Nya dataskyddsförordningen VästKom 30 augusti 2017
Agnes Hammarstrand Advokatfirman Delphi
2017-08-30 Nya dataskyddsförordningen 1
Agenda
• Introduktion
• Svenska utredningar
• Vem ansvarar?
• Överföring av personuppgifter
• De grundläggande principerna och hur får personuppgifter behandlas?
• Konsekvensbedömningar
• Registerförteckning
• Samtycke
• Registrerades rättigheter
• Vem ansvarar internt? Dataskyddsombud m.m.
• Säkerhet och IT-krav
• Sammanfattning och avslutning
Introduktion
• Direkt gällande förordning som ersätter PuL och motsvarande lagar i hela EU (EES)
• De nya reglerna gäller från och med den 25 maj 2018
• Principerna bygger på nuvarande lag, men också ett stort antal nyheter
• Tydlig strävan efter enhetlighet, men finns vissa möjligheter till nationella avvikelser, t.ex. vad gäller offentlighetsprincipen och hälsodata
• Gäller all behandling av personuppgifter
Ny dataskyddsförordning (”GDPR”)
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016
”Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras…”
• Allt som går att kopplas till en individ, t.ex.
– En e-mail adress
– 83.248.106.125 (en IP-adress) – En adressuppgift
– Ett bilregistreringsnummer – En bild:
• Oavsett kryptering
Vad är en personuppgift?
2017-08-30 Nya dataskyddsförordningen 5
• Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om
personuppgifter
• Exempel
– Insamling – Registrering – Lagring – Spridning – Samkörning – Radering
• Undantag för bl.a. rent personligt bruk
Vad är en behandling?
• Anställningsregister och kandidatdatabaser
• Register respektive nämnd för över vissa kommunmedborgare, t.ex.
– Elever – Brukare – Politiker
– Klienter inom individ- och familjeomsorg
– Registrerade för ansökningar, kommuntjänster, m.m.
• Leverantörsregister
• Eventuella andra registrerade, t.ex. nyhetsbrev
• Annan behandling – t.ex. GPS-övervakning, digitala tjänster, molntjänster, appar, mejl, dokument,
whistleblowingsystem, passersystem, sociala medier och hemsidan
• Även ostrukturerad data, t.ex. mejl och dokument
I praktiken….
2017-08-30 Nya dataskyddsförordningen 7
• Nationell tillsynsmyndighet
– Behörig inom sitt land
– Tillsynsmyndigheten för den ansvariges eller biträdets huvudsakliga verksamhetsställe behörig även vid gränsöverskridande behandling
• Europeisk dataskyddsstyrelse
– Består av chefen för en tillsynsmyndighet per medlemsstat och Europeiska datatillsynsmannen
Tillsyn
• Rätt för individer att kräva skadestånd och straff föreskrivs av varje medlemsstat
• Varning, reprimand eller ”beordran”
• Begränsning eller förbud
• Medlemsstaterna ska fastställa sanktioner för de överträdelser som inte är föremål för böter och säkerställa att sanktionerna genomförs
• Administrativa böter (”böter”) – hur blev det?
Sanktioner
2017-08-30 Nya dataskyddsförordningen 9
Svenska utredningar
• Förordningen behöver kompletteras av nationella regler
• Ett flertal utredningar tillsatta i Sverige, t.ex.
apoteksmarknad, forskning och utbildning
• Dessutom finns kompletterande lag som får stor betydelse på enskilda områden
Kompletterande lagstiftning
2017-08-30 Nya dataskyddsförordningen 11
• Utredningen föreslår en nya dataskyddslag
• Målsättning: Bevara så mycket som möjligt av tidigare bestämmelser – en del
personuppgiftsbehandling kommer därför förbli densamma
• Preciserar vad som ska gälla för svenska förhållanden
SOU 2017:39 – Ny dataskyddslag
• 1: Upp till det högre beloppet av 10 000 000 kr
– Mindre allvarliga överträdelser
• 2: Upp till det högre beloppet av 20 000 000 kr
– Allvarliga överträdelser
– Underlåtenhet att följa förlägganden och beslut av tillsynsmyndigheten
– Underlåtenhet att bistå tillsynsmyndigheten
• Vid bestämmandet av avgiftens storlek i det enskilda fallet ska dataskyddsförordningens bestämmelser tillämpas
När kan en kommun få böter?
2017-08-30 Nya dataskyddsförordningen 13
• Administrativa böter ska beroende på
omständigheterna i det enskilda fallet åläggas utöver eller i stället för andra åtgärder
• Böterna ska vara effektiva, proportionella och avskräckande
• Harmoniserade bötesnivåer
• Hänsyn till ett antal faktorer, t.ex.
– Överträdelsens natur, svårighetsgrad och varaktighet – De åtgärder som vidtagits för att lindra skada
– Graden samarbete med myndigheterna/egen anmälan
– Genomförda säkerhetsåtgärder
Administrativa böter – hur?
• Specificeringar av vad som ska gälla, slår fast det som redan följer av lagen
• Rättslig förpliktelse, även kollektivavtal eller beslut som har meddelats med stöd av lag eller författning
• Individ ska efter tre månader kunna kräva att Datainspektionen ska behandla klagomål från registrerade inom två veckor
• Fler grunder för behandling av känsliga uppgifter
• Se vidare nedan
Exempel på fler förslag från utredningen
Nya dataskyddsförordningen 15
2017-08-30
• PuL inskränker inte en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap.
tryckfrihetsförordningen
– Skyldigheten att lämna ut uppgifter gäller efter att en medborgare begärt ett sådant utlämnande
– När skyldighet att lämna ut information inte finns (t.ex. elektroniskt) måste kommunen pröva noga om det är möjligt att lämna ut med hänsyn till PuL
• Inga förändringar vad gäller offentlighets- och sekretesslagstiftningen föreslås
Förhållandet till
offentlighetsprincipen
• Kameraövervakningslagen föreslås ersattas av ny kamerabevakningslag
– SOU 2017:55 - En ny kamerabevakningslag
• En ny lag om en hög gemensam nivå av säkerhet i nätverk och informationssystem föreslås
– SOU 2017:36 – Informationssäkerhet för samhällsviktiga och digitala tjänster
• Förslag har lämnats till ändringar inom utbildningsområdet – SOU 2017:49 - EU:s dataskyddsförordning och
utbildningsområdet
• Integritetskommitténs utredning
– SOU 2017:52 - Så stärker vi den personliga integriteten – Föreslår upprättande av uppförandekoder inom skolan
och hälso- och sjukvården, speciellt inom patientdatalagens område
– Kompletterande bestämmelser till patientdatalagen föreslås, t.ex. för att konkretisera några av de krav som ställs på ett informationssystem som har den typen av uppgifter
2017-08-30 Nya dataskyddsförordningen 17
Andra utredningar
• Socialdataskyddsutredningen, inklusive översyn av Patientdatalagen, Socialförsäkringsbalken och Lagen om behandling av personuppgifter inom socialtjänsten Redovisas den 31 augusti 2017
– S 2016:05 Dataskyddsförordningen – behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde
Utredningen utreder bl.a.
– Behovet av bestämmelser om undantag från förbudet att behandla känsliga personuppgifter
– Behovet av nationella regler om registrerades rätt att göra invändningar mot behandling av personuppgifter
– Behovet av kompletterande föreskrifter för vissa myndigheter och verksamheter som idag saknar särskilda
registerförfattningar
• Utredningen om Rättsmedicinalverkets verksamhet Redovisas 31 oktober 2017
– JU 2016:18 – stärkt integritet i Rättsmedicinalverkets verksamhet
– Tar ställning till möjligheten och behovet av särskild personuppgiftsreglering för RMV
Pågående utredningar
Vem ansvarar?
• ”En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter”
• Ansvarar alltid självständigt för att lagen uppfylls och ska kunna visa att lagen följs
• Det är alltså ni som är personuppgiftsansvarig som ytterst ansvarar för att t.ex. era
IT-system uppfyller lagens krav (inte leverantören)
• Jfr. personuppgiftsombud (nu dataskyddsombud) – En fysisk person
Personuppgiftsansvarig (”PuA”)
• I en kommun är typiskt sätt både
kommunstyrelsen och de kommunala nämnderna personuppgiftsansvariga för sina egna
behandlingar
• Självständig nämnd = egen förvaltningsmyndighet
= eget personuppgiftsansvar
• Om olika nämnder är olika juridiska personer – då kan inte uppgifter föras ut mellan nämnderna hur som helst
• Vårdgivare är alltid personuppgiftsansvarig
• Sannolikt samma under nya förordningen
2017-08-30 Nya dataskyddsförordningen
Personuppgiftsansvarig i kommunen i dag
21
• ”Om två eller flera personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen av personuppgifter”
• Ofta fallet vid gemensamt använda system, webbportaler, m.m.
• Ska gemensamt fastställa sitt respektive ansvar avseende den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla
information
• Delge väsentliga drag i arrangemanget för registrerade – d.v.s. publicera i praktiken
• Den registrerade kan utöva sina rättigheter mot var och en av de personuppgiftsansvariga
Gemensamt personuppgiftsansvar
• ”En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den
personuppgiftsansvariges räkning”
• Finns alltid utanför den personuppgiftsansvariges organisation
• Exempel på vanliga biträden
– IT-leverantörer – Rekryteringsbyråer – Reklambyråer
– Molntjänstleverantörer – IT-support
• Utökade direkta skyldigheter
• Tillsynsobjekt – kan också åläggas sanktionsavgift
Personuppgiftsbiträde (”PuB”)
2017-08-30 Nya dataskyddsförordningen 23
• Vem bestämmer syftena med behandlingen?
• Vem bestämmer hur behandlingen ska ske?
– T.ex. vilka uppgifter ska behandlas, vilka ska få tillgång till dem och när ska uppgifter raderas
• Den som enbart har tillgång till ett system är normalt inte ansvarig (om denne inte bestämmer någonting)
Hur avgöra vem som är
personuppgiftsansvarig?
• Krav på avtal mellan parterna som anger hur behandlingen ska ske
• Den ansvarige ska endast anlita biträden som ger tillräckliga garantier om att behandling av
personuppgifter sker i enlighet med kraven i dataskyddsförordningen
• Biträdet får endast behandla personuppgifter utifrån dokumenterade instruktioner från den ansvarige
Förhållandet mellan PuA och PuB
2017-08-30 Nya dataskyddsförordningen 25
• Ersättningsskyldighet om en person lider skada genom överträdelse av dataskyddsförordningen
• Solidariskt ansvar – den skadelidande kan kräva full ersättning från antingen den personuppgifts- ansvarige eller personuppgiftsbiträdet
• Om full ersättning betalas ut av en
personuppgiftsansvarig eller ett biträde har denne i sin tur rätt att återkräva den del av
ersättningen som orsakades av någon annan som medverkade vid behandlingen
Ansvarsfördelning mellan
personuppgiftsansvarig och biträde
Överföring av personuppgifter
• Krav på skriftligt avtal mellan ansvarig och biträde
– I vissa fall är bägge parter personuppgiftsansvariga och personuppgiftsbiträden åt varandra
– Viktigt att tänka på vid alla samarbeten som innebär utbyte av personuppgifter, t.ex. marknadsföring, IT och rekrytering
• Ska ha visst innehåll – mycket mer omfattande information än enligt personuppgiftslagen – viktigare avtal
• Nya avtal och mallar behöver tas fram
• Åtgärd: Uppdatera gamla personuppgifts- biträdesavtal
Krav på personuppgiftsbiträdesavtal
Personuppgiftsbiträdes- avtal
Personuppgifts- biträde Personuppgifts-
ansvarig
Individ
• Föremålet för behandlingen
• Behandlingens varaktighet, art och ändamål
• Typ av personuppgift och kategorier av registrerade
• Den personuppgiftsansvariges skyldigheter och rättigheter
• Biträdets skyldigheter
– Endast får behandla personuppgifter enligt dokumenterade instruktioner
– Iaktta konfidentialitet
– Vidta lämpliga säkerhetsåtgärder samt bistå den
personuppgiftsansvarige med att skyldigheterna om säkerhet för personuppgifter fullgörs
– Respektera villkoren för anlitandet av underbiträden – Hjälpa personuppgiftsansvariga att fullgöra skyldigheterna i
GDPR om säkerhet och avseende registrerades rättigheter – Ge den personuppgiftsansvarige rätt till inspektion – Radera eller återlämna personuppgifter efter avslutad
behandling
Biträdesavtal – obligatoriska punkter
2017-08-30 Nya dataskyddsförordningen 29
• Dokumenterade instruktioner – krav på
”instruktionsbilaga” eller liknande med detaljerade krav på behandlingen
• Krav på skriftlighet
• Inga andra särskilda formkrav
• Ska vara så detaljerade att otillåten behandling inte kommer att utföras av personuppgiftsbiträdet
Dokumenterade instruktioner
• Ansvarsfördelning
• Hur biträdet får överföra utanför EES-området
• Hur biträdet får anlita underbiträden
– Särskilt förhandstillstånd – Allmänt förhandstillstånd
• De dokumenterade instruktionerna
• Ersättning
• Vad ska ske efter avslutat behandling?
– Återlämna – Radera
Viktiga förhandlingspunkter
2017-08-30 Nya dataskyddsförordningen 31
• Särskilt eller allmänt skriftligt förhandstillstånd krävs
– Om allmänt tillstånd ges: informationskrav innan och en möjlighet att göra invändningar
• Underbiträdet ska, genom avtal (eller annan rättsakt), åläggas samma skyldigheter i fråga om dataskydd som fastställts i avtalet mellan
ansvarig och biträdet
• Biträdet ska i avtalet uttryckligen åta sig att följa regler för anlitande av underbiträden
• OBS! Biträdet ansvarar gentemot ansvarig om underbiträden inte fullföljer sina åtaganden
Anlitande av underbiträden
biträdesavtal
Personuppgiftsbiträde (PuB)
Personuppgiftsansvarig (PuA)
Individ (”den registrerade”)
Underbiträde
Underbiträde Underbiträde Underbiträde Instruktioner
• Huvudregeln är ett förbud mot överföring av personuppgifter utanför EU
• Lagstiftningen ska inte kunna kringgås genom att flytta ut data
• Behöver ha koll på var data behandlas
• Innebär viss tjänst eller support överföring till länder som inte är tillåtna?
– Räcker att någon ges tillgång till data t.ex. för support
Överföring av personuppgifter
2017-08-30 Nya dataskyddsförordningen 33
• Överföring till land inom EU och vissa tillåtna länder
• Användning av modellklausuler
• Binding Corporate Rules
• Safe Harbor-anslutna företag i USA underkänt av EU-domstolen
• Privacy shield
• Åtgärder: Säkerställ att ingen överföring sker utanför EES. Alternativt: Säkerställ att
överföringen sker med stöd av laglig grund
Exempel på undantag – när är
överföring tillåten?
• Säkerställ laglig överföring inom organisationen och med etablerade samarbetspartners
• Utbilda organisationen om t.ex. cloudtjänster och andra varningsklockor
• För enstaka avtal: Använd modellklausulerna
• Säkerställ att biträdesavtalen innehåller praktiska möjligheter att kontrollera var behandling sker och av vem – exempelvis genom krav på informationsskyldighet, audits, biträdets anlitande av underbiträden etc.
Åtgärder: Hur göra i praktiken?
2017-08-30 Nya dataskyddsförordningen 35
De grundläggande principerna och hur får
personuppgifter behandlas?
• Ni ska kunna visa att lagen följs
• Krav på att
1) Identifiera varje behandling 2) Varje behandling ska vara laglig
3) Följa grundläggande krav på behandlingen, t.ex.
gallring, lagring, etc.
4) Krav på att ha olika rutiner, dokumentation och policyer på plats för att följa reglerna
5) Krav att arbeta aktivt med lagen, skapa medvetenhet m.m.
• Skyldighet för personuppgiftsansvariga (och biträden) att föra register över alla
behandlingar (”registerförteckning”)
“Accountability”
2017-08-30 Nya dataskyddsförordningen 37
• Laglighet, korrekthet och öppenhet
• Ändamålsbegränsning
– Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål
– Får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål
• Uppgiftsminimering
– Uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen
• Lagringsminimering
– Uppgifter får inte sparas längre tid än nödvändigt för ändamålen
• Integritet och konfidentialitet
– Krav på säkerhet, inbegripet skydd mot obehörig/otillåten behandling och mot förlust
• Ansvarsskyldighet
– Den ansvarige ska kunna visa att de grundläggande
Grundläggande principer
Är
behandlingen laglig?
Grundläggande principer att följa, t.ex.
gallring, tid
Speciella krav för känsliga uppgifter
Information till registrerade (personuppgifts- policy)
Säkerhet, rutiner för dataportability, etc.
Avtal,
dokumentation, rutiner, m.m.
Förbud att flytta uppgifter utanför EU
”Integritetstrappan” – vilka regler gäller enligt lagen (exempel)?
2017-08-30 Nya dataskyddsförordningen 39
• Samtycke från den registrerade
• Nödvändig för att ett avtal med den registrerade ska kunna fullgöras
• Nödvändig för att fullgöra rättslig förpliktelse (eller kollektivavtal och beslut enl. SOU 2017:39)
• Nödvändig för att skydda intressen av grund- läggande betydelse för registrerade eller annan fysisk person
• Nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighets- utövning
• Intresseavvägning
När är behandling tillåten?
Intresseavvägning
2017-08-30 Nya dataskyddsförordningen 41
Obs! Kan inte användas av myndigheter när de fullgör sina uppgifter
Personuppgiftsansvariges berättigade intresse
Den registrerades intressen eller
grundläggande rättigheter och
friheter
Intresseavvägning
Den registrerades intresse mot kränkning av den personliga integriteten
Personuppgiftsansvariges berättigade intresse
STOPP!
Enligt förordningen kan inte en intresseavvägning användas för behandling av kommuner när de fullgör
sina uppgifter
Obs! Kan inte användas av myndigheter när de fullgör sina uppgifter
• Vilka är ändamålen med en viss behandling?
• Finns laglig grund enligt förordningen?
• Annars behövs samtycke!
– Är samtycke en rimlig och proportionell åtgärd eller ska vi låta bli att utföra behandlingen?
– Hur samlar vi in samtycket?
Laglighetsbedömning
2017-08-30 Nya dataskyddsförordningen 43
• Se över laglig grund för alla era behandlingar
• Säkerställ att inte fler uppgifter hanteras än nödvändigt med hänsyn till ändamålet
• Säkerställ gallringsrutiner – att inte uppgifter behandlas längre än nödvändigt med hänsyn till ändamålet
• Säkerställ åtkomstkontroll – att inte fler personer än nödvändigt behandlar uppgifterna
• Säkerställ att de grundläggande rutinerna i övrigt följs
Åtgärder laglighetsbedömning m.m.
• Känsliga personuppgifter
– Ras eller etniskt ursprung – Politiska åsikter
– Religiös eller filosofisk övertygelse – Medlemskap i fackförening
– Biometriska och genetiska uppgifter, t.ex.
fingeravtryck – Hälsa
– Sexuell läggning/sexualliv
• Får fortfarande bara behandlas i undantagsfall, exempelvis
– Uttryckligt samtycke
– Nödvändig behandling för vissa syften inom
arbetsrätten och angivna syften enligt nationell lag, t.ex. omsorg, socialt skydd
• Åtgärd: Är behandlingen strikt nödvändig för att uppfylla vår skyldighet enligt lag?
Känsliga personuppgifter
2017-08-30 Nya dataskyddsförordningen 45
• Myndigheter ska få behandla känsliga personuppgifter
– I löpande text om uppgifterna lämnats i ett ärende eller är nödvändiga för handläggning av ett ärende
– Om uppgifterna lämnats till myndigheten och behandlingen krävs enligt lag
– I enstaka fall om det är absolut nödvändigt för ändamålet med behandlingen och den inte innebär otillbörligt intrång i den registrerades rättigheter
• OBS! Sökbegrepp som avslöjar känsliga uppgifter får ej användas
Förslag till undantag för hantering av
känsliga uppgifter (SOU 2017:39)
• Förslag enligt SOU 2017:39
• Specialregel om personnummer föreslagen. Får behandlas utan samtycke endast när det är klart
• Motiverat med hänsyn
– Till ändamålet med behandlingen – Vikten av en säker identifiering eller – Något annat beaktansvärt skäl
• Förbjudet att hantera uppgifter om fällande domar och överträdelser (tidigare brott) förutom i undantagsfall t.ex. för att anmäla brott
Särskilt om vissa personuppgifter
2017-08-30 Nya dataskyddsförordningen 47
Konsekvensbedömningar
• Nytt krav på att göra en ”konsekvensbedömning”
(Data Protection Impact Assessment) och dokumentera grunderna för beslutet
• När? ”Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska
personers rättigheter och friheter”
Konsekvensbedömning (”PIA”)
2017-08-30 Nya dataskyddsförordningen 49
När ska en konsekvensbedömning avseende dataskydd göras?
• Konsekvensbedömning krävs särskilt i följande fall a) En systematisk och omfattande bedömning av
fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer
b) Behandling i stor omfattning av särskilda kategorier av uppgifter, som avses i artikel 9.1, eller av
personuppgifter som rör fällande domar i brottmål och överträdelser som avses i artikel 10
c) Systematisk övervakning av en allmän plats i stor omfattning
• Bedömningen ska göras i förväg
• Konsekvensbedömning bör göras för
personuppgiftsbehandling som påbörjas redan innan GDPR träder ikraft
• En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker
• Förhandssamråd med tillsynsmyndigheten om konsekvensbedömningen visar att
behandlingen skulle leda till en hög risk
• Artikel 29-gruppens vägledning för
konsekvensbedömningar avseende dataskydd
• Datainspektionen ska upprätta en förteckning
• Åtgärd: Inför rutiner för konsekvens- bedömningar samt en ev. mall för dessa
Vilken vägledning finns att få?
Nya dataskyddsförordningen
2017-08-30 51
• Behandlingen innehåller element av bedömning eller värderingar
• Behandlingen syftar till att fatta automatiserade beslut med rättsliga följder eller liknande för den registrerade
• Behandlingen innefattar systematisk övervakning
• Behandlingen omfattar känsliga personuppgifter
• Behandlingen innebär att personuppgifter behandlas i stor skala
• Behandlingen innefattar samkörning av uppgifter mellan olika register
• Behandlingen omfattar personuppgifter om särskilt utsatta eller skyddsvärda typer av registrerade
• Personuppgifterna behandlas på ett innovativt sätt
• Personuppgifter ska föras över till ett land utanför EES
• Personuppgiftsbehandlingen i sig förhindrar registrerade från att utöva en rättighet eller att använda en tjänst eller ett avtal
Exempel på när PIA bör göras – om
fler än två av nedan gäller
Registerförteckning
• Namn och kontaktuppgifter för den personuppgiftsansvarige
• Namn och kontaktuppgifter till eventuella gemensamma personuppgiftsansvariga
• Namn och kontaktuppgifter till dataskyddsombudet
• Ändamål med alla behandlingar
• Beskrivning av kategorierna av registrerade och kategorierna av personuppgifter
• Kategorier av mottagare
• Eventuell överföring till tredjeland
• Om möjligt, förutsedda tidsfrister för radering
• Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder
Vad ska en registerförteckning för
personuppgiftsansvariga innehålla?
• Namn på behandling
• Laglig grund
• Applikationer/system där behandlingen sker
• Lagras personuppgifter i en molntjänst?
• Har information lämnats?
• Kommentar
Vad mer kan vara bra att ha i en registerförteckning?
2017-08-30 Nya dataskyddsförordningen 55
• Hur vill ni föra ert register?
• Excelark, köpt applikation eller egenutvecklad applikation?
• Tänk på hur många som behöver access
• Hur förvaltar ni registret på sikt?
• Påbörja registerförteckningen så tidigt som möjligt för att undvika dubbelarbete
Registerförteckning – praktiska tips
Samtycke
”Varje slag av frivillig, specifik, informerad, och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande behandling, godtar behandling av
personuppgifter”
Informerat samtycke – information först
Samtycke
• Formulär för anmälan av klotter och
nedskräpning som innehåller en uppmaning till anmälaren att lämna sitt namn, telefonnummer och sin e-postadress. Behandling av
personuppgifter rörande anmälaren själv kan ske med stöd av samtycke
• Bibliotekets låneregister
• Skolfotografering
• OBS! Samtycke kan bara ges av den som det berör (eller dess vårdnadshavare)
2017-08-30 Nya dataskyddsförordningen
Exempel på samtycken i kommunen
59
• Det får inte råda betydande ojämlikhet mellan parterna (t.ex. normalt ej anställd)
• Fri valmöjlighet eller inte?
• Det ska vara lika lätt att återkalla sitt samtycke som att lämna det
• Samtycke inte frivilligt om
– Det inte medger att separata samtycken lämnas för olika behandlingar av uppgifter ”trots att detta är lämpligt i det enskilda fallet”, eller
– Genomförandet av ett avtal/tjänst görs avhängigt av samtycket trots att detta inte nödvändigt
Ett samtycke måste vara frivilligt
• Personuppgiftsansvarig ska kunna visa att samtycke har lämnats till behandlingen
– Skriftlig (inklusive elektronisk) förklaring – Muntlig förklaring
– Kryssrutor
– Val av inställningsalternativ för tjänster på informationssamhällets område
– Annan förklaring eller beteende som tydligt visar den registrerades vilja (dock ej för särskilda kategorier av personuppgifter)
• Separata samtycken för olika behandlingar
• Välj lämplig form (muntlig eller skriftlig beroende på situationen)
• Skriftligt – enklare att bevisa
Hur inhämta samtycke?
2017-08-30 Nya dataskyddsförordningen 61
• Begriplig och lättillgänglig form
• Klart och tydligt språk
• Kunna särskiljas från andra frågor i en
”begriplig och lättillgänglig form”
Skriftligt samtycke
Jag har läst och godkänner användarvillkoren.Jag har läst och godkänner användarvillkoren.
Jag samtycker till behandling av mina personuppgifter i enlighet med Bolagets integritetspolicy.
• Utred om samtycke behöver inhämtas för behandlingen
• Ta hjälp av en jurist för att bedöma om samtycke behövs och för att skriva samtyckesförklaringen
• Skriv enkelt och tydligt – den registrerade ska kunna förstå vad samtycket innebär
• Lämna information om behandlingen i samband med att samtycket inhämtas, t.ex. i en
integritetspolicy
Hur skriva samtycken i praktiken?
2017-08-30 Nya dataskyddsförordningen 63
• Gäller ”Vid erbjudande av informationssamhällets tjänster direkt till ett barn”
• Behandling (samtycke) som rör barn är tillåten om barnet är minst 16 år
• Föräldrars samtycke krävs för behandling om barnet är under 13 år (SOU 2017:39)
• Metod för att kontrollera att vuxen ger samtycke online?
– ”Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik”
Samtycke från barn
• När förordningen börjar tillämpas upphävs det direktiv som PuL grundas på
• Alla samtycken behöver då följa nya dataskyddsförordningen
• Om behandlingen grundar sig på samtycke enligt direktivet är det inte nödvändigt att inhämta samtycke på nytt för att behandlingen ska kunna fortsätta efter att förordningen börjar tillämpas
– ”Om det sätt på vilket samtycket gavs överens- stämmer med förordningens bestämmelser”
Inhämta nytt samtycke?
2017-08-30 Nya dataskyddsförordningen 65
• Se över om gamla samtycken är giltiga
– Kan information behöva raderas?
– Behöver nya samtycken inhämtas?
• Kan vi finna alternativ laglig grund istället för samtycke?
• Skriv nya samtyckestexter och utvärdera hur många samtycken som behövs i visst fall?
Åtgärder samtycke
Registrerades rättigheter
• Information ska lämnas självmant till alla registrerade
• Mer omfattande information än enligt PuL
• Olika krav beroende på om uppgifterna samlats in från den registrerade själv eller ej
• Uppgifter behöver inte ges om sådant den registrerade redan förfogar över
Information som ska lämnas
självmant
• Om uppgifterna inte samlats in från den registrerade själv så finns vissa undantag
– Sekretesslag eller tystnadsplikt
– Erhållande uttryckligen föreskrivs i lag som även fastställer lämpliga åtgärder för att skydda den registrerades intressen
– Omöjligt under vissa omständigheter, bl.a. allmänt intresse
• Åtgärd: Uppdatera informationshandlingar och integritetspolicyer
– Anställda och kandidater
– Kunder för ex. kommunala bostadsbolag – Leverantörer
– Andra registrerade, t.ex. nyhetsbrev
Information som ska lämnas självmant
2017-08-30 Nya dataskyddsförordningen 69
• Identitet och kontaktuppgifter för den personuppgiftsansvarige
• Kontaktuppgifter till dataskyddsombudet
• Ändamål och rättslig grund för behandlingen. Om den rättsliga grunden är intresseavvägning ska även den personuppgiftsansvariges eller tredje parts berättigade intressen anges
• Mottagare eller kategorier av mottagare
• Ev. överföring till tredje land eller internationell organisation samt laglig grund för överföringen
• Lagringstid eller kriterierna för lagringstiden
Vad ska informationen innehålla?
• Information om den registrerades rättigheter
• Om uppgifterna krävs enligt lag eller avtal, om den registrerade är skyldig att lämna uppgifterna och följderna av att uppgifterna inte lämnas
• Ev. automatiskt beslutsfattande och profilering
• Om personuppgifterna inte har inhämtats från den registrerade själv – även vilka kategorier av personuppgifter som behandlas, varifrån
personuppgifterna kommer och om de har sitt ursprung i allmänt tillgängliga källor
Vad ska informationen innehålla?
2017-08-30 Nya dataskyddsförordningen 71
• Registrerade har rätt att begära ut information om t.ex. kategorier av uppgifter som behandlas, mottagare, period, m.m.
• Ska lämnas utan onödigt dröjsmål och senast inom en månad efter begäran
• Första förfrågan ska lämnas gratis! (jfr. journaler)
• Perioden får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden
• Gäller ej minnesanteckningar, ej färdiga utredningar m.m. (SOU 2017:39)
• Åtgärd: Se över rutinerna för registerutdrag!
Information på begäran –
registerutdrag
Rätten att ”bli bortglömd”
2017-08-30 Nya dataskyddsförordningen 73
Minimera volymen av sparade personuppgifter
Krav på att radera – bara under vissa
förutsättningar och endast om ingen legitim
grund för fortsatt behandling finns
Radera mina uppgifter
Legitima grunder för att behålla uppgifterna och ej behandlats olagligt?
RADERA
NEJ
BEHÅLL JA
Åtgärd: Säkerställ att det är möjligt att bli glömd?
• Vid en begäran om att bli bortglömd ska
personuppgifterna raderas utan onödigt dröjsmål om:
– Uppgifterna inte längre är nödvändiga för de ändamål för vika de samlats in eller på annat sätt behandlas
– Den registrerade återkallar sitt samtycke och det inte finns någon annan rättslig grund för behandlingen
– Den registrerade invänder mot behandlingen och det saknas berättigade skäl för behandlingen som väger tyngre
– Den registrerade invänder mot behandling för marknadsföring och profilering
– Personuppgifterna har behandlats på olagligt sätt
– Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller nationell rätt
– Personuppgifterna har samlats in efter samtycke från barn i samband med erbjudanden av informationssamhällets tjänster
• Om uppgifterna har offentliggjorts ska den
personuppgiftsansvarige vidta rimliga åtgärder för att underrätta andra personuppgiftsansvariga
Hur ska en begäran om att få
uppgifter raderade hanteras?
• Undantag från kravet att radera personuppgifterna
– Behandlingen är nödvändig för att utöva rätten till yttrande- och informationsfrihet
– För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller nationell rätt
– För att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning
– För skäl som rör ett viktigt allmän intresse på folkhälsoområdet
– För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål – dock endast i den utsträckning som raderingen sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen
– För att kunna fastställa, göra gällande eller försvara rättsliga anspråk
Hur ska en begäran om att få uppgifter raderade hanteras?
2017-08-30 Nya dataskyddsförordningen 75
• Den registrerade har rätt att kräva att uppgifterna rättas, raderas eller begränsas
• Vid rättelse, begränsning eller radering: Viktigt meddela personuppgiftsbiträden/mottagare av uppgifter att också rätta, begränsa och radera!
• Åtgärd: Se över rutiner för att säkerställa rättning, radering och begränsning
Rätt till rättelse och begränsning
Vem ansvarar internt? Dataskyddsombud m.m.
• Tidigare: Personuppgiftsombud, nu dataskyddsombud
• Måste utses av alla kommuner
• Förändrad roll
• Tydligare regler och krav för dataskyddsombudet
Vem ansvarar internt?
• Speciell anställd eller konsult med ansvar för personuppgiftshantering
– Skapa medvetenhet, övervaka efterlevnad m.m.
• Kriterier för utnämnande
– Yrkesmässiga kvalifikationer
– Sakkunskap om lagstiftning och praxis om dataskydd
– Förmågan att fullgöra sina uppgifter
• Dataskyddsombudets kontaktuppgifter ska offentliggöras och meddelas till
Datainspektionen
• Dataskyddsombudet ska vara kontaktbar för de registrerade
Krav på dataskyddsombud
2017-08-30 Nya dataskyddsförordningen 79
• Ska ”på ett korrekt sätt och i god tid” delta i alla frågor som rör skyddet av personuppgifter
• Ska erhålla stöd från registeransvarig vid utförandet av sina arbetsuppgifter
• Ska få tillräckliga resurser, tillgång till personuppgifter och behandlingsförfaranden och upprätthållande av kunskap
• Får inte motta instruktioner som gäller utförandet av arbetsuppgifterna
• Får inte avsättas eller bli föremål för sanktioner
• Ska rapportera direkt till högsta förvaltningsnivå
• Får ha andra uppgifter och uppdrag, men den
registeransvarige ska ”se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt”
• Åtgärder: Utvärdera om ni behöver anställa, vidareutbilda eller anlita en utomstående uppdragstagare!
Dataskyddsombudets ställning
• Kan vara anställd eller konsult
• Ska anmälas till Datainspektionen
• Ett dataskyddsombud kan utses för flera
myndigheter eller offentliga organ ”med hänsyn till deras organisationsstruktur och storlek”
• Samma dataskyddsombud för flera nämnder inom en kommun? Samarbete mellan mindre kommuner?
2017-08-30 Nya dataskyddsförordningen
Vem utser ni?
81
Säkerhet och IT-krav
Säkerhetskrav
Åtgärder: Säkerställ att IT- och säkerhetsansvariga har kompetens och resurser för att arbeta med dataskydd. Se över era säkerhetsrutiner (såväl teknisk som organisatorisk, t.ex. NDA)
2017-08-30 Nya dataskyddsförordningen 83
Tekniska åtgärder
Organisatoriska åtgärder
Antivirus, auktorisationskrav, behörighetsstyrning Brandväggar och krypteringsfunktioner,
osv.
Instruktioner och policyer Organisation och
rutiner
Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott
osv.
Säkerhetsnivå i förhållande till risk
Ska ”vidta lämpliga tekniska och organisatoriska åtgärder för att
säkerställa en säkerhetsnivå som är lämplig i förhållande till risken”
• Informera tillsynsmyndigheten utan onödigt dröjsmål
– Om det inte är osannolikt att incidenter medför en risk för fysiska personers rättigheter och friheter – Som huvudregel inom 72 timmar efter vetskap om
intrånget
• Informationen ska innehålla åtminstone
– Incidentens art och, om möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs – Kategorier av och det ungefärliga antalet
personuppgiftsposter som berörs
– Namn och kontaktuppgifter till dataskyddsombudet eller andra kontaktpunkter
– Sannolika konsekvenser av incidenten
– En beskrivning av vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten och minska dess konsekvenser
Informationskrav vid person-
uppgiftsincident
• Om det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål
• Biträden ska underrätta ansvarig utan onödigt dröjsmål efter vetskap om incident
• Alla incidenter, dessas effekter och åtgärderna som vidtagits ska dokumenteras
Informationskrav vid person- uppgiftsincident
2017-08-30 Nya dataskyddsförordningen 85
• Informera varje registrerad individ utan onödigt dröjsmål
– Om sannolikt leder till hög risk för enskildas rättigheter – Undantag, t.ex. om system finns för att bevisa att de
”förlorade” uppgifterna gjorts oläsbara för utomstående, t.ex. kryptering
– Oproportionerlig ansträngning: Istället informera allmänheten
• Informationen ska innehålla
– Tydlig och klar beskrivning av personuppgiftsincidentens art
– Namn och kontaktuppgifter till dataskyddsombudet eller andra kontaktpunkter
– Sannolika konsekvenser av incidenten
– En beskrivning av vilka åtgärder som har vidtagits eller föreslagits för att åtgärda incidenten och minska dess konsekvenser
Informationskrav vid person-
uppgiftsincident
• Skapa en rutin så att ni vet vad ni ska göra om olyckan är framme
• Vem gör vad?
• Ta fram en manual/guide med blankett att fylla i
• Se över/stärk era säkerhetsåtgärder och inför rutiner för att meddela registrerade individer
Rutin vid personuppgiftsincident
2017-08-30 Nya dataskyddsförordningen 87
Sammanfattning och avslutning
• Privacy by design
• Dataportabilitet
• Rutiner för att visa efterlevnad
• Code of Conducts?
Och ett antal andra regler att följa...
2017-08-30 Nya dataskyddsförordningen 89
• Inled ett projekt för att följa lagen – om ni inte redan börjat (jfr. min presentation ”Tips för ett lyckat efterlevnadsprojekt”)
• Ta hjälp av t.ex. SKL
• Involvera jurist tidigt, t.ex. genom en inledande workshop
• Tänk på att anpassa checklistor, mallar, m.m. till er situation och det specifika fallet!
Hur gör vi då?
2017-08-30 Nya dataskyddsförordningen 91
Agnes Hammarstrand / Partner / Advokat Mobil: 0730-83 50 70
agnes.hammarstrand@delphi.se
@IT_advokaten
Advokatfirman Delphi / Östra Hamngatan 29 / 411 10 Göteborg / Sweden Telefon: + 46 (0)31 10 72 00 / Fax: +46 (0)31 13 94 69 / delphi.se