hantering av personuppgifter kommande regelförändringar
TRANSCRIPT
Hantering av
personuppgifter:
kommande
regelförändringarChristina Falk och Anna Nielanger
20 maj, GRC 2015
Hos Transcendent Group möter du erfarna
konsulter inom governance, risk and compliance. Våra
tjänster skapar trygghet och möjligheter för
myndigheter, företag och andra organisationer
inom en rad olika branscher.
Transcendent Group har tre år i rad utsetts till en
av Sveriges bästa arbetsplatser.
Om företaget
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Personuppgifts-biträde
Tillsyns-myndighet
Personuppgifts-ansvarig
Person-uppgift
Behandling
Tredje land
Personuppgifts-ombud
Integritet
Registrerad
Samtycke
Känslig uppgift
Ändamål med behandling
Centrala begrepp
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Utmaningar i PuL:
• låg allmänkunskap
• vårdslöst förhållningssätt
• bristande översikt av behandlingar
• PuO:s kompetens och plats i organisationen
• gallringsrutiner
• avtal med tjänsteleverantörer
• bristande säkerhet.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Historisk utveckling
1973
Datalagen (SE)
1995
Dataskyddsdirektivet (EU)
1998
Personuppgiftslagen (SE)
2007
Uppdaterad Personuppgiftslag
(SE)
2012
Kommissionens förslag till dataskyddsförordning
(EU)
2014
Parlamentets reviderade förslag till
dataskyddsförordning (EU)
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Det lettiska ordförandeskapet har som ambition att nå en överenskommelse om ny dataskyddsförordning under innevarande ordförandeperiod
Förtroende är ett nyckelord
On this day, citizens and businesses are waiting for the modernisation of
data protection rules to catch up with the digital age. New technologies are
emerging fast and have enormous potential for our society and economy.
This potential can only be fully realised if people can trust the way their
personal data is used. Ensuring trust will allow the European Digital
Single Market to live up to its full potential. EU data protection reform,
which will cut red tape for business and ensure a single set of rules, is part
of the solution.
Joint Statement by Vice-President Andrus
Ansip and Commissioner Věra Jourová on
European Data Protection Day, 28 January
2015
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Utökad omfattning och harmoniserad
tillämpning
• Blir en förordning
• Omfattar all behandling, även ostrukturerad
• Utvidgad territoriell tillämpning
• Strängare krav kring överföring till tredje land
• Utökning av vad som avses med känsliga uppgifter;
Uppgifter som avslöjar ras, eller etniskt ursprung, politiska åsikter,
religion eller livsåskådning, sexuell läggning och könsidentitet, eller
medlemskap och verksamhet i fackförening, och behandling av
genetiska eller biometriska uppgifter eller uppgifter om hälsa och
sexualliv eller administrativa sanktioner, domar, brott eller
misstänkta brott, fällande domar i brottmål eller därmed
sammanhängande säkerhetsåtgärder
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Utökade rättigheter
för registrerade
• Registrerade personer skall i vissa
fall ges rätt att begära att
information om sig själv raderas.
• Den registrerade har rätt att när
som helst göra invändningar mot
behandling av personuppgifter.
• Skärpta krav avseende
profilering.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Ökade krav på
styrning
• Skyldighet att anta en
integritetsskyddspolicy och vidta
åtgärder för att kontrollera
efterlevnaden.
• Utökade krav på regelbundet
uppdaterad dokumentation om
all behandling som utförs.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Mer specifika säkerhetskrav
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Krav på riskanalys och konsekvensbedömning avseende uppgiftsskydd.
Mer specifika krav avseende säkerhetsstrategi för behandlingen.
Krav på anmälan av dataintrång till Tillsynsmyndigheten och information till registrerade.
Ökade krav på uppgiftsskyddsombudet
Skyldighet att utse uppgifts-skyddsombud/personuppgifts-ombud
Myndigheter
Juridisk person som behandlar fler än 5000 registrerade under en sammanhängande period på 12 månader
De som har behandling, som kräver regelbunden och systematisk övervakning av de registrerade, som sin kärnverksamhet
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015• Uppgiftsskyddsombudet skall ges en oberoende ställning och inte ha övriga arbetsuppgifter
som leder till en intressekonflikt
• Särskilda krav på kompetens
• Krav på uppgiftsskyddsombudets arbetsuppgifter
• Uppgiftsskyddsområdet utses på minst 2 alternativt 4 år
Strängare sanktioner
Strängare sanktioner vid överträdelser eller brott mot den nya förordningen innebär:
• Staffavgift på upp till 100 miljoner € alternativt 5% av företagets årliga globala omsättning.
• Sanktioner kan utdömas även mot biträden (leverantörer).
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015