Gör vad du ska göra! Säkerställ att det du gör är lagligt! Dokumentera vad du gör!

(1)

1

(2)

Gör vad du ska göra!

Säkerställ att det du gör är lagligt!

Dokumentera vad du gör!

(3)

INLEDNING

Sedan den 25 maj 2018 gäller den Europeiska unionens dataskyddsförordning (GDPR)

Den svenska dataskyddslagen trädde i kraft samma dag. (kompletterande nationella

bestämmelser till GDPR)

3

(4)

DATASKSYDDSFÖRORDNINGENS SYFTE ARTIKEL 1.1-3

Syftet med förordningen är att skydda personer så att deras integritet inte kränks när vi behandlar

personuppgifter.

Dessutom har man skapat ett gemensamt

regelverk som inte skall hindra det fria flödet av

personuppgifter inom EU.

(5)

LITE BAKGRUND

 GDPR ”bygger” i stort sätt på den nu borttagna svenska personuppgiftslagen

 Vad gäller nu, vad kommer att gälla och hur skall jag förbereda mig?

5

(6)

DE STÖRSTA FÖRÄNDRINGARNA!

Förordningen består av 99 artiklar (motsvarar paragrafer). Det är en lag som gäller för alla medlemmar i Europeiska unionen.

Respektive medlemsstat får fastställa ytterligare nationella regler för att komplettera förordningen.

(Dataskyddslagen i Sverige)

.

(7)

TRE VIKTIGA GRUNDLÄGGANDE DELAR I FÖRORDNINGEN

 Den personuppgiftsansvariges ( respektive

nämnd/kommunalt bolag) ansvar stärks och förtydligas

 Den enskildes rätt utökas

 Kraftfulla sanktionsavgifter vid felaktig hantering

7

(8)

BAKGRUND TILL PUL OCH

DATASKYDDSFÖRORDNINGEN

 Utvecklingen av Internet har inneburit att personanknuten information har ökat!

 Effektiva metoder för insamling och bearbetning av digitala personuppgifter!

 E-handeln i och utanför europa har ökat dramatiskt

 Sociala medier!

 Internationalisering

(9)

VIKTIGA DEFINITIONER I DATASKYDDS- FÖRORDNINGEN ARTIKEL 4

Den registrerade

9

(10)

DEFINITIONER, FORTS.

Personuppgift

Varje upplysning som avser en identifierad eller identifierbar fysisk person. Tex personnummer,

namn, registreringsnummer, fastighetsbeteckning,

anställningsnummer, bild, DNA m.m, m.m.

(11)

Behandling

Varje åtgärd eller kombination av åtgärder beträffande personuppgifter, manuellt eller automatiskt, såsom insamling, bearbetning, organisering, lagring, ändring m.m.

I kommuner behandlar vi många personuppgifter!

11

(12)

Personuppgiftsansvarig

En fysisk eller juridisk person som bestämmer ändamålen och medlen för behandling av

personuppgifter.

I kommuner är respektive nämnd/myndighet

personuppgiftsansvarig.

(13)

Personuppgiftsbiträde

En fysisk eller juridisk person som behandlar

personuppgifter för den personuppgiftsansvariges räkning. Externa leverantörer av

verksamhetssystem t.ex inom skolan, socialtjänst, ekonomi, företagshälsovård, m.m.

Mottagare

Den fysiska eller juridiska person som till vilken personuppgifter utlämnas

13

(14)

Personuppgiftskontaktperson/medhjälpare Den person som på uppdrag av

personuppgiftsansvarig praktiskt skall hantera frågor

kring dataskyddsförordningen.

(15)

Begränsning av behandling (artikel 25) Markering och borttagning av lagrade

personuppgifter med syftet att dessa inte skall kunna behandlas i framtiden. Minimering av uppgiftsinsamlande privacy by design och )

privacy by default)

Profilering (artikel 22)

Automatisk behandling av personuppgifter i syfte att skapa en bild av den registrerades specifika

egenskaper och preferenser (algoritmer)

15

(16)

Pseudonymisering

Behandling av personuppgifter på ett sätt så att det inte går att tillskriva en specifik person dessa

personuppgifter. ( ”nyckeln” skall vara inlåst!)

Ex. sjukvård, äldreomsorg

(17)

Register

En strukturerad samling av personuppgifter.

Ex. barnomsorgskö, hyresgästregister,

personalregister, leverantörsregister, diariet m.fl

17

(18)

Samtycke av den registrerade

Varje slag av frivillig och otvetydig viljeyttring där

den registrerade godtar och bekräftar en behandling

av personuppgifter som berör denne.

(19)

DEFINITIONER, FORTS,

Personuppgiftsincident

En säkerhetsincident som leder till en oavsiktlig eller olaglig förlust, förstöring, ändring, eller till röjande av personuppgifter.

Ex. dataintrång, hårddiskkrasch, kapning av identitet

19

(20)

Genetiska uppgifter

Alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller

nedärvda hälsa

Biometriska uppgifter

Personuppgifter som erhållits genom särskild teknisk bearbetning om en fysisk person. Tex fingeravtryck, ansiktsbilder, DNA

(21)

Uppgifter om hälsa

Personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso och sjukvårdstjänster, vilken ger information om dennes

hälsostatus

21

(22)

Tillsynsmyndighet

En oberoende offentlig myndighet som är utsedd av en medlemsstat. I Sverige

Datainspektionen.

(23)

Personuppgiftsansvarig skall föra register över alla behandlingar, artikel 30 1-5

Varje personuppgiftsansvarig skall föra ett register över behandlingar som utförs under des ansvar

23

(24)

DEFINITIONER FORTS.

Personuppgiftsbiträdet skall också för register över samtliga behandlingar de gör, åt

persouppgiftsansvarig

artikel 30,2

(25)

Dataskyddsombud, artikel 37-39

Den personuppgiftsansvarige i offentligt organ och personuppgiftsbiträden ska utse ett

dataskyddsombud.

25

(26)

GRUNDLÄGGANDE KRAV FÖR BEHANDLING AV PERSONUPPGIFTER ARTIKEL 5

Vid behandling av personuppgifter skall följande gälla:

• Uppgifterna skall behandlas på ett lagligt och korrekt sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet)

• De skall samlas in för särskilda, uttryckligt angivna

ändamål och inte senare behandlas på ett sätt som är oförenliga med dessa angivna ändamål.

(27)

GRUNDLÄGGANDE KRAV FÖR BEHANDLING AV PERSONUPPGIFTER, FORTS.

• De skall vara korrekta och om nödvändigt uppdaterade.

Alla rimliga åtgärder skall vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de

ändamål för vilka de behandlas raderas, eller rättas utan dröjsmål (korrekthet)

• Personuppgifter får inte förvaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med

behandlingen. (lagringsminimering)

27

(28)

NÄR ÄR BEHANDLING TILLÅTEN? ARTIKEL 6

Behandling är laglig om minst ett av följande villkor är uppfyllda:

• Den registrerade har lämnat samtycke

• Behandlingen är nödvändig för att fullgöra ett avtal gentemot den registrerade

• Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse för den personuppgiftsansvarige.

(29)

• Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person

• Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led I den

personuppgiftsansvariges myndighetsutövning

• Behandlingen är nödvändig för ändamål som berör den personuppgiftsansvariges eller en tredje parts berättigade intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när

den registrerade är ett barn.

29

(30)

SAMTYCKE ARTIKEL 7

 Ett samtycke skall vara enkelt och tydligt utformat.

Samtycket skall dokumenteras och sparas. Ingen tvetydighet samtycket får förekomma.

 När det gäller barns samtycke (artikel 8) har

förordningen skärpts i jämförelse med PUL. Det innebär att myndigheten skall fastställa en policy för när man skall begära samtycke från barn eller om vårdnadshavare skall lämna samtycket. (i Sverige 13 år)

 Samtycket kan när som helst återkallas av den

(31)

KÄNSLIGA PERSONUPPGIFTER ARTIKEL 9

Det är förbjudet att behandla personuppgifter som avslöjar:

 ras eller etniskt ursprung

 politiska åsikter

 religiös eller filosofisk övertygelse

 medlemskap i fackförening

 behandling av biometriska och genetiska uppgifter

 hälsa

 Sexualliv och sexuell läggning

31

(32)

UNDANTAG FRÅN FÖRBUDET, ARTIKEL 9

• Samtycke

• Behandlingen är nödvändig för att den

personuppgiftsansvarige skall kunna fullgöra sina skyldigheter

• Behandlingen är nödvändig för att skydda den

registrerades eller annans persons grundläggande intressen

• Behandlingar inom icke vinstdrivande organ förutsatt att

(33)

UNDANTAG FRÅN FÖRBUDET, FORTS.

• ett tydligt offentliggörande av den enskilde

• den registrerades eller annans vitala intressen skall kunna skyddas och samtycke inte kan inhämtas

• inom domstolsväsendet

• behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse

• behandlingen är nödvändig inom förebyggande hälso- och sjukvård och yrkesmedicin

• Behandlingen är nödvändig för arkivändamål av allmänt intresse

33

(34)

PERSONNUMMER (DATASKYDDSLAGEN)

 Uppgifter om personnummer eller samordningsnummer får utan samtycke bara behandlas när det är klart motiverat med hänsyn till:

- Ändamålet med behandlingen - Vikten av en säker identifiering - Något annat beaktansvärt skäl

(35)

INFORMATION TILL DEN REGISTRERADE ARTIKEL 12-14

Personuppgiftsansvarige skall på ett tydligt och enkelt sätt informera den registrerade kring innehållet, villkor och

omfattningen av de uppgifter som registreras.

35

(36)

INFORMATION OCH TILLGÅNG TILL PERSONUPPGIFTER ARTIKEL 13

När personuppgifter samlas in från den registrerade skall personuppgiftsansvarige lämna följande information:

• Identitet och kontaktuppgifter för den personuppgiftsansvarige

• Kontaktuppgifter för dataskyddsombudet

• Ändamålen för behandlingen och vilken rättslig grund behandlingen sker

(37)

INFORMATION, FORTS.

• Vilka mottagare eller kategorier av mottagare som ska ta del av personuppgifterna

• Om personuppgifterna skall överföras till tredjeland eller internationell organisation

• Hur länge personuppgifterna kommer att lagras

• Information om rätt att begära rättelse eller radering av personuppgifter eller begränsning av behandling, invända mot behandling samt rätten till dataportalitet.

• Rätten att återkalla ett tidigare samtycke kring en personuppgiftsbehandling

37

(38)

• Information om rätten att inge klagomål till en tillsynsmyndighet.

• Information om att insamlandet av personuppgifter bygger på ett lagstadgat eller avtalsenligt krav och skyldigheten för den registrerade att tillhandahålla dessa

personuppgifter.

• Information om förekomsten av automatiserat

beslutsfattande, inbegripet profilering samt en meningsfull information om logiken bakom samt betydelsen och de

(39)

• Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det ursprungliga skall denne informera den registrerade om detta.

39

(40)

INFORMATION SOM SKALL GES OM

PERSONUPPGIFTER INTE ERHÅLLITS FRÅN DEN REGISTRERADE ARTIKEL 14

Se artikel 13 (i stort detsamma)

(41)

RÄTT FÖR DEN REGISTRERADE ATT FÅ TILLGÅNG TILL SINA PERSONUPPGIFTER ARTIKEL 12.3

Den registrerade har rätt att utan dröjsmål och inom en månad få del av de personuppgifter den

personuppgiftsansvarige har om denne.

Jmf PuL §26

41

(42)

RÄTTELSE ARTIKEL 16

Personuppgiftsansvarig skall utan dröjsmål rätta eller komplettera uppgifter utifrån den registrerades önskan

(43)

ANMÄLNINGSSKYLDIGHET OM MYNDIGHETEN FÖRÄNDRAR EN PERSONUPPGIFT

ARTIKEL 19

Personuppgiftsansvarig skall underrätta den som erhållit en personuppgift om det har skett en förändring (rättelse eller radering) av en personuppgift.

43

(44)

RÄTT TILL RADERING ARTIKEL 17

Den registrerade har rätt (med vissa lagstödda undantag) att kräva att personuppgiftsansvarig raderar dennes uppgifter Undantag: t.ex. rättslig skyldighet, myndighetsutövning m.m.

(45)

REGISTER ÖVER BEHANDLINGAR ARTIKEL 30

Den personuppgiftsansvarig skall föra ett register över behandlingar som utförs under dess ansvar. Registret ska innehålla samtliga följande uppgifter:

• Namn och kontaktuppgifter för den

personuppgiftsansvarige, den personuppgiftsansvariges företrädare samt dataskyddsombudet

• Ändamålet med behandlingen

• Beskrivning av kategorierna registrerade och kategorierna av personuppgifter

45

(46)

REGISTER, FORTS.

• Kategorier av mottagare som personuppgifterna har eller ska lämnas till

• Ev. överförande av personuppgifter till tredjeland

• Tidsfrister för radering av personuppgifterna

• Beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna som anges i artikel 32.1

(47)

PERSONUPPGIFTSBITRÄDES ANSVAR FÖR REGISTER ARTIKEL 30.2

*Personuppgiftsbiträdet skall skal föra ett register över alla kategorier av

behandlingar som utförs för den personuppgiftsansvariges räkning. Följande skal ingå:

• Namn och kontaktuppgifter för personuppgiftsbiträdet och för varje

personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar samt det egna dataskyddsombudet

• De kategorier av behandlingar som utförs för varje personuppgiftsansvarigs räkning

• Redovisning om personuppgifter överförts till tredje land

• Beskrivning av personuppgiftsbiträdets tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32.1

47

(48)

REGISTER, FORTS.

De register som ska föras av personuppgiftsansvarig och personuppgiftsbiträdet ska göras tillgängliga för

tillsynsmyndigheten.

(49)

SÄKERHET FÖR PERSONUPPGIFTER ARTIKEL 32

• Personuppgiftsansvarig och personuppgiftsbiträdet ska

vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen. Följande krav ställs:

- Förmåga att säkerställa konfidentialitet, integritet,

tillgänglighet och motståndskraft i behandlingsystemen.

- Förmåga att återställa tillgängligheten vid fysisk eller teknisk incident

- ₄₉

(50)

SÄKERHET, FORTS.

- Förmåga att kontinuerligt testa systemens säkerhet

Varje personuppgiftsansvarig och personuppgiftsbiträde skall säkerställa att de personer som arbetar med

personuppgifterna följer de fastställda säkerhetskraven och instruktionerna.

Viktigt att arbeta med IT-säkerhet!

(51)

HANTERING AV E-POST

E-post till myndighet är normalt allmän handling och skall registreras alt. förvaras

^.

Det finns då en rättslig grund i TF att hantera e-post.

Utbilda personal i e-posthantering så att man dels följer TF:s regelverk för hantering av handlingar, dels följer GDPR:s regler kring försiktighet vid hantering av e-post.

Informera mottagare av e-post hur ni hanterar deras personuppgifter i e-post

51

(52)

ÅTGÄRDER VID DATAINTRÅNG ELLER TAPPAD

KONTROLL OVER INFORMATION-ARTIKEL 33 OCH 34

Personuppgiftsansvarig har ett krav att omedelbart och inom 72 timmar, informera den enskilde som berörs samt till

tillsynsmyndigheten (DI)

(53)

KARTLÄGG INTEGRITETSRISKER VID

PERSONUPPGIFTSBEHANLINGAR- ARTIKEL 35 Personuppgiftsansvarig skall göra en

konsekvensbedömning avseende dataskydd vid

behandling av personuppgifter som innebär integritetsrisker.

(kameraövervakning, genetiska register, inom sjukvården, inom äldreomsorgen etc)

Då man gjort en konsekvensbedömning för vissa känsliga behandlingar skall det anmälas till DI som skall göra en förhandskontroll och säkerställa att det är i enlighet med förordningens regler.

53

(54)

DATASKYDDSOMBUD- ARTIKEL 37-39

 Den personuppgiftsansvarige och personuppgiftsbiträdet ska utse ett dataskyddsombud. I kommuner kan man utse en för hela kommunorganisationen el, flera kommuner.

 Dataskyddsombudet har en tillsynsuppgift

 Dataskyddsombudet skall ha rätt kvalifikationer för uppdraget

 Dataskyddsombudet skall ha tillräckliga förutsättningar

 Dataskyddsombudet får inte avsättas eller utsättas för

(55)

DEN PERSONUPPGIFTSANSVARIGES ANSVAR- ARTIKEL 24

Tydlig och fastställd organisation kring

dataskyddet och organiseringen av arbetet inom organisationen

55

(56)

NÄMNDEN/ STYRELSEN ANSVARAR FÖR ATT

• Personalen som behandlar personuppgifter har tillräcklig insikt och kunskap

• Det finns en instruktion till medhjälpare/ kontaktperson

• Det finns rutiner som tillgodoser dataskyddsförordningens krav på säkerhet

• Det finns rutiner för hur nya behandlingar skall hanteras

• Det finns rutiner för hur samtycke skall dokumenteras

•

(57)

VILKA ÅTGÄRDER SKA VIDTAS?

 Fullmäktige skall se till att det framgår av resp. nämnds i reglemente att dessa är personuppgiftsansvariga

 Information till förtroendevalda och utbildning av personal

 Det skall utarbetas instruktioner kring hur det praktiska arbetet med personuppgifter skall hanteras

 Ett dataskyddsombud ska utses

57

(58)

RÄTT TILL ERSÄTTNING VID FELAKTIG HANTERING ARTIKEL 81-84

• Varje person som lidit materiell eller immateriell skada till följd av överträdelser i denna förordning har rätt till

ersättning från den personuppgiftsansvarige.

• Den administrativa sanktionsavgiften kan uppgå till 20 miljoner EUR

Obs i dataskyddslagen är sanktionsavgiften i kommuner högst 5 mkr (10 mkr vid allvarliga överträdelser)

(59)

DATAINSPEKTIONENS ROLL

 Sveriges tillsynsmyndighet

 Genomför granskningar och tillsyn kring företags och myndigheters hantering av dataskyddsförordningen

 Datainspektionen är den myndighet som påför sanktionsavgiften

59

(60)

KORT OM DEN NYA DATASKYDDSLAGEN

Denna kompletterar den europeiska dataskyddsförordningen.

• Avvikande bestämmelser i Svensk lag, tex. registerförfattningar, skall ha företräde i vissa situationer

• Förhållandet till våra grundlagar förändras inte

• Den svenska lagen har sänkt samtyckesåldern från 16 bår till 13 år vid erbjudande av informationssamhällets tjänster (sociala medier)

• Myndigheter får behandla känsliga personuppgifter med stöd av s.k.

myndighetsundantag

• Personnummer får under vissa förutsättningar behandlas om det krävs

(61)

KORT OM DEN NYA DATASKYDDSLAGEN, FORTS.

• Vissa beslut av personuppgiftsansvarig skall kunna överklagas till allmän förvaltningsdomstol

• Den registrerade kan begära skadestånd även vid överträdelser i dataskyddslagen och andra författningar som kompletterar

förordningen.

• Datainspektionen skall utöva tillsyn

• Datainspektionen skall behandla klagomål inom tre månader

• Sanktionsavgifter kan tas ut även av myndigheter som gör fel

61

(62)

KOMMUNALA WEBBSIDOR

 PUL justerades 2007 när det gäller s.k. ostrukturerad text.

Det innebär att det är tillåtet att publicera kallelser, protokoll,

diarieförda allmänna och offentliga handlingar m.m. på myndighetens webbsidor. Man har då hänvisat till den s.k. missbruksregeln, som innebär att man får publicera protokoll m.m. på kommunens

webbplats.

Missbruksregels finns inte i GDPR eller i den svenska dataskyddslagen!

(63)

HUR GÖR MAN DÅ?

I kommunallagen finns en regel om elektroniska

anslagstavlor på kommunens webbplats (KL 8 kap 10-13

§§).

Där anges vad som skall och får läggas ut på den

elektroniska anslagstavlan. Där ingår kallelser till nämnd, styrelse och fullmäktige samt justerade protokoll för dessa.

Enligt SKL finns då en laglig grund att publicera dessa på kommunens webbplats. Dock med beaktande av

offentlighets- och sekretesslagens regler.

I övrigt gäller samtycke

63

(64)

GDPR I VARDAGEN

• Inventera och dokumentera samtliga behandlingar

• ”Ta bort” de behandlingar som är inaktuella

• Gå igenom alla IT system. Är de säkra?

• Utveckla vid behov kommunens IT- säkerhetspolicy

• Gå igenom alla avtal ni har med personuppgiftsbiträden

• Skriv vid behov nya avtal som säkerställer er gentemot era personuppgiftsbiträden

• Utbilda personalen

• Fastställ en ändamålsenlig organisation för integritetsskyddsarbetet

(65)