Hantering av

personuppgifter:

kommande

regelförändringarChristina Falk och Anna Nielanger

20 maj, GRC 2015

Hos Transcendent Group möter du erfarna

konsulter inom governance, risk and compliance. Våra

tjänster skapar trygghet och möjligheter för

myndigheter, företag och andra organisationer

inom en rad olika branscher.

Transcendent Group har tre år i rad utsetts till en

av Sveriges bästa arbetsplatser.

Om företaget

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Personuppgifts-biträde

Tillsyns-myndighet

Personuppgifts-ansvarig

Person-uppgift

Behandling

Tredje land

Personuppgifts-ombud

Integritet

Registrerad

Samtycke

Känslig uppgift

Ändamål med behandling

Centrala begrepp

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Utmaningar i PuL:

• låg allmänkunskap

• vårdslöst förhållningssätt

• bristande översikt av behandlingar

• PuO:s kompetens och plats i organisationen

• gallringsrutiner

• avtal med tjänsteleverantörer

• bristande säkerhet.

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Historisk utveckling

1973

Datalagen (SE)

1995

Dataskyddsdirektivet (EU)

1998

Personuppgiftslagen (SE)

2007

Uppdaterad Personuppgiftslag

(SE)

2012

Kommissionens förslag till dataskyddsförordning

(EU)

2014

Parlamentets reviderade förslag till

dataskyddsförordning (EU)

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Det lettiska ordförandeskapet har som ambition att nå en överenskommelse om ny dataskyddsförordning under innevarande ordförandeperiod

Förtroende är ett nyckelord

On this day, citizens and businesses are waiting for the modernisation of

data protection rules to catch up with the digital age. New technologies are

emerging fast and have enormous potential for our society and economy.

This potential can only be fully realised if people can trust the way their

personal data is used. Ensuring trust will allow the European Digital

Single Market to live up to its full potential. EU data protection reform,

which will cut red tape for business and ensure a single set of rules, is part

of the solution.

Joint Statement by Vice-President Andrus

Ansip and Commissioner Věra Jourová on

European Data Protection Day, 28 January

2015

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Nyheter i EU:s

dataskyddsförordning

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

014

5

Utökad omfattning och harmoniserad

tillämpning

• Blir en förordning

• Omfattar all behandling, även ostrukturerad

• Utvidgad territoriell tillämpning

• Strängare krav kring överföring till tredje land

• Utökning av vad som avses med känsliga uppgifter;

Uppgifter som avslöjar ras, eller etniskt ursprung, politiska åsikter,

religion eller livsåskådning, sexuell läggning och könsidentitet, eller

medlemskap och verksamhet i fackförening, och behandling av

genetiska eller biometriska uppgifter eller uppgifter om hälsa och

sexualliv eller administrativa sanktioner, domar, brott eller

misstänkta brott, fällande domar i brottmål eller därmed

sammanhängande säkerhetsåtgärder

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Utökade rättigheter

för registrerade

• Registrerade personer skall i vissa

fall ges rätt att begära att

information om sig själv raderas.

• Den registrerade har rätt att när

som helst göra invändningar mot

behandling av personuppgifter.

• Skärpta krav avseende

profilering.

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Ökade krav på

styrning

• Skyldighet att anta en

integritetsskyddspolicy och vidta

åtgärder för att kontrollera

efterlevnaden.

• Utökade krav på regelbundet

uppdaterad dokumentation om

all behandling som utförs.

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Mer utförlig information till registrerade

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Mer specifika säkerhetskrav

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Krav på riskanalys och konsekvensbedömning avseende uppgiftsskydd.

Mer specifika krav avseende säkerhetsstrategi för behandlingen.

Krav på anmälan av dataintrång till Tillsynsmyndigheten och information till registrerade.

Ökade krav på uppgiftsskyddsombudet

Skyldighet att utse uppgifts-skyddsombud/personuppgifts-ombud

Myndigheter

Juridisk person som behandlar fler än 5000 registrerade under en sammanhängande period på 12 månader

De som har behandling, som kräver regelbunden och systematisk övervakning av de registrerade, som sin kärnverksamhet

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015• Uppgiftsskyddsombudet skall ges en oberoende ställning och inte ha övriga arbetsuppgifter

som leder till en intressekonflikt

• Särskilda krav på kompetens

• Krav på uppgiftsskyddsombudets arbetsuppgifter

• Uppgiftsskyddsområdet utses på minst 2 alternativt 4 år

Strängare sanktioner

Strängare sanktioner vid överträdelser eller brott mot den nya förordningen innebär:

• Staffavgift på upp till 100 miljoner € alternativt 5% av företagets årliga globala omsättning.

• Sanktioner kan utdömas även mot biträden (leverantörer).

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Är ni förberedda?

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

www.transcendentgroup.com