Nya dataskyddsförordningen VästKom 30 augusti 2017 Agnes Hammarstrand Advokatfirman Delphi

(1)

Nya dataskyddsförordningen VästKom 30 augusti 2017

Agnes Hammarstrand Advokatfirman Delphi

2017-08-30 Nya dataskyddsförordningen 1

(2)

Agenda

• Introduktion

• Svenska utredningar

• Vem ansvarar?

• Överföring av personuppgifter

• De grundläggande principerna och hur får personuppgifter behandlas?

• Konsekvensbedömningar

• Registerförteckning

• Samtycke

• Registrerades rättigheter

• Vem ansvarar internt? Dataskyddsombud m.m.

• Säkerhet och IT-krav

• Sammanfattning och avslutning

(3)

Introduktion

(4)

• Direkt gällande förordning som ersätter PuL och motsvarande lagar i hela EU (EES)

• De nya reglerna gäller från och med den 25 maj 2018

• Principerna bygger på nuvarande lag, men också ett stort antal nyheter

• Tydlig strävan efter enhetlighet, men finns vissa möjligheter till nationella avvikelser, t.ex. vad gäller offentlighetsprincipen och hälsodata

• Gäller all behandling av personuppgifter

Ny dataskyddsförordning (”GDPR”)

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016

(5)

”Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras…”

• Allt som går att kopplas till en individ, t.ex.

– En e-mail adress

– 83.248.106.125 (en IP-adress) – En adressuppgift

– Ett bilregistreringsnummer – En bild:

• Oavsett kryptering

Vad är en personuppgift?

(6)

• Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om

personuppgifter

• Exempel

– Insamling – Registrering – Lagring – Spridning – Samkörning – Radering

• Undantag för bl.a. rent personligt bruk

Vad är en behandling?

(7)

• Anställningsregister och kandidatdatabaser

• Register respektive nämnd för över vissa kommunmedborgare, t.ex.

– Elever – Brukare – Politiker

– Klienter inom individ- och familjeomsorg

– Registrerade för ansökningar, kommuntjänster, m.m.

• Leverantörsregister

• Eventuella andra registrerade, t.ex. nyhetsbrev

• Annan behandling – t.ex. GPS-övervakning, digitala tjänster, molntjänster, appar, mejl, dokument,

whistleblowingsystem, passersystem, sociala medier och hemsidan

• Även ostrukturerad data, t.ex. mejl och dokument

I praktiken….

(8)

• Nationell tillsynsmyndighet

– Behörig inom sitt land

– Tillsynsmyndigheten för den ansvariges eller biträdets huvudsakliga verksamhetsställe behörig även vid gränsöverskridande behandling

• Europeisk dataskyddsstyrelse

– Består av chefen för en tillsynsmyndighet per medlemsstat och Europeiska datatillsynsmannen

Tillsyn

(9)

• Rätt för individer att kräva skadestånd och straff föreskrivs av varje medlemsstat

• Varning, reprimand eller ”beordran”

• Begränsning eller förbud

• Medlemsstaterna ska fastställa sanktioner för de överträdelser som inte är föremål för böter och säkerställa att sanktionerna genomförs

• Administrativa böter (”böter”) – hur blev det?

Sanktioner

(10)

Svenska utredningar

(11)

• Förordningen behöver kompletteras av nationella regler

• Ett flertal utredningar tillsatta i Sverige, t.ex.

apoteksmarknad, forskning och utbildning

• Dessutom finns kompletterande lag som får stor betydelse på enskilda områden

Kompletterande lagstiftning

(12)

• Utredningen föreslår en nya dataskyddslag

• Målsättning: Bevara så mycket som möjligt av tidigare bestämmelser – en del

personuppgiftsbehandling kommer därför förbli densamma

• Preciserar vad som ska gälla för svenska förhållanden

SOU 2017:39 – Ny dataskyddslag

(13)

• 1: Upp till det högre beloppet av 10 000 000 kr

– Mindre allvarliga överträdelser

• 2: Upp till det högre beloppet av 20 000 000 kr

– Allvarliga överträdelser

– Underlåtenhet att följa förlägganden och beslut av tillsynsmyndigheten

– Underlåtenhet att bistå tillsynsmyndigheten

• Vid bestämmandet av avgiftens storlek i det enskilda fallet ska dataskyddsförordningens bestämmelser tillämpas

När kan en kommun få böter?

(14)

• Administrativa böter ska beroende på

omständigheterna i det enskilda fallet åläggas utöver eller i stället för andra åtgärder

• Böterna ska vara effektiva, proportionella och avskräckande

• Harmoniserade bötesnivåer

• Hänsyn till ett antal faktorer, t.ex.

– Överträdelsens natur, svårighetsgrad och varaktighet – De åtgärder som vidtagits för att lindra skada

– Graden samarbete med myndigheterna/egen anmälan

– Genomförda säkerhetsåtgärder

Administrativa böter – hur?

(15)

• Specificeringar av vad som ska gälla, slår fast det som redan följer av lagen

• Rättslig förpliktelse, även kollektivavtal eller beslut som har meddelats med stöd av lag eller författning

• Individ ska efter tre månader kunna kräva att Datainspektionen ska behandla klagomål från registrerade inom två veckor

• Fler grunder för behandling av känsliga uppgifter

• Se vidare nedan

Exempel på fler förslag från utredningen

Nya dataskyddsförordningen 15

2017-08-30

(16)

• PuL inskränker inte en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap.

tryckfrihetsförordningen

– Skyldigheten att lämna ut uppgifter gäller efter att en medborgare begärt ett sådant utlämnande

– När skyldighet att lämna ut information inte finns (t.ex. elektroniskt) måste kommunen pröva noga om det är möjligt att lämna ut med hänsyn till PuL

• Inga förändringar vad gäller offentlighets- och sekretesslagstiftningen föreslås

Förhållandet till

offentlighetsprincipen

(17)

• Kameraövervakningslagen föreslås ersattas av ny kamerabevakningslag

– SOU 2017:55 - En ny kamerabevakningslag

• En ny lag om en hög gemensam nivå av säkerhet i nätverk och informationssystem föreslås

– SOU 2017:36 – Informationssäkerhet för samhällsviktiga och digitala tjänster

• Förslag har lämnats till ändringar inom utbildningsområdet – SOU 2017:49 - EU:s dataskyddsförordning och

utbildningsområdet

• Integritetskommitténs utredning

– SOU 2017:52 - Så stärker vi den personliga integriteten – Föreslår upprättande av uppförandekoder inom skolan

och hälso- och sjukvården, speciellt inom patientdatalagens område

– Kompletterande bestämmelser till patientdatalagen föreslås, t.ex. för att konkretisera några av de krav som ställs på ett informationssystem som har den typen av uppgifter

Andra utredningar

(18)

• Socialdataskyddsutredningen, inklusive översyn av Patientdatalagen, Socialförsäkringsbalken och Lagen om behandling av personuppgifter inom socialtjänsten Redovisas den 31 augusti 2017

– S 2016:05 Dataskyddsförordningen – behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

Utredningen utreder bl.a.

– Behovet av bestämmelser om undantag från förbudet att behandla känsliga personuppgifter

– Behovet av nationella regler om registrerades rätt att göra invändningar mot behandling av personuppgifter

– Behovet av kompletterande föreskrifter för vissa myndigheter och verksamheter som idag saknar särskilda

registerförfattningar

• Utredningen om Rättsmedicinalverkets verksamhet Redovisas 31 oktober 2017

– JU 2016:18 – stärkt integritet i Rättsmedicinalverkets verksamhet

– Tar ställning till möjligheten och behovet av särskild personuppgiftsreglering för RMV

Pågående utredningar

(19)

Vem ansvarar?

(20)

• ”En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter”

• Ansvarar alltid självständigt för att lagen uppfylls och ska kunna visa att lagen följs

• Det är alltså ni som är personuppgiftsansvarig som ytterst ansvarar för att t.ex. era

IT-system uppfyller lagens krav (inte leverantören)

• Jfr. personuppgiftsombud (nu dataskyddsombud) – En fysisk person

Personuppgiftsansvarig (”PuA”)

(21)

• I en kommun är typiskt sätt både

kommunstyrelsen och de kommunala nämnderna personuppgiftsansvariga för sina egna

behandlingar

• Självständig nämnd = egen förvaltningsmyndighet

= eget personuppgiftsansvar

• Om olika nämnder är olika juridiska personer – då kan inte uppgifter föras ut mellan nämnderna hur som helst

• Vårdgivare är alltid personuppgiftsansvarig

• Sannolikt samma under nya förordningen

2017-08-30 Nya dataskyddsförordningen

Personuppgiftsansvarig i kommunen i dag

21

(22)

• ”Om två eller flera personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen av personuppgifter”

• Ofta fallet vid gemensamt använda system, webbportaler, m.m.

• Ska gemensamt fastställa sitt respektive ansvar avseende den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla

information

• Delge väsentliga drag i arrangemanget för registrerade – d.v.s. publicera i praktiken

• Den registrerade kan utöva sina rättigheter mot var och en av de personuppgiftsansvariga

Gemensamt personuppgiftsansvar

(23)

• ”En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den

personuppgiftsansvariges räkning”

• Finns alltid utanför den personuppgiftsansvariges organisation

• Exempel på vanliga biträden

– IT-leverantörer – Rekryteringsbyråer – Reklambyråer

– Molntjänstleverantörer – IT-support

• Utökade direkta skyldigheter

• Tillsynsobjekt – kan också åläggas sanktionsavgift

Personuppgiftsbiträde (”PuB”)

(24)

• Vem bestämmer syftena med behandlingen?

• Vem bestämmer hur behandlingen ska ske?

– T.ex. vilka uppgifter ska behandlas, vilka ska få tillgång till dem och när ska uppgifter raderas

• Den som enbart har tillgång till ett system är normalt inte ansvarig (om denne inte bestämmer någonting)

Hur avgöra vem som är

personuppgiftsansvarig?

(25)

• Krav på avtal mellan parterna som anger hur behandlingen ska ske

• Den ansvarige ska endast anlita biträden som ger tillräckliga garantier om att behandling av

personuppgifter sker i enlighet med kraven i dataskyddsförordningen

• Biträdet får endast behandla personuppgifter utifrån dokumenterade instruktioner från den ansvarige

Förhållandet mellan PuA och PuB

(26)

• Ersättningsskyldighet om en person lider skada genom överträdelse av dataskyddsförordningen

• Solidariskt ansvar – den skadelidande kan kräva full ersättning från antingen den personuppgifts- ansvarige eller personuppgiftsbiträdet

• Om full ersättning betalas ut av en

personuppgiftsansvarig eller ett biträde har denne i sin tur rätt att återkräva den del av

ersättningen som orsakades av någon annan som medverkade vid behandlingen

Ansvarsfördelning mellan

personuppgiftsansvarig och biträde

(27)

Överföring av personuppgifter

(28)

• Krav på skriftligt avtal mellan ansvarig och biträde

– I vissa fall är bägge parter personuppgiftsansvariga och personuppgiftsbiträden åt varandra

– Viktigt att tänka på vid alla samarbeten som innebär utbyte av personuppgifter, t.ex. marknadsföring, IT och rekrytering

• Ska ha visst innehåll – mycket mer omfattande information än enligt personuppgiftslagen – viktigare avtal

• Nya avtal och mallar behöver tas fram

• Åtgärd: Uppdatera gamla personuppgifts- biträdesavtal

Krav på personuppgiftsbiträdesavtal

Personuppgiftsbiträdes- avtal

Personuppgifts- biträde Personuppgifts-

ansvarig

Individ

(29)

• Föremålet för behandlingen

• Behandlingens varaktighet, art och ändamål

• Typ av personuppgift och kategorier av registrerade

• Den personuppgiftsansvariges skyldigheter och rättigheter

• Biträdets skyldigheter

– Endast får behandla personuppgifter enligt dokumenterade instruktioner

– Iaktta konfidentialitet

– Vidta lämpliga säkerhetsåtgärder samt bistå den

personuppgiftsansvarige med att skyldigheterna om säkerhet för personuppgifter fullgörs

– Respektera villkoren för anlitandet av underbiträden – Hjälpa personuppgiftsansvariga att fullgöra skyldigheterna i

GDPR om säkerhet och avseende registrerades rättigheter – Ge den personuppgiftsansvarige rätt till inspektion – Radera eller återlämna personuppgifter efter avslutad

behandling

Biträdesavtal – obligatoriska punkter

(30)

• Dokumenterade instruktioner – krav på

”instruktionsbilaga” eller liknande med detaljerade krav på behandlingen

• Krav på skriftlighet

• Inga andra särskilda formkrav

• Ska vara så detaljerade att otillåten behandling inte kommer att utföras av personuppgiftsbiträdet

Dokumenterade instruktioner

(31)

• Ansvarsfördelning

• Hur biträdet får överföra utanför EES-området

• Hur biträdet får anlita underbiträden

– Särskilt förhandstillstånd – Allmänt förhandstillstånd

• De dokumenterade instruktionerna

• Ersättning

• Vad ska ske efter avslutat behandling?

– Återlämna – Radera

Viktiga förhandlingspunkter

(32)

• Särskilt eller allmänt skriftligt förhandstillstånd krävs

– Om allmänt tillstånd ges: informationskrav innan och en möjlighet att göra invändningar

• Underbiträdet ska, genom avtal (eller annan rättsakt), åläggas samma skyldigheter i fråga om dataskydd som fastställts i avtalet mellan

ansvarig och biträdet

• Biträdet ska i avtalet uttryckligen åta sig att följa regler för anlitande av underbiträden

• OBS! Biträdet ansvarar gentemot ansvarig om underbiträden inte fullföljer sina åtaganden

Anlitande av underbiträden

biträdesavtal

Personuppgiftsbiträde (PuB)

Personuppgiftsansvarig (PuA)

Individ (”den registrerade”)

Underbiträde

Underbiträde Underbiträde Underbiträde Instruktioner

(33)

• Huvudregeln är ett förbud mot överföring av personuppgifter utanför EU

• Lagstiftningen ska inte kunna kringgås genom att flytta ut data

• Behöver ha koll på var data behandlas

• Innebär viss tjänst eller support överföring till länder som inte är tillåtna?

– Räcker att någon ges tillgång till data t.ex. för support

Överföring av personuppgifter

(34)

• Överföring till land inom EU och vissa tillåtna länder

• Användning av modellklausuler

• Binding Corporate Rules

• Safe Harbor-anslutna företag i USA underkänt av EU-domstolen

• Privacy shield

• Åtgärder: Säkerställ att ingen överföring sker utanför EES. Alternativt: Säkerställ att

överföringen sker med stöd av laglig grund

Exempel på undantag – när är

överföring tillåten?

(35)

• Säkerställ laglig överföring inom organisationen och med etablerade samarbetspartners

• Utbilda organisationen om t.ex. cloudtjänster och andra varningsklockor

• För enstaka avtal: Använd modellklausulerna

• Säkerställ att biträdesavtalen innehåller praktiska möjligheter att kontrollera var behandling sker och av vem – exempelvis genom krav på informationsskyldighet, audits, biträdets anlitande av underbiträden etc.

Åtgärder: Hur göra i praktiken?

(36)

De grundläggande principerna och hur får

personuppgifter behandlas?

(37)

• Ni ska kunna visa att lagen följs

• Krav på att

1) Identifiera varje behandling 2) Varje behandling ska vara laglig

3) Följa grundläggande krav på behandlingen, t.ex.

gallring, lagring, etc.

4) Krav på att ha olika rutiner, dokumentation och policyer på plats för att följa reglerna

5) Krav att arbeta aktivt med lagen, skapa medvetenhet m.m.

• Skyldighet för personuppgiftsansvariga (och biträden) att föra register över alla

behandlingar (”registerförteckning”)

“Accountability”

(38)

• Laglighet, korrekthet och öppenhet

• Ändamålsbegränsning

– Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål

– Får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål

• Uppgiftsminimering

– Uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen

• Lagringsminimering

– Uppgifter får inte sparas längre tid än nödvändigt för ändamålen

• Integritet och konfidentialitet

– Krav på säkerhet, inbegripet skydd mot obehörig/otillåten behandling och mot förlust

• Ansvarsskyldighet

– Den ansvarige ska kunna visa att de grundläggande

Grundläggande principer

(39)

Är

behandlingen laglig?

Grundläggande principer att följa, t.ex.

gallring, tid

Speciella krav för känsliga uppgifter

Information till registrerade (personuppgifts- policy)

Säkerhet, rutiner för dataportability, etc.

Avtal,

dokumentation, rutiner, m.m.

Förbud att flytta uppgifter utanför EU

”Integritetstrappan” – vilka regler gäller enligt lagen (exempel)?

(40)

• Samtycke från den registrerade

• Nödvändig för att ett avtal med den registrerade ska kunna fullgöras

• Nödvändig för att fullgöra rättslig förpliktelse (eller kollektivavtal och beslut enl. SOU 2017:39)

• Nödvändig för att skydda intressen av grund- läggande betydelse för registrerade eller annan fysisk person

• Nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighets- utövning

• Intresseavvägning

När är behandling tillåten?

(41)

Intresseavvägning

Obs! Kan inte användas av myndigheter när de fullgör sina uppgifter

Personuppgiftsansvariges berättigade intresse

Den registrerades intressen eller

grundläggande rättigheter och

friheter

(42)

Intresseavvägning

Den registrerades intresse mot kränkning av den personliga integriteten

Personuppgiftsansvariges berättigade intresse

STOPP!

Enligt förordningen kan inte en intresseavvägning användas för behandling av kommuner när de fullgör

sina uppgifter

Obs! Kan inte användas av myndigheter när de fullgör sina uppgifter

(43)

• Vilka är ändamålen med en viss behandling?

• Finns laglig grund enligt förordningen?

• Annars behövs samtycke!

– Är samtycke en rimlig och proportionell åtgärd eller ska vi låta bli att utföra behandlingen?

– Hur samlar vi in samtycket?

Laglighetsbedömning

(44)

• Se över laglig grund för alla era behandlingar

• Säkerställ att inte fler uppgifter hanteras än nödvändigt med hänsyn till ändamålet

• Säkerställ gallringsrutiner – att inte uppgifter behandlas längre än nödvändigt med hänsyn till ändamålet

• Säkerställ åtkomstkontroll – att inte fler personer än nödvändigt behandlar uppgifterna

• Säkerställ att de grundläggande rutinerna i övrigt följs

Åtgärder laglighetsbedömning m.m.

(45)

• Känsliga personuppgifter

– Ras eller etniskt ursprung – Politiska åsikter

– Religiös eller filosofisk övertygelse – Medlemskap i fackförening

– Biometriska och genetiska uppgifter, t.ex.

fingeravtryck – Hälsa

– Sexuell läggning/sexualliv

• Får fortfarande bara behandlas i undantagsfall, exempelvis

– Uttryckligt samtycke

– Nödvändig behandling för vissa syften inom

arbetsrätten och angivna syften enligt nationell lag, t.ex. omsorg, socialt skydd

• Åtgärd: Är behandlingen strikt nödvändig för att uppfylla vår skyldighet enligt lag?

Känsliga personuppgifter

(46)

• Myndigheter ska få behandla känsliga personuppgifter

– I löpande text om uppgifterna lämnats i ett ärende eller är nödvändiga för handläggning av ett ärende

– Om uppgifterna lämnats till myndigheten och behandlingen krävs enligt lag

– I enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och den inte innebär otillbörligt intrång i den registrerades rättigheter

• OBS! Sökbegrepp som avslöjar känsliga uppgifter får ej användas

Förslag till undantag för hantering av

känsliga uppgifter (SOU 2017:39)

(47)

• Förslag enligt SOU 2017:39

• Specialregel om personnummer föreslagen. Får behandlas utan samtycke endast när det är klart

• Motiverat med hänsyn

– Till ändamålet med behandlingen – Vikten av en säker identifiering eller – Något annat beaktansvärt skäl

• Förbjudet att hantera uppgifter om fällande domar och överträdelser (tidigare brott) förutom i undantagsfall t.ex. för att anmäla brott

Särskilt om vissa personuppgifter

(48)

Konsekvensbedömningar

(49)

• Nytt krav på att göra en ”konsekvensbedömning”

(Data Protection Impact Assessment) och dokumentera grunderna för beslutet

• När? ”Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska

personers rättigheter och friheter”

Konsekvensbedömning (”PIA”)

(50)

När ska en konsekvensbedömning avseende dataskydd göras?

• Konsekvensbedömning krävs särskilt i följande fall a) En systematisk och omfattande bedömning av

fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer

b) Behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av

personuppgifter som rör fällande domar i brottmål och överträdelser som avses i artikel 10

c) Systematisk övervakning av en allmän plats i stor omfattning

(51)

• Bedömningen ska göras i förväg

• Konsekvensbedömning bör göras för

personuppgiftsbehandling som påbörjas redan innan GDPR träder ikraft

• En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker

• Förhandssamråd med tillsynsmyndigheten om konsekvensbedömningen visar att

behandlingen skulle leda till en hög risk

• Artikel 29-gruppens vägledning för

konsekvensbedömningar avseende dataskydd

• Datainspektionen ska upprätta en förteckning

• Åtgärd: Inför rutiner för konsekvens- bedömningar samt en ev. mall för dessa

Vilken vägledning finns att få?

Nya dataskyddsförordningen

2017-08-30 51

(52)

• Behandlingen innehåller element av bedömning eller värderingar

• Behandlingen syftar till att fatta automatiserade beslut med rättsliga följder eller liknande för den registrerade

• Behandlingen innefattar systematisk övervakning

• Behandlingen omfattar känsliga personuppgifter

• Behandlingen innebär att personuppgifter behandlas i stor skala

• Behandlingen innefattar samkörning av uppgifter mellan olika register

• Behandlingen omfattar personuppgifter om särskilt utsatta eller skyddsvärda typer av registrerade

• Personuppgifterna behandlas på ett innovativt sätt

• Personuppgifter ska föras över till ett land utanför EES

• Personuppgiftsbehandlingen i sig förhindrar registrerade från att utöva en rättighet eller att använda en tjänst eller ett avtal

Exempel på när PIA bör göras – om

fler än två av nedan gäller

(53)

Registerförteckning

(54)

• Namn och kontaktuppgifter för den personuppgiftsansvarige

• Namn och kontaktuppgifter till eventuella gemensamma personuppgiftsansvariga

• Namn och kontaktuppgifter till dataskyddsombudet

• Ändamål med alla behandlingar

• Beskrivning av kategorierna av registrerade och kategorierna av personuppgifter

• Kategorier av mottagare

• Eventuell överföring till tredjeland

• Om möjligt, förutsedda tidsfrister för radering

• Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder

Vad ska en registerförteckning för

personuppgiftsansvariga innehålla?

(55)

• Namn på behandling

• Laglig grund

• Applikationer/system där behandlingen sker

• Lagras personuppgifter i en molntjänst?

• Har information lämnats?

• Kommentar

Vad mer kan vara bra att ha i en registerförteckning?

(56)

• Hur vill ni föra ert register?

• Excelark, köpt applikation eller egenutvecklad applikation?

• Tänk på hur många som behöver access

• Hur förvaltar ni registret på sikt?

• Påbörja registerförteckningen så tidigt som möjligt för att undvika dubbelarbete

Registerförteckning – praktiska tips

(57)

Samtycke

(58)

”Varje slag av frivillig, specifik, informerad, och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande behandling, godtar behandling av

personuppgifter”

Informerat samtycke – information först

Samtycke

(59)

• Formulär för anmälan av klotter och

nedskräpning som innehåller en uppmaning till anmälaren att lämna sitt namn, telefonnummer och sin e-postadress. Behandling av

personuppgifter rörande anmälaren själv kan ske med stöd av samtycke

• Bibliotekets låneregister

• Skolfotografering

• OBS! Samtycke kan bara ges av den som det berör (eller dess vårdnadshavare)

Exempel på samtycken i kommunen

59

(60)

• Det får inte råda betydande ojämlikhet mellan parterna (t.ex. normalt ej anställd)

• Fri valmöjlighet eller inte?

• Det ska vara lika lätt att återkalla sitt samtycke som att lämna det

• Samtycke inte frivilligt om

– Det inte medger att separata samtycken lämnas för olika behandlingar av uppgifter ”trots att detta är lämpligt i det enskilda fallet”, eller

– Genomförandet av ett avtal/tjänst görs avhängigt av samtycket trots att detta inte nödvändigt

Ett samtycke måste vara frivilligt

(61)

• Personuppgiftsansvarig ska kunna visa att samtycke har lämnats till behandlingen

– Skriftlig (inklusive elektronisk) förklaring – Muntlig förklaring

– Kryssrutor

– Val av inställningsalternativ för tjänster på informationssamhällets område

– Annan förklaring eller beteende som tydligt visar den registrerades vilja (dock ej för särskilda kategorier av personuppgifter)

• Separata samtycken för olika behandlingar

• Välj lämplig form (muntlig eller skriftlig beroende på situationen)

• Skriftligt – enklare att bevisa

Hur inhämta samtycke?

(62)

• Begriplig och lättillgänglig form

• Klart och tydligt språk

• Kunna särskiljas från andra frågor i en

”begriplig och lättillgänglig form”

Skriftligt samtycke 

Jag har läst och godkänner användarvillkoren.

Jag samtycker till behandling av mina personuppgifter i enlighet med Bolagets integritetspolicy.

(63)

• Utred om samtycke behöver inhämtas för behandlingen

• Ta hjälp av en jurist för att bedöma om samtycke behövs och för att skriva samtyckesförklaringen

• Skriv enkelt och tydligt – den registrerade ska kunna förstå vad samtycket innebär

• Lämna information om behandlingen i samband med att samtycket inhämtas, t.ex. i en

integritetspolicy

Hur skriva samtycken i praktiken?

(64)

• Gäller ”Vid erbjudande av informationssamhällets tjänster direkt till ett barn”

• Behandling (samtycke) som rör barn är tillåten om barnet är minst 16 år

• Föräldrars samtycke krävs för behandling om barnet är under 13 år (SOU 2017:39)

• Metod för att kontrollera att vuxen ger samtycke online?

– ”Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik”

Samtycke från barn

(65)

• När förordningen börjar tillämpas upphävs det direktiv som PuL grundas på

• Alla samtycken behöver då följa nya dataskyddsförordningen

• Om behandlingen grundar sig på samtycke enligt direktivet är det inte nödvändigt att inhämta samtycke på nytt för att behandlingen ska kunna fortsätta efter att förordningen börjar tillämpas

– ”Om det sätt på vilket samtycket gavs överens- stämmer med förordningens bestämmelser”

Inhämta nytt samtycke?

(66)

• Se över om gamla samtycken är giltiga

– Kan information behöva raderas?

– Behöver nya samtycken inhämtas?

• Kan vi finna alternativ laglig grund istället för samtycke?

• Skriv nya samtyckestexter och utvärdera hur många samtycken som behövs i visst fall?

Åtgärder samtycke

(67)

Registrerades rättigheter

(68)

• Information ska lämnas självmant till alla registrerade

• Mer omfattande information än enligt PuL

• Olika krav beroende på om uppgifterna samlats in från den registrerade själv eller ej

• Uppgifter behöver inte ges om sådant den registrerade redan förfogar över

Information som ska lämnas

självmant

(69)

• Om uppgifterna inte samlats in från den registrerade själv så finns vissa undantag

– Sekretesslag eller tystnadsplikt

– Erhållande uttryckligen föreskrivs i lag som även fastställer lämpliga åtgärder för att skydda den registrerades intressen

– Omöjligt under vissa omständigheter, bl.a. allmänt intresse

• Åtgärd: Uppdatera informationshandlingar och integritetspolicyer

– Anställda och kandidater

– Kunder för ex. kommunala bostadsbolag – Leverantörer

– Andra registrerade, t.ex. nyhetsbrev

Information som ska lämnas självmant

(70)

• Identitet och kontaktuppgifter för den personuppgiftsansvarige

• Kontaktuppgifter till dataskyddsombudet

• Ändamål och rättslig grund för behandlingen. Om den rättsliga grunden är intresseavvägning ska även den personuppgiftsansvariges eller tredje parts berättigade intressen anges

• Mottagare eller kategorier av mottagare

• Ev. överföring till tredje land eller internationell organisation samt laglig grund för överföringen

• Lagringstid eller kriterierna för lagringstiden

Vad ska informationen innehålla?

(71)

• Information om den registrerades rättigheter

• Om uppgifterna krävs enligt lag eller avtal, om den registrerade är skyldig att lämna uppgifterna och följderna av att uppgifterna inte lämnas

• Ev. automatiskt beslutsfattande och profilering

• Om personuppgifterna inte har inhämtats från den registrerade själv – även vilka kategorier av personuppgifter som behandlas, varifrån

personuppgifterna kommer och om de har sitt ursprung i allmänt tillgängliga källor

Vad ska informationen innehålla?

(72)

• Registrerade har rätt att begära ut information om t.ex. kategorier av uppgifter som behandlas, mottagare, period, m.m.

• Ska lämnas utan onödigt dröjsmål och senast inom en månad efter begäran

• Första förfrågan ska lämnas gratis! (jfr. journaler)

• Perioden får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden

• Gäller ej minnesanteckningar, ej färdiga utredningar m.m. (SOU 2017:39)

• Åtgärd: Se över rutinerna för registerutdrag!

Information på begäran –

registerutdrag

(73)

Rätten att ”bli bortglömd”

Minimera volymen av sparade personuppgifter

Krav på att radera – bara under vissa

förutsättningar och endast om ingen legitim

grund för fortsatt behandling finns

Radera mina uppgifter

Legitima grunder för att behålla uppgifterna och ej behandlats olagligt?

RADERA

NEJ

BEHÅLL JA

Åtgärd: Säkerställ att det är möjligt att bli glömd?

(74)

• Vid en begäran om att bli bortglömd ska

personuppgifterna raderas utan onödigt dröjsmål om:

– Uppgifterna inte längre är nödvändiga för de ändamål för vika de samlats in eller på annat sätt behandlas

– Den registrerade återkallar sitt samtycke och det inte finns någon annan rättslig grund för behandlingen

– Den registrerade invänder mot behandlingen och det saknas berättigade skäl för behandlingen som väger tyngre

– Den registrerade invänder mot behandling för marknadsföring och profilering

– Personuppgifterna har behandlats på olagligt sätt

– Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller nationell rätt

– Personuppgifterna har samlats in efter samtycke från barn i samband med erbjudanden av informationssamhällets tjänster

• Om uppgifterna har offentliggjorts ska den

personuppgiftsansvarige vidta rimliga åtgärder för att underrätta andra personuppgiftsansvariga

Hur ska en begäran om att få

uppgifter raderade hanteras?

(75)

• Undantag från kravet att radera personuppgifterna

– Behandlingen är nödvändig för att utöva rätten till yttrande- och informationsfrihet

– För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller nationell rätt

– För att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning

– För skäl som rör ett viktigt allmän intresse på folkhälsoområdet

– För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål – dock endast i den utsträckning som raderingen sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen

– För att kunna fastställa, göra gällande eller försvara rättsliga anspråk

Hur ska en begäran om att få uppgifter raderade hanteras?

(76)

• Den registrerade har rätt att kräva att uppgifterna rättas, raderas eller begränsas

• Vid rättelse, begränsning eller radering: Viktigt meddela personuppgiftsbiträden/mottagare av uppgifter att också rätta, begränsa och radera!

• Åtgärd: Se över rutiner för att säkerställa rättning, radering och begränsning

Rätt till rättelse och begränsning

(77)

Vem ansvarar internt? Dataskyddsombud m.m.

(78)

• Tidigare: Personuppgiftsombud, nu dataskyddsombud

• Måste utses av alla kommuner

• Förändrad roll

• Tydligare regler och krav för dataskyddsombudet

Vem ansvarar internt?

(79)

• Speciell anställd eller konsult med ansvar för personuppgiftshantering

– Skapa medvetenhet, övervaka efterlevnad m.m.

• Kriterier för utnämnande

– Yrkesmässiga kvalifikationer

– Sakkunskap om lagstiftning och praxis om dataskydd

– Förmågan att fullgöra sina uppgifter

• Dataskyddsombudets kontaktuppgifter ska offentliggöras och meddelas till

Datainspektionen

• Dataskyddsombudet ska vara kontaktbar för de registrerade

Krav på dataskyddsombud

(80)

• Ska ”på ett korrekt sätt och i god tid” delta i alla frågor som rör skyddet av personuppgifter

• Ska erhålla stöd från registeransvarig vid utförandet av sina arbetsuppgifter

• Ska få tillräckliga resurser, tillgång till personuppgifter och behandlingsförfaranden och upprätthållande av kunskap

• Får inte motta instruktioner som gäller utförandet av arbetsuppgifterna

• Får inte avsättas eller bli föremål för sanktioner

• Ska rapportera direkt till högsta förvaltningsnivå

• Får ha andra uppgifter och uppdrag, men den

registeransvarige ska ”se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt”

• Åtgärder: Utvärdera om ni behöver anställa, vidareutbilda eller anlita en utomstående uppdragstagare!

Dataskyddsombudets ställning

(81)

• Kan vara anställd eller konsult

• Ska anmälas till Datainspektionen

• Ett dataskyddsombud kan utses för flera

myndigheter eller offentliga organ ”med hänsyn till deras organisationsstruktur och storlek”

• Samma dataskyddsombud för flera nämnder inom en kommun? Samarbete mellan mindre kommuner?

Vem utser ni?

81

(82)

Säkerhet och IT-krav

(83)

Säkerhetskrav

Åtgärder: Säkerställ att IT- och säkerhetsansvariga har kompetens och resurser för att arbeta med dataskydd. Se över era säkerhetsrutiner (såväl teknisk som organisatorisk, t.ex. NDA)

Tekniska åtgärder

Organisatoriska åtgärder

Antivirus, auktorisationskrav, behörighetsstyrning Brandväggar och krypteringsfunktioner,

osv.

Instruktioner och policyer Organisation och

rutiner

Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott

osv.

Säkerhetsnivå i förhållande till risk

Ska ”vidta lämpliga tekniska och organisatoriska åtgärder för att

säkerställa en säkerhetsnivå som är lämplig i förhållande till risken”

(84)

• Informera tillsynsmyndigheten utan onödigt dröjsmål

– Om det inte är osannolikt att incidenter medför en risk för fysiska personers rättigheter och friheter – Som huvudregel inom 72 timmar efter vetskap om

intrånget

• Informationen ska innehålla åtminstone

– Incidentens art och, om möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs – Kategorier av och det ungefärliga antalet

personuppgiftsposter som berörs

– Namn och kontaktuppgifter till dataskyddsombudet eller andra kontaktpunkter

– Sannolika konsekvenser av incidenten

– En beskrivning av vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten och minska dess konsekvenser

Informationskrav vid person-

uppgiftsincident

(85)

• Om det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål

• Biträden ska underrätta ansvarig utan onödigt dröjsmål efter vetskap om incident

• Alla incidenter, dessas effekter och åtgärderna som vidtagits ska dokumenteras

Informationskrav vid person- uppgiftsincident

(86)

• Informera varje registrerad individ utan onödigt dröjsmål

– Om sannolikt leder till hög risk för enskildas rättigheter – Undantag, t.ex. om system finns för att bevisa att de

”förlorade” uppgifterna gjorts oläsbara för utomstående, t.ex. kryptering

– Oproportionerlig ansträngning: Istället informera allmänheten

• Informationen ska innehålla

– Tydlig och klar beskrivning av personuppgiftsincidentens art

– Namn och kontaktuppgifter till dataskyddsombudet eller andra kontaktpunkter

– Sannolika konsekvenser av incidenten

– En beskrivning av vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten och minska dess konsekvenser

Informationskrav vid person-

uppgiftsincident

(87)

• Skapa en rutin så att ni vet vad ni ska göra om olyckan är framme

• Vem gör vad?

• Ta fram en manual/guide med blankett att fylla i

• Se över/stärk era säkerhetsåtgärder och inför rutiner för att meddela registrerade individer

Rutin vid personuppgiftsincident

(88)

Sammanfattning och avslutning

(89)

• Privacy by design

• Dataportabilitet

• Rutiner för att visa efterlevnad

• Code of Conducts?

Och ett antal andra regler att följa...

(90)

• Inled ett projekt för att följa lagen – om ni inte redan börjat (jfr. min presentation ”Tips för ett lyckat efterlevnadsprojekt”)

• Ta hjälp av t.ex. SKL

• Involvera jurist tidigt, t.ex. genom en inledande workshop

• Tänk på att anpassa checklistor, mallar, m.m. till er situation och det specifika fallet!

Hur gör vi då?

(91)

Agnes Hammarstrand / Partner / Advokat Mobil: 0730-83 50 70

agnes.hammarstrand@delphi.se

@IT_advokaten

Advokatfirman Delphi / Östra Hamngatan 29 / 411 10 Göteborg / Sweden Telefon: + 46 (0)31 10 72 00 / Fax: +46 (0)31 13 94 69 / delphi.se