frukostseminarium om datainspektionens tillsynsarbete 2014-03-05
DESCRIPTION
Presentation från Transcendent Groups frukostseminarium på Rigoletto den 5 mars 2014: I takt med den tekniska utvecklingen riktas ett allt större fokus mot data- och integritetsskydd vid hantering av personuppgifter. Samtidigt blir det svårare och svårare för organisationer att överblicka det växande flödet av personuppgifter. Datainspektionen är den myndighet som genom sin tillsynsverksamhet ska säkerställa att behandlingen av personuppgifter sker i enlighet med personuppgiftslagen. Vad har Datainspektionen för tillsynsbefogenheter i dagsläget? Vad kan du vänta dig vid ett eventuellt tillsynsbesök och hur bör du förbereda dig? Det finns just nu ett EU-förslag till en ny dataskyddsförordning som planeras ersätta personuppgiftslagen inom de närmaste åren. Förordningen är ännu på förslagsstadiet men det finns en poäng i att hålla sig informerad om vad som kan väntas framöver. Vi går igenom de viktigaste nyheterna och aktuell status. Ämne: Vad händer när Datainspektionen kommer på besök? Talare: Magnus Bergström, Datainspektionen Magnus Bergström är IT-säkerhetsspecialist på Datainspektionen. Magnus kommer att berätta om Datainspektionens befogenheter och vad som händer när myndigheten gör en inspektion. Magnus har mångårig erfarenhet av tillsyn kring efterlevnad av personuppgiftslagen. Ämne: Iakttagelser från Datainspektionens praxis Talare: Terhi Edstam, Transcendent Group Terhi Edstam är jurist och jobbar som konsult inom financial services på Transcendent Group. Personuppgiftslagen är ett område som ofta ingår i en compliance officers ansvarsområde hos ett finansiellt bolag. Terhi kommer att diskutera de slutsatser som kan dras av Datainspektionens praxis avseende hantering och skydd av personuppgifter inom just finansiella bolag. Terhi har lång erfarenhet av compliancearbete, både från linjeroll som compliance officer och som konsult. Ämne: Vad är status för förslaget till ny dataskyddförordning och vilka krav kommer förordningen ställa på organisationer som hanterar personuppgifter? Talare: Per Lundevall, Transcendent Group Per Lundevall är informationssäkerhetskonsult på Transcendent Group. Per kommer att berätta om förslaget till kommande EU-förordning för skydd av personuppgifter, så att du och din verksamhet är väl förberedda när beslutet fattas inom EU. Per har mångårig erfarenhet av rådgivning, åtgärder och efterlevnad inom området dataskydd.TRANSCRIPT
Frukostseminarium om Datainspektionens tillsynsarbete Rigoletto den 5 mars 2014
Inspektioner i praktiken
Magnus Bergström
IT-säkerhetsspecialist
www.datainspektionen.se
tillsynsmyndighet enligt personuppgiftslagen (PuL)
TUT: tillgång, uppgifter och tillträde (43 §)
otillräckligt underlag enbart lagring (44 §)
påpekanden enbart lagring (45 §)
säkerhetsåtgärder i enskilda fall vite (32, 45 §§)
begäran hos domstol om utplåning (47 §)
Datainspektionens befogenheter
2014-03-05
PuL på tre minuter
grundläggande krav
tillåten behandling
känsliga uppgifter
personnummer
information
säkerhet
9 §
10 §
13-21 §§
22 §
23-27 §§
30-32 §§
2014-03-05
tredje land 33-35 §§
Tillsynsverksamheten i stort Tre olika varianter:
fältinspektioner – ”på plats”-besök (praktik) skrivbordstillsyn – frågor brevledes (teori) enkäter – oftast i form av skrivbordstillsyn
”Strategisk” tillsyn eller ”på förekommen anledning”
Dock alltid ex officio
Sekretess? Finns, men inte gentemot oss…
2014-03-05
Inspektion – hur går det till?
Initial kontakt (vanligtvis via personuppgiftsombud)
Vad vill Datainspektionen veta? Vilka behöver vara med? När kan vi träffas?
Tillsynsskrivelse/bekräftelse
Inspektion protokoll (+ ev. kompletterande frågor) kommunikation (möjlighet till synpunkter)
Beslut
2014-03-05
Beslutsmening(ar):
Ärendet avslutas (+ eventuell uppföljning) Konstaterar att… (någon brist) Förutsätter att X… (åtgärdar bristen) Förelägger X att… (åtgärda bristen) Meddelar följande säkerhetsföreskrift…
Redogörelse för tillsynsärendet
Skäl, det vill säga de rättsliga grunderna för beslutet
(eventuell) besvärshänvisning
Beslut och beslutsformalia
2014-03-05
Besvär?
Ett myndighetsbeslut träder i kraft när det meddelas (offentlig aktör) eller når den det berör (privat aktör).
Kan (oftast) överklagas.
Rättidsprövning.
Överlämnas skyndsamt till förvaltningsrätten (om myndigheten inte självmant ändrar beslutet).
Process dom eventuellt högre instans…
Domen vinner laga kraft.
2014-03-05
PuL inom finansiella företag – iakttagelser av en compliance officer Terhi Edstam
Är PuL ett regelverk som compliance ska ansvara för inom finansiella företag?
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Röst från branschen
”Min uppfattning är att det helst bör vara den funktion inom bolaget som har bäst kunskap om, eller som i vart fall har lättast att få tillgång till, de personuppgifter som hanteras inom bolagets system. Hos oss ligger ansvaret därför inom juridikavdelningen.”
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Röst från branschen
”Vår erfarenhet är att PuL-ansvaret bör ligga hos compliance och inte hos legal. Det ingår i compliancefunktionens ansvar att förebygga, monitorera och rapportera regelefterlevnadsrisker. Legal kan ha en roll där de vid behov kan bistå vid regeltolkning men de arbetar inte med risker på samma sätt som vi gör på compliance. Därför anser vi att det är mer lämpligt att ansvaret ligger hos compliance.”
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
PuL-ansvaret idag och framöver?
• Enligt de nuvarande reglerna är det frivilligt att ha ett personuppgiftsombud.
• Enligt Datainspektionen finns det idag 3800 personuppgiftsombud i Sverige.
• Olika funktioner kan vara ansvariga för PuL – lägg ansvaret där det bäst kan tas om hand.
• Ändringar väntas avseende frivilligheten att utse
personuppgiftsombud
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Höjd ribba för finansiella företag?
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Integritetskänsliga uppgifter
• Uppgifter om personliga förhållanden är inom bank- och försäkringsväsendet normalt sett att anse som integritetskänsliga när det handlar om säkerhet.
• Ett uttryck för att det är fråga om integritetskänsliga uppgifter är att uppgifterna omfattas av tystnadsplikt eller sekretess.
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Går det att dra några generella slutsatser utifrån Datainspektion-ens undersökningar hos bolag inom finansiell sektor?
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Några exempel på Datainspektionens iakttagelser • Brister i spårbarhet av åtkomst och bristande
behandlingshistorik för att kunna se vem behandlat vilka personuppgifter och när.
• Regelbundna och systematiska uppföljningar för att kontrollera vem/vilka som tagit del av vilken information saknas.
• Bristande gallringsrutiner. • Rutiner saknas för avskiljande av uppgifter hänförliga till
kunder som ej längre är kunder. • Bristande säkerhet vid nya tekniska lösningar såsom appar. • Bristande interna regler för hur personuppgifter ska hanteras.
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Status PuL-compliance? Förbättringspotential finns hos de flesta bolag.
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Sammanfattningsvis
• Lägg PuL-ansvaret hos den befattningshavare eller funktion som är bäst lämpad för uppgiften. Det kan därmed se olika ut hos olika företag.
• God kontroll och säkerhetsrutiner krävs då kunduppgifterna anses vara integritetskänsliga.
• Datainspektionens praxis visar att utvecklingspotential finns.
• Inför kommande regelskärpning kan det vara en god idé att redan nu göra en PuL-inventering.
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Checklista för PuL-inventering
Exempel på relevanta frågeställningar och åtgärder: • förteckning över samtliga personuppgiftsbehandlingar? systeminventering? • redogörelse för vilka ändamål personuppgiftsbehandlingar genomförs? • redogörelse för varifrån personuppgifter inhämtas? • information som har lämnats vid insamling av personuppgifter? • samtycken som hämtats vid insamling av personuppgifter? • hur länge sparas uppgifterna? • rutiner för gallring av personuppgifter? • rutiner för att lämna registerutdrag? • rutiner för att ta emot anmälningar om att inte behandla någons
personuppgifter? • förekommer det att personuppgifter säljs eller överlämnas till tredje part?
I vilket syfte? • informationen om de anställda, vad har HR för rutiner? • interna regler och rutinbeskrivningar uppdaterade?
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Förslag till EU-förordning för skydd av person-uppgifter Per Lundevall
• Vad innebär förordningen?
• Hur påverkar den oss? • När tror vi att den
kommer träda i kraft?
Attityder hos medborgarna i EU
70 procent är oroliga 67 procent vet inte var man ska klaga
Varför ny förordning?
• Det finns 250 miljoner EU-medborgare på nätet.
• Skydd är en grundläggande rättighet.
• Personuppgifter är big business. • Avslöjanden från Edward
Snowden snabbar upp processen.
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Vad föreslår kommissionen?
• En enda uppsättning regler • Dataportabilitet och rätten att bli glömd • Privacy by design • Privacy by default • Anmälningsplikt – inom 24 timmar • Endast en part
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Om vi inte är compliant då?
Böter upp till € 1M eller 2 procent av organisa-tionens totala omsätt-ning.
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
När börjar förordning-en gälla?
• beslut beräknas fattas i slutet av 2014
• träder i kraft två år senare
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
Sammanfattningsvis
• 70 procent av EU:s befolkning är orolig • EU kommer stärka upp med en förordning • Påverkar alla organisationer som hanterar personuppgifter • Krav på förändringar i nya och befintliga system och
processer • Utökade sanktionsmöjligheter • Beslut förväntas tas i slutet av 2014 och träda i kraft
2016/2017
• Så, vad ska ni få med er?
© T
rans
cend
ent G
roup
Sve
rige
AB
201
3
www.transcendentgroup.com