PuL och ny dataskyddsförordning Nätverksträff Informationssäkerhet i fokus 4 maj 2015 Om företaget Hos Transcendent Group möter du erfarna konsulter inom governance, risk and compliance. Våra tjänster skapar trygghet och möjligheter för myndigheter, företag och andra organisationer inom en rad olika branscher. © Transcendent Group Sverige AB 2014 Transcendent Group har tre år i rad utsetts till en av Sveriges bästa arbetsplatser. Begrepp Integritet Behandling © Transcendent Group Sverige AB 2014 Personuppgift Historisk utveckling 1998 Datalagen (SE) Personuppgiftslagen (SE) 2012 Kommissionens förslag till dataskyddsförordning (EU) 1995 2007 2014 Dataskyddsdirektivet (EU) Uppdaterad Personuppgiftslag (SE) Parlamentets reviderade förslag till dataskyddsförordning (EU) © Transcendent Group Sverige AB 2014 1973 • Syftar till att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas • Reglerar hur personuppgifter får behandlas • Behandling omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera • För strukturerad personuppgiftsbehandling gäller betydligt fler regler än för ostrukturerad • Särregler i annan lagstiftning tar över bestämmelserna i personuppgiftslagen, och det finns undantag med hänsyn till offentlighetsprincipen samt tryck- och yttrandefriheten © Transcendent Group Sverige AB 2014 Personuppgiftslagens syfte Personuppgiftsansvarig • Den juridiska person eller myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till • Ansvaret är straff- och skadeståndssanktionerat Personuppgiftsbiträde • Behandlar personuppgifter för den personuppgiftsansvariges räkning • Finns alltid utanför den egna organisationen • Kan vara en fysisk eller en juridisk person • Ett skriftligt avtal måste upprättas Personuppgiftsombud • En person som ser till att personuppgifter behandlas korrekt och lagligt inom en verksamhet • För förteckning över register och annan behandling av personuppgifter • Hjälper registrerade att få felaktiga uppgifter rättade © Transcendent Group Sverige AB 2014 Roller och ansvar i PuL Huvuddragen i PuL Endast nödvändiga och adekvata personuppgifter får behandlas Begränsade möjligheter att föra över person-uppgifter utanför EU/EES Rutiner för rättning, uppdatering och radering av uppgifter krävs Bestämmelser om information som ska lämnas till den registrerade Uppgifter som behandlas skall vara aktuella och riktiga Stränga regler för känsliga uppgifter Tekniska och organisatoriska åtgärder för att skydda person-uppgifter © Transcendent Group Sverige AB 2014 Baseras på ett EUdirektiv Bygger på samtycke och information till de registrerade, tydligt syfte krävs Statliga myndigheters behandling av personuppgifter © Transcendent Group Sverige AB 2014 • Behandling av personuppgifter inom en myndighet måste följa reglerna i personuppgiftslagen (PuL), särskild registerlagstiftning och offentlighets- och sekretesslagstiftningen • Mycket begränsat utrymme för registrering av personuppgifter i ett diarium • Varsamhet vid publicering av personuppgifter på internet 1. Myndigheten måste kunna säkerställa identiteten hos användaren av en e-tjänst i de fall det är nödvändigt 2. Myndigheten måste skydda personuppgifter som förs över i öppna nät så att obehöriga inte kan ta del av dem 3. Myndigheten måste kunna skydda personuppgifter som samlats in Myndigheten är skyldig att lämna information till användarna om behandlingen av personuppgifter i anslutning till e-tjänsterna © Transcendent Group Sverige AB 2014 E-tjänster Statliga myndigheters e-tjänster: Säkerhetsaspekter Anställda bör endast ha tillgång till personuppgifter som de behöver för sitt arbete Väl avvägda rutiner för behörighetstilldelning och tydliga riktlinjer för när det är tillåtet för personal att ta del av personuppgifter Sekretessmarkeringar som syns tydligt vid sökningar i register All personal som hanterar personuppgifter skall ges grundlig information om skyddade personuppgifter och sekretessfrågor © Transcendent Group Sverige AB 2014 Statliga myndigheter: Behörighet och sekretess Bakgrund till ny dataskyddsförordning Ligger nu för beslut i EU-rådet Blir en förordning, och därmed en lag i EU:s alla medlemsstater Det lettiska ordförandeskapet har som ambition att nå en överenskommelse under innevarande ordförandeperiod © Transcendent Group Sverige AB 2014 Lades fram redan 2012, och syftar till att stärka skyddet för datalagrade personuppgifter Förtroende är ett nyckelord Joint Statement by Vice-President Andrus Ansip and Commissioner Věra Jourová on European Data Protection Day, 28 January 2015 © Transcendent Group Sverige AB 2014 On this day, citizens and businesses are waiting for the modernisation of data protection rules to catch up with the digital age. New technologies are emerging fast and have enormous potential for our society and economy. This potential can only be fully realised if people can trust the way their personal data is used. Ensuring trust will allow the European Digital Single Market to live up to its full potential. EU data protection reform, which will cut red tape for business and ensure a single set of rules, is part of the solution. Nyheter i EU:s dataskyddsförordning • Omfattar all behandling, även ostrukturerad • Utvidgad territoriell tillämpning och strängare krav kring överföring till tredje land • Behandling av uppgifter om barn under 13 år kräver målsmans samtycke • Förbud mot behandling av vissa typer av personuppgifter; • Registrerade personer skall i vissa fall ges rätt att begära att information om sig själv raderas • Den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter © Transcendent Group Sverige AB 2014 – Uppgifter som avslöjar ras, eller etniskt ursprung, politiska åsikter, religion eller livsåskådning, sexuell läggning och könsidentitet, eller medlemskap och verksamhet i fackförening, och behandling av genetiska eller biometriska uppgifter eller uppgifter om hälsa och sexualliv eller administrativa sanktioner, domar, brott eller misstänkta brott, fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder Nyheter i EU:s dataskyddsförordning © Transcendent Group Sverige AB 2014 • Skyldighet att anta en integritetsskyddspolicy och vidta åtgärder för att kontrollera efterlevnaden • Krav på mer utförlig information till de registrerade • Skärpta krav avseende profilering Nyheter i EU:s dataskyddsförordning: Utökade krav och harmoniserad tillämpning Krav på anmälan av dataintrång till Tillsynsmyndigheten och information till registrerade Mer specifika krav avseende säkerhetsstrategi för behandlingen Krav på riskanalys och konsekvensbedömning avseende uppgiftsskydd Strängare sanktioner vid överträdelser eller brott mot den nya förordningen. © Transcendent Group Sverige AB 2014 Krav på regelbundet uppdaterad dokumentation om all behandling som utförs Nyheter i EU:s dataskyddsförordning: Uppgiftsskyddsombudet De som har behandling som kräver regelbunden och systematisk övervakning av de registrerade, som sin kärnverksamhet Juridisk person som behandlar fler än 5000 registrerade under en sammanhängande period på 12 månader Skyldighet att utse uppgiftsskyddsombud/personuppgiftsombud • Uppgiftsskyddsombudet skall ges en oberoende ställning och inte ha övriga arbetsuppgifter som leder till en intressekonflikt • Uppgiftsskyddsområdet utses på minst 2 alternativt 4 år • Krav på uppgiftsskyddsombudets arbetsuppgifter © Transcendent Group Sverige AB 2014 Myndigheter www.transcendentgroup.com
© Copyright 2024