealand - United Arab Emirates
Kontakt:[email protected]
Tel: 08 21 16 04
Mobil: 0709 42 61 98