loa kavtaradzestudentbostadsforetagen.se/wp-content/uploads/2016/05/...historia • fob-arna...
TRANSCRIPT
Lo#a Kavtaradze
Jur.kand.ochdataskyddskonsultPrivacylineAB073-3501500lo=a@privacyline.sewww.privacyline.sewww.draAit.sewww.legalworks.se
DagensagendaDataskyddsförordningen• HistoriaochEdsaspekter• Grundläggandebegrepp–”personuppgiA”• Övergripandelegalaförändringar• Kravpåordningochreda–accountabilitym.m.• Biträdesavtalen• Vadkanhända?• Hurkanmanjobbamedförberedelser?• Problemområdeninomprivacy• Problemområdeninombostadsföretaggenerellt• Problemområdenförstudentbostadsföretag
Historia
• FoB-arnastartadediskussionenpå1960-talet• datalagen(ochDatainspekEonen)kom1973
• EU-anpassning:PUL1998• Quiscustodietipsoscustodes?• EU-gemensamlagsEAningvåren2016/2018
• compliancecountdownEllden25maj2018• speciallagsEAningarfinnsochblirtroligenkvar- Branschöverenskommelsenförbostadsuthyrning- Codeofconduct
VadärenpersonuppgiA?
AllinformaEonsompånågotsä=kankopplasEllenidenEfierbarfysiskpersonsomärilivet.
Obs!EnpersonkanidenEfieraspåmångaandrasä=engenomnamnellerpersonnummer!Detgällerävenom”kopplingsnyckeln”intefinnshosdenpersonuppgiAsansvarige!
PseudonymiseringkontrakrypteringochavidenEfiering.
Personuppgi5 exempel
• ävenINDIREKTAuppgiAer
• omdömenochvärderingar
• bild-ochljudupptagningar(digitalt)
• geneEskochbiometriskinformaEon
Förtydligandenidataskyddsförordningen:t.ex.lokaliseringsdata,
näEdenEfierare.
Känslig informa;on
Förbuda4registrera:-raselleretnisktursprung-poliEskaåsikter-religiösellerfilosofiskövertygelse-medlemskapifackförening-hälsa-sexuallivNy=idataskyddsförordningen:geneEskochbiometriskinformaEonDetfinnsocksåspecialbestämmelseromregistreringenavuppgiAerombro=/bro=smisstankesamtompersonnummer.
KänsliginformaEon-undantag
Undantagfrånförbudet:Vadsägerdsf?• u=ryckligtsamtycke• arbetsrä=en(ävenkollekEvavtal)• socialtjänst/socialförsäkring• skyddavitalaintressen• ideellaorganisaEoner• egetoffentliggörande• vikEgtallmäntintresse• hälso-ochsjukvård• allmäntintressepåfolkhälsoområdet• arkivering,forskningochstaEsEk• rä=sligaanspråk• speciallagsEAningarivissmån
UppgiAeromlagöverträdelser• Förbudförandraänmyndigheter(dockvälförankratochskyddat)• Samtyckedugerinte!• Förövriga:fastställtiEU/medlemsstatslagsEAningMenkommerdetbaraa=gällafällandedomaribro.målochöverträdelserellerdärmedsammanhängandesäkerhetsåtgärder,idsf?Isådanafallärdetstorskillnadfrånidag!Idaggällerbegränsningenävenmisstankarombro=.• GenerellaundantagiDIFS2010:1idag,bl.a.”…behandlingenavserendastenstakauppgi<somärnödvändigföra.rä$sligaanspråkskakunnafastställas,görasgällandeellerförsvarasie.enskiltfall,””…behandlingenavserendastenstakauppgi<somärnödvändigföra.anmälningsskyldighetenligtlagskakunnafullgöras,”• BeslutfrånDIienskildafall
ExtraskyddsvärdapersonuppgiAer
T.ex.• samarbetsförmågaochliknandeomdömen• sekretessbelagtinformaEon• personnummer• vissekonomiskinformaEon• annatsomliggernäraprivatlivet
Ingetsamtyckekrävs,menstarkasäkerhetsåtgärdervidautenEseringochkommunikaEon.
Övergripandelegalaförändringar
• allamedlemsstaterfårsammalagtext.Öppetförmångatolkningar!• flexibilitetpåmyndighetsområdet,HRm.fl:vadskagällaiSverige?
• stora”bötesbelopp”(menvadskagällaförmyndigheter?)• kravpåanalyser,ruEnerochdokumentaEon
• PrivacybydesignochPrivacybydefault• samtycketskavaratydligareochkrävsoAare(?)
Övergripandelegalaförändringarforts.
• informaEonskravetblirännumeromfa=ande• nyaförutsä=ningarinommarknadsföringen(profilering/selektering)• särskildhänsynEllbarnspersonuppgiAer• rä=ena=bliglömdochdataportabilitet• dataskyddsombud(ivartfallförmyndigheter)• databreachnoEficaEon• IT-leverantörenblirEllsynsobjekt
Kravpåordningochreda• Accountability-utökadekravpåkartläggningoch
dokumentaEon• Governance• Öppenhet• OrganisaEonsstruktur• Analyser(PIA)• Policies/guidelines• Awareness/medvetenhet• Changemanagement
CodeofconductochcerEfieringar
HurkanmanjobbamedordningochredainomdataprotecEon?
• Ledning/styrning/budget• OrganisaEon• Nulägesanalys-mapping/kartläggningochjuridisk
utvärdering• GAP-analys• Åtgärdsplaner• Utbildningsinsatser
Vadkanhända?• dåligordninggördetsvårta=följalagsEAningenochvisa
accountability• affärsriska=intekunnavisaochbevisavadmangörochhurman
skyddarkundernasinformaEon• menförsöka=ävenhi=afördelarnaföraffären• missnöjdakunder/anställdakanledaEll:-kriEkfrånDatainspekEonen-negaEvpublicitet–skadapåvarumärket!-kriEkfrånägareochledning• beslutoma=registretintefårföras• skadestånd• högaadministraEva”böter”ikommandelagsEAning• dagsböter/fängelse–oklarthurdetbliridsf
Vadbehöverniförbereda?- organisaEon+budget- nulägesanalys(inventeringochjuridiskutvärdering)
- GAP-analys+åtgärdsplaner- utbildapersonal(ochbeslutsfa=are)
- taframriktlinjerochruEnerförbl.a.dokumentaEon,gallring,fritext,behörigheter,utvecklingsprojekt,tjänstevillkor
- görkonsekvensanalyser(behov/risk/sårbarhet)
- seöveravtalen/tjänstevillkoren- utsee=dataskyddsombud
Varbereddaa=visaomvärldenvadnihargjortochhurnihartänkt.
Problemområdeninomprivacy• MedvetenhetinomorganisaEonen• Resurser(Ed/budget)• InformaEonsinsatser• Bevarandeochgallring• BehörighetsElldelning• Fritext• AutenEsering• Tydligaochvälkändariktlinjer• KravenpåIT-leverantörerna(avtal)• Mobilaenheter/e-post/kommunikaEon• Biträden/tredjeland/molntjänster
Problemområdenförbostadsföretaggenerellt
• SkriAligasamtyckenförkänsligapersonuppgiAer• BehörighetsElldelningförkänsligaochextraskyddsvärda
personuppgiAer• Fritextibl.a.störningsärenden(flerapolisärenden)• E-tjänsterföranmälningaravolikaslag• Spärrlistor• Elektroniskanycklar• Kameraövervakning• Utlämnandeförannansmarknadsföring
Problemområdenförstudentbostadsföretag
• HögandelinternaEonellahyresgäster• Kontrolleravstudiemeriterochmedlemskap• Förturshanteringpgafysiskaellerpsykiskahandikapp• Högomfly=ningstakt
Konstena#jobbameddataskydd
• Hurkommermanigång?!
• Projektplan• Nulägesanalys• Inventeringen• UtbildninginomorganisaOonen• Policies/instrukOoner/riktlinjer
Hurkommermanigång?!
• Förankringistyrelsen/LGäriprincipenförutsä=ningföre=lyckatprojekt • Sedataskyddsarbetetsome=projektsomskagenomförasunderex.e=årellerOllQ22018
• Taframenprojektplan(och/ellerprojektdirekOv)• AmbiOonsnivånochbehovavgörOd,resurserochbudget
• Talameddinchefochdinakolleger,skapaförståelseföra=de=amåstegenomföras
• Pekapåtänkbarakonsekvenser,intebarariskerutanocksåhure=bradataskyddkanstödjaeraffär• DETKOMMERATTGÅBRA!
Nulägesanalys• Skapaenregisterförteckning–möjligheta=dokumenterais.k.registerbeskrivningar
• Utbildaochberä=aomprojektet
• Skapae=nätverk/kontaktpersoner• ”Intervjua”avdelningsvis,dokumentera(inventering/mapping/kartläggning))• Görenjuridiskutvärdering,dokumentera
• TaframenGAP-analys,dokumentera
• Taframåtgärdsplanerochföljupp,dokumentera• Övrigt:Ti=apåguidelinesochavtalenmedIT-leverantörerna
InventeringenBlandannat:• Ändamål• Innehåll• KänsligapersonuppgiAer• InformaOonsinsatser/samtycken• Utlämnanden/tredjeland• Avtal/leverantörer/underleverantörer• Behörigheter• Bevarandeochgallring• Guidelines• Fritext• Säkerhet/lagring/kommunikaOon/autenOsering• IntressenterinomorganisaOonen
UtbildninginomorganisaOonen
• Medvetenhetärenförutsä=ningföre=go=integritetsskydd!Ochfördi=arbete!
• Allanivåer,särskiltledningen,behöverhaengrundläggandekunskapomdataskyddslagsOAningen• Taframbraexempelfrånverkligheten,utny=janätverket
• Q&Apåintranätet• E-learning,arbetsplatsträffar,seminarierförolikagrupper
Policies/instrukOoner/riktlinjerFörslag:• InformaOonssäkerhetspolicy
• KontrollavpersonalensanvändningavIT-utrustning+lagringhemma,BYODochmobilaenheter
• Adresshantering/skyddadepersonuppgiAer• Fritexoält• Diarier/publiceradiarier• BehörighetsOlldelning• Bevarandeochgallring• Processförsäkerhets-ochriskanalyser• Processförchangemanagement• E-post• Hemsidan/socialamedia
Nätverk
Si=erduienstororganisaOon?Trointea=dukangöraallOngsjälv!DataPrivacyManagers?