• No results found

Lathund 2 om dataskyddsförordningen* vad datasystemen ska klara av

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Lathund 2 om dataskyddsförordningen* vad datasystemen ska klara av"

Copied!
11
0
0

Loading.... (view fulltext now)

Download now ( 11 Page )

Full text

(1)

Lathund 2 om

dataskyddsförordningen* –

vad datasystemen ska klara av

skriven av Hannah Nilsson,

jurist och personuppgiftsombud på kyrkokansliet Svenska kyrkan, maj 2017 hannah.nilsson@svenskakyrkan.se 018-16 95 70

Del 1 – Våra uttalade skyldigheter

Artikel 24–25, 32–36 (sid 2–4)

- lämpliga tekniska och organisatoriska åtgärder - inbyggt dataskydd

- lämplig säkerhetsnivå

- hantera personuppgiftsincident

- konsekvensbedömning och förhandssamråd

Inbyggt dataskydd – utifrån Datainspektionens råd (sid 5-6)

Del 2 – Uppfylla alla rättigheter som de registrerade personerna har

Artikel 12, 15–21 (sid 7–11)

Personers rättigheter, som blir en motsvarande skyldighet för oss och våra system.

- rättelse och komplettering

- radering (personen kräver att bli glömd) - begränsning av behandling

- dataportabilitet (personen vill ta uppgifterna och dra)

- invändning mot behandling och konsekvenser av det i olika fall

* Europaparlamentets och rådets förordning 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning). Dataskyddsförordningen börjar gälla i maj 2018, och kommer gälla som svensk lag.

(2)

DEL 1

Våra uttalade skyldigheter

Artikel 24 – genomför lämpliga tekniska och organisatoriska åtgärder

Generellt: Vi ska genomföra lämpliga tekniska och organisatoriska åtgärder, för att kunna visa att personuppgiftsbehandlingen följer dataskyddsförordningen.

Hur ofta: Åtgärderna ska ses över och uppdateras vid behov.

Hur: För att avgöra vad som är lämpliga åtgärder ska vi beakta

 Vilken slags behandling är det (behandlingens art)?

 Hur omfattande är behandlingen?

 Vad är sammanhanget där behandlingen sker?

 Vad är ändamålen?

 Vad finns det för risker för personernas rättigheter och friheter?

Bedöm sannolikhets- och allvarhetsgrad för riskerna.

Artikel 25 – ha inbyggt dataskydd och dataskydd som standard (data protection by design and by default) Se checklista sid 5-6

Generellt: Vi ska genomföra lämpliga tekniska och organisatoriska åtgärder, för att uppfylla kraven i dataskyddsförordningen och skydda personernas rättigheter.

Detaljerat: Specifikt nämns att

 minimera antalet personuppgifter

 säkerställa att man bara behandlar nödvändiga personuppgifter, för varje specifikt ändamål (kolla uppgifternas mängd, lagringstid och tillgänglighet samt behandlingens omfattning)

 säkerställa att inte obegränsat antal personer (inräknat anställda hos oss och hos leverantören) kommer åt personuppgifterna.

När: Både när vi bestämmer hur vi ska behandla personuppgifter, och när vi faktiskt behandlar uppgifterna.

Hur: Vi ska beakta den senaste utvecklingen, genomförandekostnader och samma fem punkter som i artikel 24 ovan.

(3)

Artikel 32 – säkerställ lämplig säkerhetsnivå utifrån risken

Generellt: Vi ska genomföra lämpliga tekniska och organisatoriska åtgärder, för att säkerställa en lämplig säkerhetsnivå. Vad som är lämpligt bedöms utifrån risken.

Detaljerat: Specifikt nämns att följande kan vara lämpligt:

 pseudonymisera och kryptera personuppgifter,

 fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft i systemet

 vid incident kunna återställa tillgången till personuppgifter i rimlig tid

 regelbundet utvärdera effektiviteten av de lämpliga tekniska och organisatoriska åtgärder man valt

Följande är ett krav:

 säkerställ att varje person, som i sitt arbete får tillgång till personuppgifter, bara behandlar uppgifterna enligt våra instruktioner.

När: I samband med behandling av personuppgifter.

Hur: Vi ska beakta samma som i artikel 24 och 25 ovan.

Vi ska också särskilt beakta risk för bl.a. obehörig åtkomst/förstöring/läckage.

Artikel 33 och 34 – hantera personuppgiftsincident

Personuppgiftsincident: säkerhetsincident med personuppgifter som leder till oavsiktlig/olaglig förstöring, förlust, ändring, röjande eller åtkomst.

Dokumentationsplikt: Vi ska dokumentera alla incidenter för att kunna visa upp om Datainspektionen gör tillsyn. Åtminstone följande ska dokumenteras:

 omständigheterna kring incidenten

 effekter av incidenten

 vidtagna korrigerande åtgärder

Anmälningsplikt till Datainspektionen:

Inom 72 timmar från vår vetskap (om vi är sena behövs förklaring). OBS! Även om det är vårt biträde som kan upptäcka incidenten är det vi som måste anmäla.

OBS! Ingen anmälningsplikt om det är osannolikt att personers rättigheter och friheter riskeras av incidenten.

Det finns minimikrav på vad vi behöver berätta i anmälan (se artikel 33.3).

Informationsplikt direkt till personen (alternativt offentliggör till allmänheten) OBS! Gäller bara om incidenten sannolikt leder till hög risk för personers rättigheter och friheter. Och i så fall bara om vi inte lyckas ta bort den höga risken genom skyddsåtgärder.

Det finns minimikrav på vad vi behöver berätta för personen/allmänheten (se artikel 34.2).

(4)

Artikel 35 och 36 – konsekvensbedömning i förväg och ibland förhandssamråd med Datainspektionen

Generellt: Gör konsekvensbedömning avseende dataskydd, innan tänkt behandling påbörjas.

När:

Innan man påbörjar behandling i stor omfattning av särskilda kategorier av uppgifter (t.ex. religiös eller politisk övertygelse).

Innan man påbörjar en behandling, som sannolikt leder till hög risk för personers rättigheter och friheter, ska man göra konsekvensbedömning avseende dataskydd.

 Därefter vid ändrad risknivå, gör en översyn av om behandlingen görs i enlighet med tidigare gjord konsekvensbedömning.

Hur:

 Det finns minimikrav på vad vi behöver bedöma i konsekvensbedömningen (se artikel 35.7).

 Särskilt beakta tekniken samt behandlingens art, omfattning, sammanhang och ändamål.

 Rådfråga vårt dataskyddsombud (det som tidigare kallades

personuppgiftsombud). Ta dessutom gärna in synpunkter från personer som är tänkta att bli registrerade.

 Ok att en enskild bedömning omfattar en serie liknande behandlingar som medför liknande risker.

Vad som kan hända efter konsekvensbedömning

Vi måste samråda med Datainspektionen om vår konsekvensbedömning visar att behandlingen skulle leda till en hög risk ifall vi inte vidtar risksänkande åtgärder.

(5)

Inbyggt dataskydd och dataskydd som standard – utifrån Datainspektionens råd

Ha så få personuppgifter som möjligt i systemet

Utred vilka personuppgifter som är nödvändiga att ha utifrån ändamålen.

Uppgifterna ska vara så få som möjligt.1 Exempel på sätt att minska integritetsriskerna:

 Begränsa till uppgifter som endast indirekt pekar ut en individ

 Begränsa till uppgifter som är mindre känsliga

 Ersätt namn med t.ex. pseudonym

 Ha inte rutinmässigt personnummer-fält

Ändamålens gräns och systemets gräns bör vara lika

– förhindra att man i systemet kan behandla personuppgifter utanför ändamålen

Om systemet kan göra mer med personuppgifterna än vad som är tillåtet enligt ändamålen2 så bör systemet klara att begränsa och/eller spärra funktioner.

(Förutsätter att ändamålen för personuppgiftsbehandlingarna dessförinnan är tydligt utredda och dokumenterade. Tillämpa t.ex. lathund 1 Personuppgifter i datasystem för att utreda).

Styr åtkomsten i systemet – ge bara sådan åtkomst som användaren behöver för att göra sitt jobb

Idealiskt system: identifierade användare kommer enkelt åt rätt information men hindras från att komma åt fel information. Fel information = personuppgifter som användaren inte behöver för att genomföra sina arbetsuppgifter.

Exempel på sätt att styra åtkomst:

 Behörighetsstyrning

 Segmentering av information baseras på gruppmedlem/roll, och vissa användare har flera roller i systemet (med olika behörigheter) men kan inte kombinera behörigheterna vid samma tillfälle

 Kräv dokumenterad motivering (som innefattar t.ex. att skriva

ärendenummer) av användaren innan en avvikande sökning kan göras.

 Låt åtkomsten styras och begränsas av arbetsflödet (t.ex. handläggning av ett ärende) istället för att låta alla register och sökmöjligheter vara öppna för alla användare hela tiden

 Kryptera lagrad information för att begränsa åtkomsten för t.ex.

systemadministrativ personal

1 Se steg 2 c (principer att följa) i lathund 1 Personuppgifter i datasystem. Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen.

2 Se steg 2 b (principer att följa) i nämnda lathund. Ändamålen för behandlingen av personuppgifterna måste vara särskilda, uttryckligt angivna och berättigade.

(6)

Skydda uppgifterna utifrån säkerhetsnivån som uppgifternas karaktär kräver

IT-system som hanterar personuppgifter ska ha stöd för säkerhetsfunktioner.

Ju känsligare uppgifter, desto högre säkerhetsnivå. (Förutsätter att man först har klassificerat personuppgifternas känslighetsnivå.)

Exempel på vad som bör finnas:

 Funktioner för autentisering – minst lösenord – med tillhörande rutiner och funktioner för säker hantering och möjlighet att ansluta systemet till extern kontohantering

 Möjlighet att använda kryptering vid kommunikation (Internet, databas, mobil)

 Rutiner och tydlig information om säkerhet till systemets användare

 En logg som kan användas till att utreda felaktig åtkomst till personuppgifter

 Stöd för säkerhetskopiering

 Säker utplåning, dvs. skydd mot att data läcker ut efter att hela eller delar av systemet tagits ur drift och skrotats. Bör inkludera metoder för radering och förstöring av lagringsmedia. Risken för läckage minskar om t.ex. hårddiskar och USB-minnen är krypterade från början.

Tänk också på att loggar och säkerhetskopior är fristående delar och i sig kan innebära en integritetsrisk; inbyggd integritet bör också tillämpas på dessa. Loggar innehåller

personuppgifter om de som arbetar i systemet och måste därför hanteras på ett

integritetssäkert sätt. Säkerhetskopior som sparas länge kan innehålla personuppgifter som borde raderats tidigare. Överväg automatiska metoder för radering i logg och säkerhetskopior.

Bygg systemet så att systemet styr användaren rätt

 Integritet som standard – Systemets arbetsflöde styr automatiskt användaren mot ett integritetssäkert arbetssätt. Grundinställningar gör att inte mer information än nödvändigt samlas in eller visas.

 Funktioner som automatiskt raderar uppgifter när de inte längre behövs för ändamålet.

 Funktioner som flyttar uppgifter till arkivsystem (och raderar uppgifterna från det första systemet).

 Ge den registrerade personen insyn i vilka uppgifter som behandlas om den:

o funktioner för att på begäran från personen enkelt kunna lämna registerutdrag om vilka uppgifter om personen som förekommer i systemet

o ha ett gränssnitt för att låta personen själv få insyn

o ha en logg som enkelt visar till vilka organisationer personuppgifter har lämnats

 Vid utdrag för rapporter eller statistik ska man kunna välja bort irrelevant information.

Möjliggör anonymisering.

 Gör det lika lätt för personen att både ge och återkalla samtycke (Gäller när behandlingen baseras på samtycke som laglig grund för behandlingen).3

 Begränsa möjligheten att skriva in sådant som inte får skrivas in. Minska antalet fritextfält. Ha strikta regler om hur fritextfält får användas och gör reglerna kända.

 Tydlig information till de registrerade personerna för att uppfylla informationsplikten.4

3 Se steg 1 b (är samtycke lämpligt/möjligt) i lathund 1 Personuppgifter i datasystem.

4 Se steg 4 (informationsplikt till personen) i nämnda lathund.

(7)

DEL 2

Uppfylla rättigheterna som de registrerade personerna har

Artikel 12 – Är det rätt person?

I all kontakt mellan oss och någon som säger att den är en viss person (som vill ha info om sina uppgifter eller vill att vi ska agera på personuppgifterna) ligger ansvaret på oss att säkerställa personens identitet!

Vi har rätt att kräva att personen identifierar sig på ett särskilt sätt eller t.ex.

ha en regel att vi endast skickar material till folkbokföringsadressen om personen inte kan legitimera sig tillfredställande.

Artikel 15 – Personen begär registerutdrag och vi måste ge massa information:

a) Ifall hans/hennes personuppgifter överhuvudtaget behandlas

Har systemet sökmöjlighet på t.ex. namn för att se om personen alls finns i systemet? Det blir problem om det finns personuppgifter i systemet som inte går att hitta vid sökning.

b) Vilka uppgifter om personen behandlas + vilka är ändamålen?

Systemet behöver kunna få fram samtliga uppgifter om personen och göra en kopia till personen.

Kopian ska kunna skickas till personen i ”elektroniskt format som är allmänt använt”. Kopian bör också kunna skrivas ut på papper.

Information om ändamålen kan tas från djupinventering (dokumentation av praktisk tillämpning av lathund 1 Personuppgifter i datasystem).

c) Vilka har mottagit uppgifterna (vilka har vi gett uppgifterna till) + vilka planerar vi ge uppgifterna till i framtiden?

Det går bra att ange kategorier av mottagare. Mottagare behöver inte vara tredje person. Mottagare är alltså också de vi anlitar för att behandla uppgifterna för vår räkning (våra personuppgiftsbiträden).

Systemet kan t.ex. ha en logg som visar gjorda utlämnanden.

Vi behöver också dokumentation på vilka leverantörer/andra som kommer åt/får uppgifterna i sin roll som personuppgiftsbiträde åt oss.

(8)

d) Info om mottagare som är utanför EU/EES eller är en internationell organisation, samt skyddsåtgärder

Informera om uppgifterna har lämnats till (eller planeras lämnas till) mottagare utanför EU/EES eller till en internationell organisation. I så fall ska vi också ange vilka lämpliga skyddsåtgärder enligt artikel 46 vi har vidtagit.

Systemet måste ha särskilda skyddsåtgärder vid överföring utanför EU/EES och till internationell organisation, artikel 46.

T.ex. är det mycket jobbigare att ha uppgifter i ”moln” som flyter utanför EU, än att ha uppgifterna i ett svenskt moln eller på svenska/europeiska servrar.

e) Info om hur länge uppgifterna kommer att lagras, antingen i tid eller beskrivning av kriterier

Efter att ”tiden gått ut” för tillåten lagring i systemet, måste systemet kunna exportera personuppgiften (t.ex. till vårt arkiv), anonymisera (bara radera personen från sakuppgiften) och/eller radera hela personuppgifter. Lämpligt om detta kan ske automatiskt enligt kriterier för att spara arbetstid och säkra att det blir gjort.

OBS! I Svenska kyrkan krävs gallringsbeslut för att få anonymisera eller radera personuppgifter som ingår i våra IT-system. Vid export till arkivet får inte heller viktig data förloras. Kontakta den lokala arkivarien om ni

behöver/önskar anonymisera eller radera personuppgifter eller exportera personuppgifter till arkiv.

f) Varifrån uppgifterna har hämtats (i den mån de inte hämtats direkt från personen)

Systemet kan t.ex. ha en logg som visar/spårar inhämtanden. Information om uppgiftslämnare kan tas från djupinventeringen.

g) Info om personens rättigheter

Ge information om att personen kan klaga hos Datainspektionen.

Ge information om personens rätt (när sådan rätt finns) att kräva att vi ska ändra vår behandling av personens uppgifter (se nedan artikel 17–21, det finns olika villkor).5

5 Villkoren styrs av vilken laglig grund vi har för behandlingen (steg 1 i lathund 1 Personuppgifter i datasystem).

(9)

Artikel 16 – Personen begär rättelse eller komplettering

Vi måste rätta felaktiga personuppgifter, utan onödigt dröjsmål.

Vi måste ha teknisk möjlighet att lägga in kompletterande information om en personuppgift. Om personen anser att personuppgiften är ”ofullständig” kan personen kräva att vi ska skriva in en komplettering, eller personen kan ge oss ett ”kompletterande utlåtande” som ska in i systemet och komplettera uppgiften.6

Artikel 17 – Personen begär radering (att bli bortglömd)

Om det finns en rätt för personen att uppgifterna raderas, ska vi radera utan onödigt dröjsmål. Om vi redan har offentliggjort uppgifterna finns vissa informationsskyldigheter (se artikel 17.2).

STEG 1

En person kan få bli raderad om en av dessa punkter gäller:

 Uppgifterna används för direktmarknadsföring

 Uppgifterna har att göra med sociala medier/online-tjänster för barn

 Uppgifterna behandlas med lagliga grunden allmänt intresse eller att vi har ett mer berättigat intresse än personen, och vi inte kan visa att vi har tyngre skäl än personen att få fortsätta behandla

 Personen återkallar sitt samtycke, och grunden för behandlingen är/var bara samtycke

 Uppgifterna är inte längre nödvändiga för ändamålen (tiden har gått ut)

 Uppgifterna har behandlats olagligt.

STEG 2

Men även om steg 1 uppfylls, får personen inte bli raderad om en av dessa punkter gäller.

Behandlingen (som personen vill omöjliggöra genom radering) är nödvändig för:

 arkiv av allmänt intresse, vetenskaplig forskning, historisk forskning eller statistik – endast om raderingen skulle omöjliggöra eller avsevärt försvåra syftet med arkivet, forskningen osv

 rättsliga anspråk (även framtida)

 rättslig förpliktelse där behandlingen krävs enligt lag

 utföra en uppgift av allmänt intresse

 myndighetsutövning (för oss: kyrkoantikvarisk ersättning och begravning)

 yttrandefrihet eller informationsfrihet

6 Juridiskt otydligt i vilken omfattning detta är ett måste, det kan vara ett bör i många fall, och beror på ändamålet med behandlingen.

(10)

Artikel 18 – Personen begär begränsning av uppgifter

Generellt: Begränsning medför att vi inte får behandla uppgifterna ”som vi tänkt” utan bara för vissa specifika syften (som är ännu snävare än våra ändamål). Det är ett mindre ingripande alternativ än radering.

När: Vi måste begränsa uppgifterna om en av dessa punkter gäller:

 Vi behöver inte uppgifterna längre men personen vill ha kvar uppgifterna hos oss för rättsliga anspråk (då blir effekten att vi har uppgifterna för personens räkning och inte använder för vår räkning)

 Personen säger att uppgifterna inte är korrekta, eller invänder mot att vi behandlar. Under tiden frågan utreds måste uppgifterna begränsas (tillfällig lösning).

 Uppgifterna har behandlats olagligt men personen vill inte att de raderas, utan vill att de begränsas istället

Begränsning innebär att vi får

 lagra uppgifterna

 behandla med personens samtycke

 behandla för rättsliga anspråk

 behandla för att skydda andras rättigheter

 behandla för viktigt allmänintresse

Artikel 19 – Information till historiska mottagare om gjorda ändringar i uppgifterna

Efter att vi har rättat/kompletterat/raderat/begränsat uppgifter på personens begäran, har vi en skyldighet att informera samtliga som har mottagit dessa uppgifter (t.ex. leverantör, personuppgiftsbiträde, tredje person), så att de kan göra likadant med sina ”kopior” av uppgifterna.

Men, infoskyldigheten gäller inte om det är omöjligt eller en oproportionell ansträngning.

(11)

Artikel 20 – Dataportabilitet (begär att ta uppgifterna och dra)

Vissa system kan behöva klara av att samla ihop alla personuppgifter och skicka iväg dem elektroniskt.

Rätt till dataportabilitet är personens rätt att få ut och/eller överföra uppgifter från oss till någon annan. När det är tekniskt möjligt ska vi erbjuda att överföra uppgifterna direkt till ”någon annan”.

Rätt till dataportabilitet gäller bara om alla tre punkter uppfylls:

1) personen har gett oss uppgifter ”i ett strukturerat, allmänt använt och maskinläsbart format” och

2) vi behandlar uppgifterna automatiskt

3) laglig grund för behandling är samtycke eller fullgöra avtal med personen (om man kan hänföra behandlingen till grunden allmänt intresse eller del i myndighetsutövning så finns ingen rätt till dataportabilitet).

Artikel 21 – Personen invänder mot behandlingen

En person får invända mot behandling av sina uppgifter, utifrån personliga skäl, om

 uppgifterna används för direktmarknadsföring (inkluderat profilering som har samband med direktmarknadsföring). Då måste vi alltid sluta behandla för direktmarknadsföring. (Ingen intresseavvägning)

 uppgifterna behandlas med lagliga grunden allmänt intresse eller att vi har ett mer berättigat intresse än personen. Då måste vi sluta behandla om vi inte kan visa att vi har tyngre skäl än personen att få fortsätta behandla eller om vi behandlar för rättsliga anspråk.

 uppgifterna behandlas för vetenskaplig forskning, historisk forskning eller statistik, om inte behandlingen är nödvändig för att göra uppgift av allmänt intresse

Om vi behandlar uppgifter för de två översta punkterna, har vi en informationsplikt att berätta för personen – i samband med att vi ger den allmänna informationen om vår behandling – att de har rätt att invända mot behandlingen och vad som då kommer hända.

References

Download now ( PDF - 11 Page - 363.53 KB )

Related documents

Det uppdragsarkeologiska systemet Uppdragsarkeologi

Ett villkor kan vara krav på en arkeologisk undersökning, och andra villkor kan gälla att anpassa arbetsföretaget eller göra andra åtgärder för att bevara fornlämningen (se

KUB-systemet fyçgnazksfafik

- Övriga arbeten omfattar sådana aktiviteter, som man av olika anledningar önskar särredovisa eller som inte kan anses tillhöra byggbranschen..

Periodiska systemet

Nu har Mendelejev fått äran av upptäckten av periodiska systemet, därför att han vågade lämna tomma positioner för ännu icke kända grundämnen.. En skröna berättar, att

”Den fria leken, det ska barnen bara klara av”

Vi vill med denna studie undersöka om det finns en kunskapslucka på förskollärares språkarbete i förskolan för barn, som har språkstörning, i den fria leken och

För vissa ett val för andra ett måste: Att skapa sitt eget rum i staden och överleva i systemet utanför systemet.

platsen är för mig ett sätt att försöka tillgodose olika typer av individers önskemål och smak, att inte se mig själv och min roll som skapare av rum högre än någon annan, att

En fallstudie av SIGMA-systemet

Allwood (1998) säger att genom att individualisera programmet tar man hänsyn till de olika sorters användare som finns och deras sätt att interagera med programmet.. Chansen blir

Systemet har precis en lösning

- Vi inför en parameter för varje variabel som inte har ledande etta ( för varje variabel som varierar fritt). A) INGEN LÖSNING om en ledande etta står i andra delen av

Något om SI-systemet och Mathematica

För att få tillgång till fler tecken används ofta index som skrivs som en mindre nedsänkt bokstav eller siffra i direkt anslutning till storhetssymbolen; även för dessa gäller