den nya dataskyddsförordningen (gdpr) · • nya dataskyddsförordningen (”gdpr”) •...
TRANSCRIPT
Marielle Eide, Associate lawyer
Advokatfirman Delphi
Den nya dataskyddsförordningen (GDPR)Åtta månader kvar, är ni redo?
Ny EU-lag för personuppgifter
• Nya dataskyddsförordningen (”GDPR”)
• Ersätter nuvarande PuL och gäller i hela EU
• De nya reglerna gäller från och med den 25 maj
2018
• Principer för en enhetlig tolkning i hela EU
2017-09-21 Nya dataskyddsförordningen 2
Sanktioner
• Företag riskerar böter upp till det högre
beloppet av 20.000.000 EUR eller 4 % av
koncernens globala omsättning
• Registrerade kan kräva skadestånd
• Även andra sanktioner, t.ex. förelägganden,
varning, m.m.
2017-09-21 Nya dataskyddsförordningen 3
2017-09-21 Nya dataskyddsförordningen 4
• Personuppgifter – varje uppgift varigenom en
fysisk person direkt eller indirekt kan
identifieras
• Såväl B2K som B2B – all data om individer
• Gäller allt ni gör med uppgifterna – all
behandling
• Gäller även krypterade uppgifter!
När gäller lagen?
2017-09-21 Nya dataskyddsförordningen 5
• Principerna bygger på nuvarande lag, men
också ett stort antal nyheter
• Krav på när personuppgifter får behandlas
• Ett stort antal andra regler om hur uppgifter
får behandlas och krav på rutiner och
processer
• Ska kunna visa att lagen följs
Förordningen i korthet
2017-09-21 Nya dataskyddsförordningen 6
• Den som själv eller tillsammans med andra
bestämmer ”ändamål och medel” med
behandlingen är personuppgiftsansvarig
• Ansvarar alltid självständigt för att lagen följs
• Ni – inte ert biträde (t.ex. IT-leverantör)
ansvarar för att lagen följs
Personuppgiftsansvarig
2017-09-21 Nya dataskyddsförordningen 7
• Den som behandlar personuppgifter för den
personuppgiftsansvariges räkning
• Typiska biträden: IT-leverantörer, IT-support,
molntjänstleverantörer
• Krav på skriftliga personuppgiftsbiträdesavtal
samt dokumenterade instruktioner över bl.a.
säkerhet
Personuppgiftsbiträde
2017-09-21
Personuppgiftsbiträdes-avtal
Personuppgifts-biträde
Personuppgifts-ansvarig
Individ
Nya dataskyddsförordningen 8
Är behandlingen laglig?
Grundläggande principer att följa, t.ex. gallring, tid
Speciella krav för känsliga uppgifter
Information till registrerade (personuppgifts-policy)
Säkerhet, rutiner för dataportabilitet, etc.
Avtal, dokumentation, rutiner, m.m.
Förbud att flytta uppgifter utanför EU
2017-09-21
”Integritetstrappan” – vilka regler gäller enligt lagen (exempel)?
Nya dataskyddsförordningen 9
Grundläggande principer (exempel)
• Uppgiftsminimering
– Inte hantera fler uppgifter än som krävs för ändamålet
• Lagringsminimering
– Uppgifter får inte sparas länge tid än nödvändigt
• Integritet och konfidentialitet
2017-09-21 Nya dataskyddsförordningen 10
När är behandling tillåten?
• Nödvändigt för att ett avtal med den
registrerade ska kunna fullgöras
• Nödvändigt fullgöra rättslig förpliktelse
• Skydda intressen av grundläggande betydelse
för registrerade eller annan fysisk person
• En arbetsuppgift av allmänt intresse ska kunna
utföras eller som ett led i myndighetsutövning
• Intresseavvägning
• Samtycke
2017-09-21 Nya dataskyddsförordningen 11
• Inventera alla era behandlingar
• Identifiera laglig grund - ändamål
• Säkerställ att de grundläggande rutinerna följs,
t.ex.:
– Inte fler uppgifter än nödvändigt
– Gallringsrutiner
– Rutiner för integritet och sekretess, t.ex.
behörighetsstyrning
2017-09-21
Åtgärder Laglighetsbedömning
Nya dataskyddsförordningen 12
Registrerades rättigheter
• Krav på att självmant ge information – policy
• Information ska ges efter begäran –
registerutdrag
• Rätt för registrerade att kräva rättelse,
begränsning eller radering
• ”Rätten att bli bortglömd”
• Hur säkerställer ni att detta kan ske i praktiken?
– IT-mässigt
– Rutiner
• Åtgärd: Uppdatera integritetspolicy samt se
över IT-system och rutiner
2017-09-21 Nya dataskyddsförordningen 13
Särskilt om säkerhetskraven i GDPR
14
• Ska ”vidta lämpliga tekniska och
organisatoriska åtgärder för att säkerställa
en säkerhetsnivå som är lämplig i
förhållande till risken”
• Åtgärderna ska vidtas med beaktande av
– Den senaste utvecklingen
– Genomförandekostnaderna
– Behandlingens art, omfattning och ändamål
– Riskerna
Utökade säkerhetskrav
2017-09-21 Nya dataskyddsförordningen 15
• Kan inbegripa t.ex.:
– Pseudonymisering och kryptering av
personuppgifter
– Förmågan att fortlöpande säkerställa
konfidentialitet och motståndskraft av de
system som behandlar uppgifterna och
– System för att testa effektiviteten hos åtgärder
som ska säkerställa behandlingens säkerhet
2017-09-21 Nya dataskyddsförordningen 16
Utökade säkerhetskrav
• Centralt att ha riskbaserad approach
• Vid bedömning av lämplig säkerhetsnivå ska
risk för följande särskilt beaktas:
– Oavsiktlig eller olaglig förstöring, förlust eller
ändring
– Obehörigt röjande av eller obehörig åtkomst
till personuppgifter
• = Ni måste göra bedömningen utifrån kraven
på de personuppgifter ni behandlar
• Att följa en uppförandekod eller en standard
kan användas för att visa att följer kraven
2017-09-21 Nya dataskyddsförordningen 17
Riskbaserad approach
Säkerhetskrav
Åtgärder: Säkerställ att IT- och säkerhetsansvariga har kompetens och resurser för att arbeta med
dataskydd. Se över era säkerhetsrutiner (såväl teknisk som organisatorisk, t.ex. NDA)
2017-09-21 Nya dataskyddsförordningen 18
Tekniska åtgärder
Organisatoriska åtgärder
Antivirus, auktorisationskrav,
behörighetsstyrning
Brandväggar och krypteringsfunktioner,
osv.
Instruktioner och Policies
Organisation och rutiner
Känsliga uppgifterSekretess
SpecialkravUppgifter om brott
osv.
Säkerhetsnivå i förhållande till risk
Förfarande för att kontinuerligt testa
• ”Inbyggd integritet”
• Säkerhets- och integritetsaspekter ska tas hänsyn
till redan vid planering och utveckling av IT-system
• De grundläggande principerna, t.ex. undvika
fritextfält, behörighet, standardinställningar för
lagring, m.m.
• Anpassa systemen efter vilka dataskyddskrav som
gäller för just ert företag och varje situation
• Kommissionen får fastställa förordningar om
tolkningen samt tekniska standarder
• Åtgärder: Inför rutiner för att ställa krav vid IT-
upphandlingar samt utbilda eventuella arkitekter
2017-09-21 Nya dataskyddsförordningen
Privacy by design
19
• Behörighet
• Uppgiftsminimering
• Anonymisera om möjligt, undvik peka ut individer
• Begränsa åtkomsten till uppgifterna
• Hög säkerhet
– Möjligheter till kryptering, säkerhetskopiering och loggar, säker utplåning
• Funktioner för autentisering
• Enkel möjlighet till gallring, automatisk och enkel radering av uppgifter som inte behövs
• Möjliggöra utelämnande av information till registrerade
• Minimera fritextfält
2017-09-21 Nya dataskyddsförordningen
Privacy by design – exempel
20
• ”Integritet som standard”
• Ska vidta lämpliga tekniska och organisatoriska
åtgärder för att, i standardfallet, säkerställa att
endast personuppgifter som är nödvändiga för
varje specifikt ändamål med behandlingen
behandlas.
• Skyldigheten avser:
– Mängden insamlade uppgifter
– Behandlingens omfattning
– Lagringstid
– Tillgänglighet
2017-09-21 Nya dataskyddsförordningen 21
Privacy by default
• Informera om ”personuppgiftsincident” utan
oskäligt dröjsmål
• Informera tillsynsmyndigheten
– Som huvudregel: Inom 72 timmar efter vetskap om
intrånget
• I vissa fall även informera varje registrerad
individ
• Biträden ska underrätta ansvarig utan onödigt
dröjsmål efter vetskap om incident
Informationskrav vid person-uppgiftsincident
2017-09-21 Nya dataskyddsförordningen 22
• Vilka system har ni?
• Hur uppfyller ni kraven i era egna system?
• Vilka leverantörer behöver ni kravställa mot?
• Hur kan vi uppfylla de grundläggande kraven i
våra system?
2017-09-21 Nya dataskyddsförordningen
→ Era IT-system
23
• Vem ansvarar?
• Vilken kompetens har ni internt?
• Rutiner för personuppgiftsincident?
• Vad kan göras för att undvika incidenter?
2017-09-21 Nya dataskyddsförordningen 24
→ Hur hanterar ni säkerhetskrav?
• Laglighet, korrekthet och öppenhet
• Ändamålsbegränsning
• Uppgiftsminimering
• Korrekthet
• Lagringsminimering
• Integritet och konfidentialitet – åtkomstkontroll
• De registrerades rättigheter
– Rätt bli raderad
– Rätt få registerutdrag
– Rätt till rättelse
2017-09-21 Nya dataskyddsförordningen 25
→Hur kan ni uppfylla de grundläggande kriterierna?
Exempel på andra regler
• Individer ska lättare kunna få ut och överföra
uppgifter från en personuppgiftsansvarig till en
annan (från ett företag till ett annat)
• Gäller när grunden för behandlingen är
samtycke eller avtal och behandlingen sker
automatiserat
• Den ansvarige ska tillhandahålla uppgifterna i
” i ett strukturerat, allmänt använt och
maskinläsbart format”
• → Åtgärd: Kommer ni rent praktiskt sannolikt
träffas av denna skyldighet? Hur säkerställer vi i
sådant fall rutiner?
Nya dataskyddsförordningen
”Dataportabilitet” – underlätta att flytta uppgifter mellan olika leverantörer
2017-09-21 27
• Lagen uppmuntrar utarbetandet av uppförandekoder
• Sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller
personuppgiftsbiträden får utarbeta uppförandekoder som ges in till tillsynsmyndigheten
• Åtgärd: Överväg om ni bör arbeta för en uppförandekod i er bransch
2017-09-21 Nya dataskyddsförordningen
Uppförandekoder – specifik tolkning av lagen?
28
• Förordningen ger möjlighet till certifiering - att
personuppgiftsbehandling är i enlighet med
förordningen
• För detta krävs ackrediterat certifieringsorgan
(finns ej idag)
• Dataskyddsstyrelsen ska samla alla
certifieringsmekanismer i ett offentligt register
• Idag finns alltså ingen möjlighet till certifiering
Certifiering
Nya dataskyddsförordningen2017-09-21 29
Konsekvenser och hur ska vi arbeta med lagen?
Konsekvenser av lagen
• Dataskydd blir en (lednings)fråga
• Viktigare att följa lagen
• Integritetsfrågorna får mer uppmärksamhet
och kräver resurser, organisation och budget
• Ökat fokus på förebyggande åtgärder och
dokumentation
• System och databaser kan bli olagliga
Nya dataskyddsförordningen2017-09-21 31
2017-09-21 Nya dataskyddsförordningen
• Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv.Juridisk genomgång
• Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policyer för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv.
Juridiska dokument/ policyer
• Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv.Tekniska åtgärder
• Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisation
• Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv.
Organisatoriska åtgärder - rutiner
32
• Budgetera och planera, skapa medvetenhet internt
om de nya reglerna och undersök nuvarande status
• Efterlevnadsprojekt
– Säkerställ laglig behandling
– Fördela ansvar och sätt organisation
– Juridiska dokument, avtal och policys
– IT-åtgärder, inklusive IT-säkerhet
– Organisatoriska åtgärder
• Utbilda din organisation om privacy by design
• Tillämpa krav på dataskydd och integritet i IT-
upphandlingar
• Uppdatera personuppgiftsbiträdesavtal och IT-
policies
33
Hur kan vi förbereda oss?
New General Data Protection Regulation
• Ha en intern projektledare och ev. även en
inhyrd
• Lägg mycket tid i början på att identifiera rätt
personer som ska delta
• Lägg stor vikt vid planeringsstadiet
• Diskutera ambitionsnivå av compliance –
riskapproach
• Börja nu!
2017-09-21 Nya dataskyddsförordningen
Tips för ett lyckat efterlevnadsprojekt
34
• Identifiera behandlingar och system
– Laglig grund för behandlingen
• Identifiera tredjeparter
• Mappa vilka legala enheter i koncernen som är
personuppgiftsansvariga och biträden
• Vilka juridiska dokument, rutiner och
samtycken finns idag?
• Identifiera brister och områden att hantera
inför att förordningen träder i kraft
2017-09-21 Nya dataskyddsförordningen
Nulägesanalys (”Gap analysis”)
35
• Hur säkerställa ett effektivt efterlevnadssystem
(”Data Protection Management System”)?
– Säkerställ att behandlingen är laglig
– Sätt ansvar och organisation
– Uppdatera juridiska dokument, avtal, samtycken
och policyer
– IT- och säkerhetsåtgärder
– Organisatoriska åtgärder och rutiner –
accountability
2017-09-21 Nya dataskyddsförordningen
Efterlevnadsprojekt
36
• Behöver vi ett dataskyddsombud? Vem är annars
högst ansvarig?
• Olika kompetens – informationssäkerhet,
projektledning och juridik
• Vad är en lämplig organisering för er?
– Lands eller bolagsvis: Lokala kontaktpersoner
– Områdesvis:
HR/Kunddata/Leverantörsdata/Marknad/Kundklubb
• Ansvar över olika system/behandlingar
• Rapportordningar och arbetsbeskrivningar
• Övervakning av efterlevnad (internt/externt)
2017-09-21 Nya dataskyddsförordningen
Sätt ansvar och organisation
37
• Personuppgiftsbiträdesavtal och ev. underbiträdesavtal
• Information till registrerade (personuppgiftspolicy)
• Samtyckestexter
• Mall och rutiner för konsekvensbedömning
• Ev. dokumentation/avtal för överföring till tredje land
• Rutiner och dokumentation för incidenthantering
• Rutiner inför upphandling
• Interna policyer för behandlingen, lagrings- och gallringsrutiner
2017-09-21 Nya dataskyddsförordningen
Juridisk dokumentation/policyer (exempel)
38
• Säkerhetskrav – är de tillräckliga utifrån de krav
som ställs i lag och med hänsyn till vilka
uppgifter det rör sig om?
• Börja tillämpa inbyggd integritet (privacy by
design) vid egen utveckling
• Tekniska rutiner för gallring,
behörighetsstyrning, autentisering
• Tekniska rutiner för att undvika
personuppgiftsincidenter
2017-09-21 Nya dataskyddsförordningen
IT- och säkerhetsåtgärder (exempel)
39
• Utbildningsrutiner (och rutiner för att övervaka att utbildning genomförts)
• Utelämnande av information
• Dokumentationsrutiner
• Samtycken checklistor
• Register över behandling
• Rutiner för anmälan av personuppgiftsincident
• Konsekvensbedömning vid ny behandling
• Rutiner vid upphandlingar
• Contract management
• Sekretessavtal
• Med mera..
2017-09-21 Nya dataskyddsförordningen
Organisatoriska åtgärder och rutiner
40
Lycka till och kör hårt!
2017-09-19 Nya dataskyddsförordningen 41
Marielle Eide / Associate lawyer
Telefon: 0709-25 26 13
Advokatfirman Delphi / Östra Hamngatan 29 / 411 10 Göteborg / Sweden
Tel: + 46 (0)31 10 72 00 / Fax: +46 (0)31 13 94 69 / delphi.se
2017-09-21 Nya dataskyddsförordningen 42