1
Gör vad du ska göra!
Säkerställ att det du gör är lagligt!
Dokumentera vad du gör!
INLEDNING
Sedan den 25 maj 2018 gäller den Europeiska unionens dataskyddsförordning (GDPR)
Den svenska dataskyddslagen trädde i kraft samma dag. (kompletterande nationella
bestämmelser till GDPR)
3
DATASKSYDDSFÖRORDNINGENS SYFTE ARTIKEL 1.1-3
Syftet med förordningen är att skydda personer så att deras integritet inte kränks när vi behandlar
personuppgifter.
Dessutom har man skapat ett gemensamt
regelverk som inte skall hindra det fria flödet av
personuppgifter inom EU.
LITE BAKGRUND
GDPR ”bygger” i stort sätt på den nu borttagna svenska personuppgiftslagen
Vad gäller nu, vad kommer att gälla och hur skall jag förbereda mig?
5
DE STÖRSTA FÖRÄNDRINGARNA!
Förordningen består av 99 artiklar (motsvarar paragrafer). Det är en lag som gäller för alla medlemmar i Europeiska unionen.
Respektive medlemsstat får fastställa ytterligare nationella regler för att komplettera förordningen.
(Dataskyddslagen i Sverige)
.
TRE VIKTIGA GRUNDLÄGGANDE DELAR I FÖRORDNINGEN
Den personuppgiftsansvariges ( respektive
nämnd/kommunalt bolag) ansvar stärks och förtydligas
Den enskildes rätt utökas
Kraftfulla sanktionsavgifter vid felaktig hantering
7
BAKGRUND TILL PUL OCH
DATASKYDDSFÖRORDNINGEN
Utvecklingen av Internet har inneburit att personanknuten information har ökat!
Effektiva metoder för insamling och bearbetning av digitala personuppgifter!
E-handeln i och utanför europa har ökat dramatiskt
Sociala medier!
Internationalisering
VIKTIGA DEFINITIONER I DATASKYDDS- FÖRORDNINGEN ARTIKEL 4
Den registrerade
9
DEFINITIONER, FORTS.
Personuppgift
Varje upplysning som avser en identifierad eller identifierbar fysisk person. Tex personnummer,
namn, registreringsnummer, fastighetsbeteckning,
anställningsnummer, bild, DNA m.m, m.m.
DEFINITIONER, FORTS.
Behandling
Varje åtgärd eller kombination av åtgärder beträffande personuppgifter, manuellt eller automatiskt, såsom insamling, bearbetning, organisering, lagring, ändring m.m.
I kommuner behandlar vi många personuppgifter!
11
DEFINITIONER, FORTS.
Personuppgiftsansvarig
En fysisk eller juridisk person som bestämmer ändamålen och medlen för behandling av
personuppgifter.
I kommuner är respektive nämnd/myndighet
personuppgiftsansvarig.
DEFINITIONER, FORTS.
Personuppgiftsbiträde
En fysisk eller juridisk person som behandlar
personuppgifter för den personuppgiftsansvariges räkning. Externa leverantörer av
verksamhetssystem t.ex inom skolan, socialtjänst, ekonomi, företagshälsovård, m.m.
Mottagare
Den fysiska eller juridiska person som till vilken personuppgifter utlämnas
13
DEFINITIONER, FORTS.
Personuppgiftskontaktperson/medhjälpare Den person som på uppdrag av
personuppgiftsansvarig praktiskt skall hantera frågor
kring dataskyddsförordningen.
DEFINITIONER, FORTS.
Begränsning av behandling (artikel 25) Markering och borttagning av lagrade
personuppgifter med syftet att dessa inte skall kunna behandlas i framtiden. Minimering av uppgiftsinsamlande privacy by design och )
privacy by default)
Profilering (artikel 22)
Automatisk behandling av personuppgifter i syfte att skapa en bild av den registrerades specifika
egenskaper och preferenser (algoritmer)
15
DEFINITIONER, FORTS.
Pseudonymisering
Behandling av personuppgifter på ett sätt så att det inte går att tillskriva en specifik person dessa
personuppgifter. ( ”nyckeln” skall vara inlåst!)
Ex. sjukvård, äldreomsorg
DEFINITIONER, FORTS.
Register
En strukturerad samling av personuppgifter.
Ex. barnomsorgskö, hyresgästregister,
personalregister, leverantörsregister, diariet m.fl
17
DEFINITIONER, FORTS.
Samtycke av den registrerade
Varje slag av frivillig och otvetydig viljeyttring där
den registrerade godtar och bekräftar en behandling
av personuppgifter som berör denne.
DEFINITIONER, FORTS,
Personuppgiftsincident
En säkerhetsincident som leder till en oavsiktlig eller olaglig förlust, förstöring, ändring, eller till röjande av personuppgifter.
Ex. dataintrång, hårddiskkrasch, kapning av identitet
19
DEFINITIONER, FORTS.
Genetiska uppgifter
Alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller
nedärvda hälsa
Biometriska uppgifter
Personuppgifter som erhållits genom särskild teknisk bearbetning om en fysisk person. Tex fingeravtryck, ansiktsbilder, DNA
DEFINITIONER, FORTS.
Uppgifter om hälsa
Personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso och sjukvårdstjänster, vilken ger information om dennes
hälsostatus
21
DEFINITIONER, FORTS.
Tillsynsmyndighet
En oberoende offentlig myndighet som är utsedd av en medlemsstat. I Sverige
Datainspektionen.
DEFINITIONER, FORTS.
Personuppgiftsansvarig skall föra register över alla behandlingar, artikel 30 1-5
Varje personuppgiftsansvarig skall föra ett register över behandlingar som utförs under des ansvar
23
DEFINITIONER FORTS.
Personuppgiftsbiträdet skall också för register över samtliga behandlingar de gör, åt
persouppgiftsansvarig
artikel 30,2
DEFINITIONER, FORTS.
Dataskyddsombud, artikel 37-39
Den personuppgiftsansvarige i offentligt organ och personuppgiftsbiträden ska utse ett
dataskyddsombud.
25
GRUNDLÄGGANDE KRAV FÖR BEHANDLING AV PERSONUPPGIFTER ARTIKEL 5
Vid behandling av personuppgifter skall följande gälla:
• Uppgifterna skall behandlas på ett lagligt och korrekt sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet)
• De skall samlas in för särskilda, uttryckligt angivna
ändamål och inte senare behandlas på ett sätt som är oförenliga med dessa angivna ändamål.
GRUNDLÄGGANDE KRAV FÖR BEHANDLING AV PERSONUPPGIFTER, FORTS.
• De skall vara korrekta och om nödvändigt uppdaterade.
Alla rimliga åtgärder skall vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de
ändamål för vilka de behandlas raderas, eller rättas utan dröjsmål (korrekthet)
• Personuppgifter får inte förvaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med
behandlingen. (lagringsminimering)
27
NÄR ÄR BEHANDLING TILLÅTEN? ARTIKEL 6
Behandling är laglig om minst ett av följande villkor är uppfyllda:
• Den registrerade har lämnat samtycke
• Behandlingen är nödvändig för att fullgöra ett avtal gentemot den registrerade
• Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse för den personuppgiftsansvarige.
• Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person
• Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led I den
personuppgiftsansvariges myndighetsutövning
• Behandlingen är nödvändig för ändamål som berör den personuppgiftsansvariges eller en tredje parts berättigade intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när
den registrerade är ett barn.
29
SAMTYCKE ARTIKEL 7
Ett samtycke skall vara enkelt och tydligt utformat.
Samtycket skall dokumenteras och sparas. Ingen tvetydighet samtycket får förekomma.
När det gäller barns samtycke (artikel 8) har
förordningen skärpts i jämförelse med PUL. Det innebär att myndigheten skall fastställa en policy för när man skall begära samtycke från barn eller om vårdnadshavare skall lämna samtycket. (i Sverige 13 år)
Samtycket kan när som helst återkallas av den
KÄNSLIGA PERSONUPPGIFTER ARTIKEL 9
Det är förbjudet att behandla personuppgifter som avslöjar:
ras eller etniskt ursprung
politiska åsikter
religiös eller filosofisk övertygelse
medlemskap i fackförening
behandling av biometriska och genetiska uppgifter
hälsa
Sexualliv och sexuell läggning
31
UNDANTAG FRÅN FÖRBUDET, ARTIKEL 9
• Samtycke
• Behandlingen är nödvändig för att den
personuppgiftsansvarige skall kunna fullgöra sina skyldigheter
• Behandlingen är nödvändig för att skydda den
registrerades eller annans persons grundläggande intressen
• Behandlingar inom icke vinstdrivande organ förutsatt att
UNDANTAG FRÅN FÖRBUDET, FORTS.
• ett tydligt offentliggörande av den enskilde
• den registrerades eller annans vitala intressen skall kunna skyddas och samtycke inte kan inhämtas
• inom domstolsväsendet
• behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse
• behandlingen är nödvändig inom förebyggande hälso- och sjukvård och yrkesmedicin
• Behandlingen är nödvändig för arkivändamål av allmänt intresse
33
PERSONNUMMER (DATASKYDDSLAGEN)
Uppgifter om personnummer eller samordningsnummer får utan samtycke bara behandlas när det är klart motiverat med hänsyn till:
- Ändamålet med behandlingen - Vikten av en säker identifiering - Något annat beaktansvärt skäl
INFORMATION TILL DEN REGISTRERADE ARTIKEL 12-14
Personuppgiftsansvarige skall på ett tydligt och enkelt sätt informera den registrerade kring innehållet, villkor och
omfattningen av de uppgifter som registreras.
35
INFORMATION OCH TILLGÅNG TILL PERSONUPPGIFTER ARTIKEL 13
När personuppgifter samlas in från den registrerade skall personuppgiftsansvarige lämna följande information:
• Identitet och kontaktuppgifter för den personuppgiftsansvarige
• Kontaktuppgifter för dataskyddsombudet
• Ändamålen för behandlingen och vilken rättslig grund behandlingen sker
INFORMATION, FORTS.
• Vilka mottagare eller kategorier av mottagare som ska ta del av personuppgifterna
• Om personuppgifterna skall överföras till tredjeland eller internationell organisation
• Hur länge personuppgifterna kommer att lagras
• Information om rätt att begära rättelse eller radering av personuppgifter eller begränsning av behandling, invända mot behandling samt rätten till dataportalitet.
• Rätten att återkalla ett tidigare samtycke kring en personuppgiftsbehandling
37
INFORMATION, FORTS.
• Information om rätten att inge klagomål till en tillsynsmyndighet.
• Information om att insamlandet av personuppgifter bygger på ett lagstadgat eller avtalsenligt krav och skyldigheten för den registrerade att tillhandahålla dessa
personuppgifter.
• Information om förekomsten av automatiserat
beslutsfattande, inbegripet profilering samt en meningsfull information om logiken bakom samt betydelsen och de
INFORMATION, FORTS.
• Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det ursprungliga skall denne informera den registrerade om detta.
39
INFORMATION SOM SKALL GES OM
PERSONUPPGIFTER INTE ERHÅLLITS FRÅN DEN REGISTRERADE ARTIKEL 14
Se artikel 13 (i stort detsamma)
RÄTT FÖR DEN REGISTRERADE ATT FÅ TILLGÅNG TILL SINA PERSONUPPGIFTER ARTIKEL 12.3
Den registrerade har rätt att utan dröjsmål och inom en månad få del av de personuppgifter den
personuppgiftsansvarige har om denne.
Jmf PuL §26
41
RÄTTELSE ARTIKEL 16
Personuppgiftsansvarig skall utan dröjsmål rätta eller komplettera uppgifter utifrån den registrerades önskan
ANMÄLNINGSSKYLDIGHET OM MYNDIGHETEN FÖRÄNDRAR EN PERSONUPPGIFT
ARTIKEL 19
Personuppgiftsansvarig skall underrätta den som erhållit en personuppgift om det har skett en förändring (rättelse eller radering) av en personuppgift.
43
RÄTT TILL RADERING ARTIKEL 17
Den registrerade har rätt (med vissa lagstödda undantag) att kräva att personuppgiftsansvarig raderar dennes uppgifter Undantag: t.ex. rättslig skyldighet, myndighetsutövning m.m.
REGISTER ÖVER BEHANDLINGAR ARTIKEL 30
Den personuppgiftsansvarig skall föra ett register över behandlingar som utförs under dess ansvar. Registret ska innehålla samtliga följande uppgifter:
• Namn och kontaktuppgifter för den
personuppgiftsansvarige, den personuppgiftsansvariges företrädare samt dataskyddsombudet
• Ändamålet med behandlingen
• Beskrivning av kategorierna registrerade och kategorierna av personuppgifter
45
REGISTER, FORTS.
• Kategorier av mottagare som personuppgifterna har eller ska lämnas till
• Ev. överförande av personuppgifter till tredjeland
• Tidsfrister för radering av personuppgifterna
• Beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna som anges i artikel 32.1
PERSONUPPGIFTSBITRÄDES ANSVAR FÖR REGISTER ARTIKEL 30.2
*Personuppgiftsbiträdet skall skal föra ett register över alla kategorier av
behandlingar som utförs för den personuppgiftsansvariges räkning. Följande skal ingå:
• Namn och kontaktuppgifter för personuppgiftsbiträdet och för varje
personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar samt det egna dataskyddsombudet
• De kategorier av behandlingar som utförs för varje personuppgiftsansvarigs räkning
• Redovisning om personuppgifter överförts till tredje land
• Beskrivning av personuppgiftsbiträdets tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32.1
47
REGISTER, FORTS.
De register som ska föras av personuppgiftsansvarig och personuppgiftsbiträdet ska göras tillgängliga för
tillsynsmyndigheten.
SÄKERHET FÖR PERSONUPPGIFTER ARTIKEL 32
• Personuppgiftsansvarig och personuppgiftsbiträdet ska
vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen. Följande krav ställs:
- Förmåga att säkerställa konfidentialitet, integritet,
tillgänglighet och motståndskraft i behandlingsystemen.
- Förmåga att återställa tillgängligheten vid fysisk eller teknisk incident
- 49
SÄKERHET, FORTS.
- Förmåga att kontinuerligt testa systemens säkerhet
Varje personuppgiftsansvarig och personuppgiftsbiträde skall säkerställa att de personer som arbetar med
personuppgifterna följer de fastställda säkerhetskraven och instruktionerna.
Viktigt att arbeta med IT-säkerhet!
HANTERING AV E-POST
E-post till myndighet är normalt allmän handling och skall registreras alt. förvaras
.Det finns då en rättslig grund i TF att hantera e-post.
Utbilda personal i e-posthantering så att man dels följer TF:s regelverk för hantering av handlingar, dels följer GDPR:s regler kring försiktighet vid hantering av e-post.
Informera mottagare av e-post hur ni hanterar deras personuppgifter i e-post
51
ÅTGÄRDER VID DATAINTRÅNG ELLER TAPPAD
KONTROLL OVER INFORMATION-ARTIKEL 33 OCH 34
Personuppgiftsansvarig har ett krav att omedelbart och inom 72 timmar, informera den enskilde som berörs samt till
tillsynsmyndigheten (DI)
KARTLÄGG INTEGRITETSRISKER VID
PERSONUPPGIFTSBEHANLINGAR- ARTIKEL 35 Personuppgiftsansvarig skall göra en
konsekvensbedömning avseende dataskydd vid
behandling av personuppgifter som innebär integritetsrisker.
(kameraövervakning, genetiska register, inom sjukvården, inom äldreomsorgen etc)
Då man gjort en konsekvensbedömning för vissa känsliga behandlingar skall det anmälas till DI som skall göra en förhandskontroll och säkerställa att det är i enlighet med förordningens regler.
53
DATASKYDDSOMBUD- ARTIKEL 37-39
Den personuppgiftsansvarige och personuppgiftsbiträdet ska utse ett dataskyddsombud. I kommuner kan man utse en för hela kommunorganisationen el, flera kommuner.
Dataskyddsombudet har en tillsynsuppgift
Dataskyddsombudet skall ha rätt kvalifikationer för uppdraget
Dataskyddsombudet skall ha tillräckliga förutsättningar
Dataskyddsombudet får inte avsättas eller utsättas för
DEN PERSONUPPGIFTSANSVARIGES ANSVAR- ARTIKEL 24
Tydlig och fastställd organisation kring
dataskyddet och organiseringen av arbetet inom organisationen
55
NÄMNDEN/ STYRELSEN ANSVARAR FÖR ATT
• Personalen som behandlar personuppgifter har tillräcklig insikt och kunskap
• Det finns en instruktion till medhjälpare/ kontaktperson
• Det finns rutiner som tillgodoser dataskyddsförordningens krav på säkerhet
• Det finns rutiner för hur nya behandlingar skall hanteras
• Det finns rutiner för hur samtycke skall dokumenteras
•
VILKA ÅTGÄRDER SKA VIDTAS?
Fullmäktige skall se till att det framgår av resp. nämnds i reglemente att dessa är personuppgiftsansvariga
Information till förtroendevalda och utbildning av personal
Det skall utarbetas instruktioner kring hur det praktiska arbetet med personuppgifter skall hanteras
Ett dataskyddsombud ska utses
57
RÄTT TILL ERSÄTTNING VID FELAKTIG HANTERING ARTIKEL 81-84
• Varje person som lidit materiell eller immateriell skada till följd av överträdelser i denna förordning har rätt till
ersättning från den personuppgiftsansvarige.
• Den administrativa sanktionsavgiften kan uppgå till 20 miljoner EUR
Obs i dataskyddslagen är sanktionsavgiften i kommuner högst 5 mkr (10 mkr vid allvarliga överträdelser)
DATAINSPEKTIONENS ROLL
Sveriges tillsynsmyndighet
Genomför granskningar och tillsyn kring företags och myndigheters hantering av dataskyddsförordningen
Datainspektionen är den myndighet som påför sanktionsavgiften
59
KORT OM DEN NYA DATASKYDDSLAGEN
Denna kompletterar den europeiska dataskyddsförordningen.
• Avvikande bestämmelser i Svensk lag, tex. registerförfattningar, skall ha företräde i vissa situationer
• Förhållandet till våra grundlagar förändras inte
• Den svenska lagen har sänkt samtyckesåldern från 16 bår till 13 år vid erbjudande av informationssamhällets tjänster (sociala medier)
• Myndigheter får behandla känsliga personuppgifter med stöd av s.k.
myndighetsundantag
• Personnummer får under vissa förutsättningar behandlas om det krävs
KORT OM DEN NYA DATASKYDDSLAGEN, FORTS.
• Vissa beslut av personuppgiftsansvarig skall kunna överklagas till allmän förvaltningsdomstol
• Den registrerade kan begära skadestånd även vid överträdelser i dataskyddslagen och andra författningar som kompletterar
förordningen.
• Datainspektionen skall utöva tillsyn
• Datainspektionen skall behandla klagomål inom tre månader
• Sanktionsavgifter kan tas ut även av myndigheter som gör fel
61
KOMMUNALA WEBBSIDOR
PUL justerades 2007 när det gäller s.k. ostrukturerad text.
Det innebär att det är tillåtet att publicera kallelser, protokoll,
diarieförda allmänna och offentliga handlingar m.m. på myndighetens webbsidor. Man har då hänvisat till den s.k. missbruksregeln, som innebär att man får publicera protokoll m.m. på kommunens
webbplats.
Missbruksregels finns inte i GDPR eller i den svenska dataskyddslagen!
HUR GÖR MAN DÅ?
I kommunallagen finns en regel om elektroniska
anslagstavlor på kommunens webbplats (KL 8 kap 10-13
§§).
Där anges vad som skall och får läggas ut på den
elektroniska anslagstavlan. Där ingår kallelser till nämnd, styrelse och fullmäktige samt justerade protokoll för dessa.
Enligt SKL finns då en laglig grund att publicera dessa på kommunens webbplats. Dock med beaktande av
offentlighets- och sekretesslagens regler.
I övrigt gäller samtycke
63
GDPR I VARDAGEN
• Inventera och dokumentera samtliga behandlingar
• ”Ta bort” de behandlingar som är inaktuella
• Gå igenom alla IT system. Är de säkra?
• Utveckla vid behov kommunens IT- säkerhetspolicy
• Gå igenom alla avtal ni har med personuppgiftsbiträden
• Skriv vid behov nya avtal som säkerställer er gentemot era personuppgiftsbiträden
• Utbilda personalen
• Fastställ en ändamålsenlig organisation för integritetsskyddsarbetet
Gör vad du ska göra!
Säkerställ att det du gör är lagligt!
Dokumentera vad du gör!
65
TACK FÖR IDAG!
HÖR GÄRNA AV ER MED FRÅGOR OCH KOMMENTARER
Mina personuppgifter Hans Gåsste
hans@kommunutbildarns.se 070 666 68 24
www.kommunutbildarna.se