PuL och ny dataskyddsförordning

PuL och ny
dataskyddsförordning
Nätverksträff Informationssäkerhet i fokus
4 maj 2015
Om företaget
Hos Transcendent Group möter du erfarna
konsulter inom governance, risk and compliance. Våra
tjänster skapar trygghet och möjligheter för
myndigheter, företag och andra organisationer
inom en rad olika branscher.
© Transcendent Group Sverige AB 2014
Transcendent Group har tre år i rad utsetts till en
av Sveriges bästa arbetsplatser.
Begrepp
Integritet
Behandling
© Transcendent Group Sverige AB 2014
Personuppgift
Historisk utveckling
1998
Datalagen
(SE)
Personuppgiftslagen
(SE)
2012
Kommissionens förslag
till dataskyddsförordning
(EU)
1995
2007
2014
Dataskyddsdirektivet
(EU)
Uppdaterad
Personuppgiftslag
(SE)
Parlamentets reviderade
förslag till
dataskyddsförordning
(EU)
© Transcendent Group Sverige AB 2014
1973
• Syftar till att skydda människor mot att deras personliga integritet
kränks när personuppgifter behandlas
• Reglerar hur personuppgifter får behandlas
• Behandling omfattar insamling, registrering, lagring, bearbetning,
spridning, utplåning, med mera
• För strukturerad personuppgiftsbehandling gäller betydligt fler
regler än för ostrukturerad
• Särregler i annan lagstiftning tar över bestämmelserna i
personuppgiftslagen, och det finns undantag med hänsyn till
offentlighetsprincipen samt tryck- och yttrandefriheten
© Transcendent Group Sverige AB 2014
Personuppgiftslagens syfte
Personuppgiftsansvarig
• Den juridiska person eller myndighet som behandlar personuppgifter i
sin verksamhet och som bestämmer vilka uppgifter som ska behandlas
och vad de ska användas till
• Ansvaret är straff- och skadeståndssanktionerat
Personuppgiftsbiträde
• Behandlar personuppgifter för den personuppgiftsansvariges räkning
• Finns alltid utanför den egna organisationen
• Kan vara en fysisk eller en juridisk person
• Ett skriftligt avtal måste upprättas
Personuppgiftsombud
• En person som ser till att personuppgifter behandlas korrekt och lagligt
inom en verksamhet
• För förteckning över register och annan behandling av personuppgifter
• Hjälper registrerade att få felaktiga uppgifter rättade
© Transcendent Group Sverige AB 2014
Roller och ansvar i PuL
Huvuddragen i PuL
Endast nödvändiga
och adekvata
personuppgifter får
behandlas
Begränsade
möjligheter att föra
över person-uppgifter
utanför EU/EES
Rutiner för rättning,
uppdatering och
radering av uppgifter
krävs
Bestämmelser om
information som ska
lämnas till den
registrerade
Uppgifter som
behandlas skall vara
aktuella och riktiga
Stränga regler för
känsliga uppgifter
Tekniska och
organisatoriska
åtgärder för att skydda
person-uppgifter
© Transcendent Group Sverige AB 2014
Baseras på ett EUdirektiv
Bygger på samtycke
och information till de
registrerade, tydligt
syfte krävs
Statliga myndigheters behandling
av personuppgifter
© Transcendent Group Sverige AB 2014
• Behandling av personuppgifter inom en myndighet måste följa
reglerna i personuppgiftslagen (PuL), särskild registerlagstiftning
och offentlighets- och sekretesslagstiftningen
• Mycket begränsat utrymme för registrering av personuppgifter i
ett diarium
• Varsamhet vid publicering av personuppgifter på internet
1. Myndigheten måste kunna säkerställa identiteten hos
användaren av en e-tjänst i de fall det är nödvändigt
2. Myndigheten måste skydda personuppgifter som förs över i
öppna nät så att obehöriga inte kan ta del av dem
3. Myndigheten måste kunna skydda personuppgifter som
samlats in
Myndigheten är skyldig att lämna information till användarna om behandlingen av
personuppgifter i anslutning till e-tjänsterna
© Transcendent Group Sverige AB 2014
E-tjänster
Statliga myndigheters e-tjänster:
Säkerhetsaspekter
Anställda bör endast ha
tillgång till personuppgifter
som de behöver för sitt
arbete
Väl avvägda rutiner för
behörighetstilldelning och
tydliga riktlinjer för när det
är tillåtet för personal att ta
del av personuppgifter
Sekretessmarkeringar som
syns tydligt vid sökningar i
register
All personal som hanterar
personuppgifter skall ges
grundlig information om
skyddade personuppgifter
och sekretessfrågor
© Transcendent Group Sverige AB 2014
Statliga myndigheter:
Behörighet och sekretess
Bakgrund till ny dataskyddsförordning
Ligger nu för beslut
i EU-rådet
Blir en förordning,
och därmed en lag i
EU:s alla
medlemsstater
Det lettiska ordförandeskapet har som ambition att nå en överenskommelse under
innevarande ordförandeperiod
© Transcendent Group Sverige AB 2014
Lades fram redan
2012, och syftar till
att stärka skyddet
för datalagrade
personuppgifter
Förtroende är ett nyckelord
Joint Statement by Vice-President Andrus
Ansip and Commissioner Věra Jourová on
European Data Protection Day, 28 January
2015
© Transcendent Group Sverige AB 2014
On this day, citizens and businesses are waiting for the modernisation of
data protection rules to catch up with the digital age. New technologies are
emerging fast and have enormous potential for our society and economy.
This potential can only be fully realised if people can trust the way their
personal data is used. Ensuring trust will allow the European Digital
Single Market to live up to its full potential. EU data protection reform,
which will cut red tape for business and ensure a single set of rules, is part
of the solution.
Nyheter i EU:s dataskyddsförordning
• Omfattar all behandling, även ostrukturerad
• Utvidgad territoriell tillämpning och strängare krav kring överföring till tredje
land
• Behandling av uppgifter om barn under 13 år kräver målsmans samtycke
• Förbud mot behandling av vissa typer av personuppgifter;
• Registrerade personer skall i vissa fall ges rätt att begära att information om
sig själv raderas
• Den registrerade har rätt att när som helst göra invändningar mot behandling
av personuppgifter
© Transcendent Group Sverige AB 2014
– Uppgifter som avslöjar ras, eller etniskt ursprung, politiska åsikter, religion eller
livsåskådning, sexuell läggning och könsidentitet, eller medlemskap och verksamhet i
fackförening, och behandling av genetiska eller biometriska uppgifter eller uppgifter
om hälsa och sexualliv eller administrativa sanktioner, domar, brott eller misstänkta
brott, fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder
Nyheter i EU:s dataskyddsförordning
© Transcendent Group Sverige AB 2014
• Skyldighet att anta en
integritetsskyddspolicy och
vidta åtgärder för att
kontrollera efterlevnaden
• Krav på mer utförlig
information till de
registrerade
• Skärpta krav avseende
profilering
Nyheter i EU:s dataskyddsförordning:
Utökade krav och harmoniserad tillämpning
Krav på anmälan av
dataintrång till
Tillsynsmyndigheten
och information till
registrerade
Mer specifika
krav avseende
säkerhetsstrategi för
behandlingen
Krav på
riskanalys och
konsekvensbedömning
avseende
uppgiftsskydd
Strängare
sanktioner vid
överträdelser
eller brott mot
den nya
förordningen.
© Transcendent Group Sverige AB 2014
Krav på
regelbundet
uppdaterad
dokumentation
om all behandling
som utförs
Nyheter i EU:s dataskyddsförordning:
Uppgiftsskyddsombudet
De som har behandling som kräver
regelbunden och systematisk övervakning
av de registrerade, som sin kärnverksamhet
Juridisk person som behandlar fler än 5000
registrerade under en sammanhängande
period på 12 månader
Skyldighet att utse
uppgiftsskyddsombud/personuppgiftsombud
•
Uppgiftsskyddsombudet skall ges en oberoende ställning och inte ha övriga
arbetsuppgifter som leder till en intressekonflikt
•
Uppgiftsskyddsområdet utses på minst 2 alternativt 4 år
•
Krav på uppgiftsskyddsombudets arbetsuppgifter
© Transcendent Group Sverige AB 2014
Myndigheter
www.transcendentgroup.com