Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg....
Transcript of Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg....
![Page 1: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/1.jpg)
Nya Dataskyddsförordningen, GDPR
Advokat Josephine Borg
![Page 2: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/2.jpg)
Elmzell – Partners in Law
Ledande specialister på HR-juridik
Vi hjälper dig som arbetsgivare att hantera företagetsviktigaste resurs – personalen
Allmän affärsjuridik inkl GDPR
![Page 3: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/3.jpg)
Bli medlem i Elmzells grupp p¬ Linkedin:
Elmzell HR-juridik
![Page 4: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/4.jpg)
Agenda
• Historik
• Ett urval av nyheterna med GDPR jämfört med
PUL
• Genomgång av regelverket
• Rättigheter och skyldigheter enligt GDPR
• Tillsyn
• Hur du förbereder verksamheten för de nya
reglerna
![Page 5: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/5.jpg)
Från Dataskyddsdirektivet till GDPR
1995 – Dataskyddsdirektivet (95/46 EG)
1998 – Personuppgiftslagen (1998:204) (”PUL”)
2017 – SOU 2017:39 Dataskyddsutredningen
2018 – Dataskyddsförordningen (”GDPR”)
5
![Page 6: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/6.jpg)
Ett urval av nyheterna med GDPR jämfört med PUL
6
Ansvarsskyldigheten - bevisbördan
![Page 7: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/7.jpg)
Ett urval av nyheterna med GDPR jämfört
med PUL forts.
• Missbruksregeln försvinner (§ 5 a PUL)
• Känsliga personuppgifter omfattar genetisk och biometrisk
information
• Anmälan av personuppgiftsincident till Datainspektionen inom
72 timmar
• Utökade krav på information till de
registrerade
• Höga sanktionsavgifter vid brott
mot förordningen på upp till det
högsta av 4 % av den globala års-
omsättningen eller € 20 000 000
7
![Page 8: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/8.jpg)
Huvuddragen i GDPR
• Gäller vid behandling av personuppgifter
som är helt eller delvis automatiserad eller
manuell om uppgifterna finns eller är
avsedda att finnas i register
• Syftet är att förhindra att människors integritet kränks genom
behandling av personuppgifter
• Bygger på samma grundprinciper som PUL men mer formella
krav och ansvar på den som behandlar personuppgifter
• GDPR är subsidiär till annan lagstiftning och kan kompletteras
av nationella bestämmelser
8
![Page 9: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/9.jpg)
Vad är personuppgifter?
En personuppgift är ”en eller flera uppgifter i kombination som
indirekt eller direkt kan identifiera en fysisk person.”
Detta innefattar ej anonym information som exempelvis statistik
Exempel på personuppgifter för anställda:
• Namn
• Personnummer
• Kontaktuppgifter
• Kontonummer
• Foto
• Röst
• Värderande omdömen
• Resultat från personlighetstest eller kunskapstest
9
![Page 10: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/10.jpg)
Särskilda kategorier av personuppgifter
(känsliga personuppgifter)
• Ras och etnicitet
• Politiska åsikter
• Religiös eller filosofisk
övertygelse
• Medlemskap i fackförening
• Genetiska och biometriska
uppgifter
• Hälsa
• Sexualliv eller sexuell läggning
10
![Page 11: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/11.jpg)
Särskilt om vissa personuppgifter
• Uppgifter om personnummer eller samordningsnummerfår behandlas utan samtycke endast när det är klart
motiverat med hänsyn till ändamålet med behandlingen,
vikten av en säker identifiering eller något annat
beaktansvärt skäl (Lagförslag 13 § i den nya svenska lagen)
• Uppgifter som rör fällande domar i brottmål får endast
utföras under kontroll av
myndighet och då behandling-
en är tillåten enligt lag (Art. 10 GDPR)
11
![Page 12: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/12.jpg)
Vad är personuppgiftsbehandling?
• Insamling
• Registrering
• Lagring
• Strukturering
• Bearbetning
• Ändring
• Organisering
• Läsning
• Utlämnande/överföring/överlämnande/spridning
• Sammanställning eller samkörning
12
![Page 13: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/13.jpg)
Vilka behandlar personuppgifter?
• Personuppgiftsansvarig – den som ensam eller
tillsammans med andra bestämmer ändamålen med
behandlingen av personuppgifter
• Personuppgiftsbiträde – den som behandlar
personuppgifter för den personuppgiftsansvariges räkning
• Underbiträde – den som anlitas av personuppgiftsbiträdet
• Dataskyddsombud – utses av den personuppgifts-
ansvarige eller personuppgiftsbiträdet för att säkerställa att
behandling av personuppgifter sker på ett korrekt sätt
13
![Page 14: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/14.jpg)
Hur ska behandlingen gå till?
Behandlingen av personuppgifter ska vara:
• Laglig, korrekt och transparent i förhållande till den
registrerade
• För särskilda, uttryckligt angivna och berättigade ändamål
• Adekvata, relevanta och inte mer omfattande än
nödvändigt
• Korrekta och ej sparade längre än nödvändigt
• Lämplig ur säkerhetssynpunkt
14
![Page 15: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/15.jpg)
Grundläggande kraven enligt GDPR
Behandling av personuppgifter är laglig om det finns ett
giltigt samtycke från den registrerade eller om
behandlingen är nödvändig för att:
• Fullgöra ett avtal som den registrerade är part i• Fullgöra en rättslig förpliktelse
• Skydda intressen av grundläggande betydelse för den
registrerade
• Utföra en uppgift av allmänt intresse
• Om berättigat intresse finns som väger tyngre än den registrerades krav på skydd av personuppgifter – intresseavvägning
15
![Page 16: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/16.jpg)
Vad är ett giltigt samtycke?
• ”Varje slag av frivillig, specifik och otvetydig viljeyttring
genom vilken den registrerade, efter att ha fått information,
godtar behandlingen av personuppgifter som rör honom
eller henne”
• Den registrerade kan när som helst återkalla sitt samtycke
16
![Page 17: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/17.jpg)
Arbetstagares samtycke
• Arbetstagare kan normalt inte lämna giltiga samtycken
pga av beroendeställning
• Hypotetiskt eller tyst samtycke godtas ej
• Arbetsgivare bör alltid se till att stödja en behandling på
ytterligare grund utöver ett samtycke
17
![Page 18: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/18.jpg)
Barns samtycke
Lagförslag: Föräldrars samtycke om barnet är under 13 år
Gäller ”informationssamhällets tjänster”
Metod för att kontrollera att vuxen ger samtycke online?
- ” Rimliga ansträngningar från den registeransvarige för
att kontrollera att samtycke ges eller godkänns av den
person som har föräldraansvar för barnet, med hänsyn
till tillgänglig teknik.”
18
![Page 19: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/19.jpg)
Rättigheter enligt GDPR
• Den registrerade ska få tydlig och begriplig information om
behandlingen
• Rätt att få tillgång till de personuppgifter som behandlas
gratis
• Rätt att rätta felaktiga personuppgifter (gäller även för dem
till vilka personuppgifter överförts)
• Rätt till begränsning och radering (”Right to be forgotten”)
• Rätt att invända mot att personuppgifter används för
direktmarknadsföring eller automatiserat beslutsfattande
och profilering
• Dataportabilitet – dvs. personuppgifterna ska kunna
överföras
19
![Page 20: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/20.jpg)
Skyldigheter enligt GDPR
• Föra register över behandlingar av personuppgifter
• Vidta ”lämpliga tekniska och organisatoriska åtgärder” för
att skydda personuppgifterna
• Optimera IT-system (”Privacy by design”)
• Göra konsekvensbedömning om en
personuppgiftsbehandling medför hög risk för fysiska
personers rättigheter och friheter
• Meddela Datainspektionen inom 72 timmar om
personuppgiftsincidenter – i vissa fall även de registrerade
20
![Page 21: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/21.jpg)
Tillsynsmyndighet
www.datainspektionen.se
Byter under 2018 namn till
Integritetsskyddsmyndigheten
21
![Page 22: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/22.jpg)
Så förbereder du verksamheten
• Inventera och dokumentera vilka personuppgifter som
hanteras, hur de samlas in och till vem uppgifterna lämnas ut
- Endast ”need to have” inga ”nice to have”!
- Behandlar ni personuppgifter i ostrukturerat material?
- Finns det känsliga personuppgifter?
• Inventera och dokumentera på vilka rättsliga grunder
behandlingen sker – samtycke, avtal etc.?
• Hur länge sparas personuppgifter – gallring?
• Är de registrerade tillräckligt informerade om behandlingen –
information?
• Hur inhämtar ni samtycke? Hur sparar ni uppgifter om att
samtycke lämnats?
22
![Page 23: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/23.jpg)
Så förbereder du verksamheten, forts.
• Hur ska ni tillmötesgå de registrerades rättigheter?
• Behöver ni utse ett Dataskyddsombud? Om inte dokumentera
er bedömning
• Behöver ni göra en konsekvensbedömning? Om inte
dokumentera er bedömning
• Register och rutiner
• Upprätta en dataskyddspolicy. Personuppgiftsansvariga måste
kunna dokumentera och visa att GDPR följs
23
![Page 24: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/24.jpg)
Så förbereder du verksamheten, forts.
• Säkerställ att IT-system har inbyggd integritet (”privacy by
design”)
- minimera mängden personuppgifter,
- begränsa åtkomsten till personuppgifterna och
- skydda personuppgifterna
• Se över er organisation och klargör ansvaret för att GDPR
följs internt
24
![Page 25: Nya Dataskyddsförordningen, GDPR · Nya Dataskyddsförordningen, GDPR Advokat Josephine Borg. Elmzell –Partners in Law ... (Lagförslag 13 § i den nya svenska lagen) • Uppgifter](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009d0f2a3e532601759c586/html5/thumbnails/25.jpg)
www.iuslaboris.com
North America: Mexico - United States
Central & South America: Argentina - Brazil - Chile - Colombia - Panama - Peru
Western Europe: Austria - Belgium - Cyprus - Denmark - Finland - France - Germany - Greece - Ireland - Italy
Luxembourg - Netherlands - Norway - Portugal - Spain - Sweden - Switzerland - United Kingdom
Eastern Europe: Czech Republic - Estonia - Hungary - Latvia - Lithuania - Poland - Romania - Russia - Slovakia - Turkey - Ukraine
Middle East & Asia Pacific: China - India - Israel - Japan - Korea, Republic of - New Zealand - United Arab Emirates
Kontakt:[email protected]
Tel: 08 21 16 04
Mobil: 0709 42 61 98