• No results found

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand"

Copied!
27
0
0

Loading.... (view fulltext now)

Download now ( 27 Page )

Full text

(1)

1

(2)

Ny dataskyddslagstiftning i Europa

Agnes Andersson Hammarstrand

(3)

Ny personuppgiftsförordning - en fråga för alla

3

(4)

Agenda

• Personuppgiftslagen idag

• Nya lagen - bakgrund

• De största förändringarna

• Sammanfattning

4

(5)

Personuppgiftslagen i Sverige

5

(6)

Personuppgiftslagen (PuL)

• Nationell lag baserad på EU-direktiv

– Minimiregler

• Annan lagstiftning gäller före

• Personuppgifter

– Personuppgifter är all slags information som direkt eller indirekt kan kopplas till en fysisk person som är i livet

6

(7)

Personuppgiftsansvarig

• Den som bestämmer ”ändamål och medel” med personuppgifter är personuppgiftsansvarig

• Ansvarar för att lagen uppfylls

7

(8)

PuL idag i korthet

• Behandlingen behöver vara tillåten

− Tillåten enligt samtycke,

− Nödvändig för vissa angivna ändamål, eller

− Intresseavvägning

• Krav som ska uppfyllas

− Grundläggande krav på behandlingen, t.ex. korrekthet, gallra, rensa

− Information till den registrerade

− Krav på skriftligt avtal mellan företag som delar uppgifter

− Överföring till andra länder

− Anmälningskrav och/eller utse ett personuppgiftsombud

− Säkerhetskrav

8

(9)

Säkerhetsåtgärder i nuvarande PuL 31 §

Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.

Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av

a) de tekniska möjligheter som finns,

b) vad det skulle kosta att genomföra åtgärderna,

c) de särskilda risker som finns med behandlingen av personuppgifterna, och

d) hur pass känsliga de behandlade person- uppgifterna är.

9

(10)

Säkerhetskrav

10

Tekniska åtgärder

Organisatoriska åtgärder

Antivirus och auktorisationskrav

Brandväggar och krypteringsfunktioner

Instruktioner och Polices Organisation och

rutiner

Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott

Osv.

Säkerhetsnivå

(11)

Reformen – förslag till ny personuppgiftslag

11

(12)

Den nya EU-förordningen

• Ersätter Personuppgiftslagen (PUL) i Sverige och 26 andra nationella lagstiftningar

• Förordningen gäller direkt som lag i alla EU-länder

• De nya reglerna kan bli verklighet redan år 2016

– Antas troligen i vår. Träder i kraft två år efter antagande.

• Syfte:

– Stärka integritetsskydd (specialregler för barn) ökad makt till individen – En enda gemensam lag - förutsebarhet

12

(13)

En enda lagstiftning för hela EU

• Enklare att ”följa lagen”

• Företag förhåller sig till en enda tillsynsmyndighet

• Individer kan hänvisa sina ärenden till sin nationella inspektionsmyndighet

– Gäller även om personuppgifterna behandlats i ett annat land

• Stor makt till kommissionen att komma med förordningar/område

13

(14)

Viktigaste ändringarna

14

(15)

Hårdare sanktioner

• En tillsynsmyndighet kan ålägga ett företag eller organisation att, vid brott mot lagstiftningen, betala

– Vite från 0,5 % till 2 % av ett företags årliga världsomspännande omsättning

• Vitet bestäms utefter hur allvarligt brottet är

• Ett stort antal brott är listade som allvarliga brott, t.ex. att

– Inte inhämta samtycke när så krävs – Inte informera om dataintrång i tid

– Inte anta interna policys eller inte implementera lämpliga åtgärder för att tillse och visa uppfyllelse av villkoren

15

(16)

Utökat ansvar och krav på säkerhet

• Huvudregeln om att vidta tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå blir kvar.

• Uttryckligt krav på att skydda personuppgifter från att förstöras genom förlust, olyckshändelse, etc.

• Kommissionen ges makt att precisera kraven

– Förordningar om säkerhet även för specifika sektorer

16

(17)

Privacy by design

• Säkerhets- och integritetsaspekter ska tas hänsyn till redan vid planering och utveckling av IT-system

• Den som är personuppgiftsansvarig ska ställa kraven = Ökade krav vid IT-upphandlingar

• Kommissionen får fastställa förordningar om tolkningen samt tekniska standarder

• System ska ha vissa grundinställningar

17

(18)

”Privacy by design” – livscykeln för information

Grundinställning 1: Enbart de

personuppgifter som är nödvändiga för varje specifikt ändamål för behandling får behandlas

18 Respekt för användare:

transparens – möjliggöra utlämnande

Grundinställning 2: Uppgifter ska inte lagras längre än minimiperiod som är tillåten för det ändamålet

Infrastruktur som möjliggör tillgång till, korrigering och radering av personuppgifter

(19)

Informationskrav vid personuppgiftsbrott

• Informera om allvarliga incidenter (dataintrång) utan oskäligt dröjsmål

• Informera tillsynsmyndigheten:

– Som huvudregel: Inom 24 timmar efter intrånget

• Informera varje registrerad individ

– Undantag: om har system för att göra de ”förlorade” uppgifterna oläsbara

• Organisationer måste stärka sina säkerhetsåtgärder

– Använda tekniker för att främja skydd för personuppgifter – Rutiner och system för information och radering vid intrång

19

(20)

”Data portability” – underlätta att flytta uppgifter mellan olika leverantörer

• Individer ska lättare kunna överföra uppgifter från ett system till ett annat (från ett företag till ett annat)

• Den ansvarige ska tillhandahålla uppgifterna i ”ett strukturerat format som är allmänt använt och som den registrerade kan fortsätta använda”

• Gäller bara om den registeransvarige har uppgifterna i detta format

20

(21)

Rätten att ”bli bortglömd”

• Förpliktigar personuppgiftsansvariga att minimera volymen av

personuppgifter

• Krav på att radera om ingen legitim grund för fortsatt behandling finns

21

Radera mina uppgifter

Legitima grunder för att behålla uppgifterna?

RADERA

NEJ

BEHÅLL JA

(22)

Inget undantag för ostrukturerat material

• En svensk företeelse i nuvarande PuL

• Uppgifter i löpande text (ostrukturerat) undantas från stor del av PuLs regler

– Sociala medier, publicering på webben, uppgifter i texter

• Behandling får utföras fritt så länge ingen kränkning sker

• Undantaget försvinner sannolikt

22

(23)

Sammanfattning – praktiska förändringar och möjligheter

23

(24)

Praktiska förändringar

• Ökat fokus på integriteten hos företag (höga viten)

• Initiala kostnader?

– Nya system kan krävas

– Kunddatabaser kan bli oanvändbara

– Personal behöver utbildas och rutiner ses över

• Ökade krav på dokumentation över hur man följer reglerna

• Företag med över 250 anställda får mer utryckliga krav på att vara proaktiva och utse en personuppgiftsansvarig

24

(25)

Nya möjligheter?

• Möjligheter för leverantörer: Krav på nya system – utvecklade bl.a. efter ”privacy by design” och ”rätten att bli glömd”

• Enklare att etablera sig utomlands

• En tillsynsmyndighet att förhålla sig till

• Färre anmälningskrav

• Snällare krav för företag med färre anställda

25

(26)

Utestående frågor

• Stort utrymme till kommissionen att tolka förordningen

• Datainspektionens makt

• De svenska

registerförfattningarna – utrymmet för specialreglering

• Relationen med USA och omvärlden

26

(27)

Kontakt

IT_advokaten på twitter

Agnes Andersson Hammarstrand Advokat, Senior Associate

T: +46 31 701 1718 M: +46 730 83 50 70

E: agnes.a.hammarstrand@setterwalls.se

References

Download now ( PDF - 27 Page - 906.81 KB )

Related documents

Information om behandling av personuppgifter

För att uppfylla ändamålen med vår behandling av dina personuppgifter delar vi dina personuppgifter med företag som tillhandahåller tjänster till ICA, inklusive andra ICA-bolag,

INFORMATION OM BEHANDLING AV PERSONUPPGIFTER

Det är frivilligt att lämna ditt samtycke till behandlingen av dina personuppgifter för att vi ska kunna tillhandahålla våra tjänster, men om du inte lämnar ditt samtycke, kan du

Nya Dataskyddsförordningen. Agnes Hammarstrand

• Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policys för behandling, dokumentation över

Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

• Om behandlingen grundar sig på samtycke enligt direktivet är det inte nödvändigt att inhämta samtycke på nytt för att behandlingen ska kunna fortsätta efter att

SKYDD AV PERSONUPPGIFTER

EG om uppgiftsskydd, direktiv 2002/58/EG om integritet och elektronisk kommunikation (ändrat 2009), direktiv 2006/24/EG om lagring av uppgifter (ogiltigförklarat av

Information om behandling av personuppgifter

• Till Försäkringskassan lämnas uppgift om du är berättigad till ersättning och i vilken utsträckning, dina möjligheter att arbeta, eventuella hinder för ersättning och om det

SKYDD AV PERSONUPPGIFTER

Domstolen fann att den insamling av personuppgifter som medlemmarna i ett religiöst samfund ägnar sig åt inom ramen för sitt predikoarbete genom dörrknackning och senare behandling av

Rutiner för hantering av elever med skyddade personuppgifter

Elever med skyddade personuppgifter registreras inte på någon enhet utan dessa elever flyttas till en skyddad klass.. Antalet handläggare med tillgång till den klassen är