välkommen dataskyddsförordningen · 2. inledning om gdpr, allmänt 3. omfattning och definitioner...
TRANSCRIPT
Bild 1
DataskyddsförordningenEU 2016/679
GDPRpresentatör
Dataskyddsombudet i Ludvika kommun
Bild 2
2020-03-04Sida 2
Välkommen
Inspirationsföreläsning
GDPR
&
föreningslivet
Bild 3
Christer Granqvist
DataskyddsombudLudvika kommun
2020-03-04Sida 3
Föredragshållare
Friskrivning:
Ludvika kommun och dess dataskyddsombud friskriver sig från ansvar gällande tolkningar av det som sägs och
presenteras under detta föredrag om GDPR samt i det här föreläsningsmaterialet. Föreläsningsmaterialet ska ses
som en inspiration till att ta reda på mer om de personuppgiftsbehandlingar som planeras eller sker i en förening.
Föredraget innehåller inte en uttömmande beskrivning över de skyldigheter en personuppgiftsansvarig ska efterleva.
Det åligger enskilda och organisationer att självständigt ansvara för sina behandlingar av personuppgifter och att
efterleva vid var tid gällande dataskyddslagstiftning.
Bild 4
Tider: 17:00 - 18:30 19 februari 2020
1. Välkomna
2. Inledning om GDPR, allmänt
3. Omfattning och definitioner
4. Kategorier av personuppgifter
5. Hanteringskrav
6. Appar och sociala medier
7. Grundprinciperna för skydd av integritet
8. Kamerabevakning
9. Slutord
2020-03-04Sida 4
PROGRAM
Under och efter föredraget finns visst utrymme för frågor från åhörarna.
Bild 5 GDPR & Mänskliga rättigheter
Respekten för de mänskliga rättigheterna,
värdighet, frihet, demokrati, jämlikhet, och
rättsstatsprincipen är värderingar som
delas av alla medlemsstater i Europeiska
unionen (EU).
Det präglar också EU:s agerande både
inom och utanför unionens gränser.
Bild 6
• 1973 Datalagen
• 1973 Datainspektionen bildas
• 1981 IBM lanserar den första persondatorn (PC)
• 1995 Dataskyddsdirektivet 95/46/EG
• 1998 Svensk lag 1998:204 (PUL)
• 2007 Uppdaterad PUL
• 2008 Smarta mobiler. Apple lanserar iPhone i Sverige
• 2012 EU kommissionen föreslår det som blir GDPR
• 2016 GDPR står klar 27 april 2016
• 2018 GDPR gäller med start den 25 maj 2018
• 2018 Ny svensk Dataskyddslag börjar också gälla samtidigt
2020-03-04Sida 6
Förr och nu
Bild 7
7
Ständigt uppkopplade ?
Låt bilden symbolisera den digitala världen. Hur upplever du och dina föreningsmedlemmar den. Har ni insikt och kontroll över hur personuppgifter behandlas i din förening. Dataskyddsförordningen, GDPR, ställer både krav och ger de registrerade rättigheter.
Bild 8
Den svenska personuppgiftslagen (PUL) upphörde
att gälla och ersattes med GDPR 25 maj 2018
Tidigare svenskt undantag i PUL upphörde då att
gälla för personuppgifter i ostrukturerat material:
- Epost
- Löpande text på webbsidor
- Minnesanteckningar
2020-03-04Sida 8
Kommer du ihåg PUL?
Då PuL infördes i Sverige 1998 undantogs en hel del behandling av personuppgifter i s.k. ostrukturerat material. Det innebar att föreningar inte behövde tillämpa PuL då man behandlade personuppgifter i minnesanteckningar, protokoll, e-post och på webbsidor. Så länge som man inte kränkte någon så behövde man inte beakta personuppgiftslagen.
Bild 9
2020-03-04Sida 9
Hur upplever vi GDPR ?
Hur upplever du som åhörare GDPR? Känslor? Efter den här föreläsningen så hoppas jag att du som åhörare har eller får en positiv syn på den nytta GDPR är tänkt att göra för att stärka individers fri- och rättigheter.
Bild 10
• Var öppen och berätta för medlemmarnaom varför och hur ni använder deras personuppgifter. (GDPR artikel 13,14)
• Se till att ha laglig grund för all behandling, t.ex. genom föreningens stadgar och medlemsavtaleller kunders samtycke. (GDPR artikel 6 – 10)
• Behandla endast nödvändiga uppgifter. (GDPR artikel 5)
2020-03-04Sida 10
Några snabba om GDPR
Med öppenhet menas att du är aktiv i att informera medlemmar, kunder, besökare och anställda. Det räcker inte med att passivt enbart hänvisa till information på en hemsida. Tänk på att det alltid är den personuppgiftsansvarige (t.ex. styrelsen eller den juridiska personen om sådan finns) som har bevisbördan att man informerat medlemmar, kunder och besökare m.fl. på ett öppet och tydligt, enkelt och lättförståeligt sätt.
Bild 11 Samband utan motstridigheter till
GDPR
Dataskyddsreformen
Dataskyddsdirektivet
Kamerabevakningslagen
Under tiden före och med GDPR pågick och fortgår ett arbete med harmonisering av nationell lagstiftning och förordning så att inga motstridigheter mellan dem ska råda. Vi fick t.ex. en uppdaterad Kamerabevakningslag helt nyligen. I bilden här symboliseras hur EU:s stadga om mänskliga rättigheter samt Europakonventionen ligger till grund för GDPR. Vi noterar även att Svenska grundlagar med t.ex. yttrandefrihet och tryckfrihet har företräde då man tolkar annan dataskyddslagstiftning.
Bild 12 GDPR & fri rörlighet
Grundtankarna med samarbete inom EU:
det ska vara enkelt att handla, resa och arbeta.
De fyra friheterna är fri rörlighet för personer,
varor, tjänster och kapital mellan EU-länderna.
Före GDPR bestod Unionen av ett komplicerat lapptäcke av olika länders restriktioner eller icke restriktioner för personuppgiftsbehandling. Detta var både kostsamt och krångligt men framför allt så skapade det en otrygghet då det gällde behandling av personuppgifter i samband med det fria flödet av varor och tjänster mellan organisationer och kunder inom EU.
Bild 13
GDPR gäller:
EU:s medlemsländer samt EES-länderna
Leverantörer utanför detta område måste följa GDPR om de tillhandahåller varor och tjänster till personer
inom EU/EES-området.
2020-03-04Sida 13
Territoriellt tillämpningsområde
GDPR skyddar alla som vistas inom unionen.
Man behöver alltså inte vara EU-medborgare för att
erhålla GDPR:s skydd.
Detta faktum behöver dock förstås i förhållande till lagstiftning i länder utanför EU och EES. Vi benämner sådana länder som 3:e land. EU granskar och fastställer olika åtgärder som t.ex. Standardavtalsklausuler och Privacy Rules. EU godkände för några år sedan en sådan form av rättsligt skydd för överföring av personuppgifter från EU:s territoriella områden till USA. Den s.k. ”Skölden” kallas Privacy Shield. På senare tid har Sköldens skydd ifrågasatts och debatterats såväl i Sverige som inom EU. Under våren 2020 hoppas vi på ett uttalande från EU. Svenska jurister uttrycker sig i termer av att – ”rättsläget i frågan anses vara osäkert”. Om din förening använder tjänster på nätet så är det viktigt att ni tar reda på om tjänsterna är kopplade till leverantörer eller deras underleverantörer i ett 3:e land.
Bild 14
2020-03-04Sida 14
EU-länder
Belgien Malta
Bulgarien Nederländerna
Cypern Polen
Danmark Portugal
Estland Rumänien
Finland Slovakien
Frankrike Slovenien
Grekland Spanien
Irland Sverige
Italien Tjeckien
Kroatien Tyskland
Lettland Ungern
Litauen Österrike
Luxemburg
I samband med att listan över EU-länder presenterades så har Storbritannien lämnat EU. Notera att det finns övergångsbestämmelser gällande Storbritanniens utträde. GDPR fortsätter att gälla Storbritannien under övergångsperioden 1 feb. – 31 dec. 2020. Har din förening några kopplingar till tjänsteleverantörer i Storbritannien? Kanske använder er förening någon molntjänst eller app vars biträde eller underbiträde har säte i Storbritannien.
Bild 15
• Island
• Liechtenstein
• Norge
2020-03-04Sida 15
EES-länder
Samma dataskyddsregler (GDPR) gäller i dessa EES-länder som inom EU-länderna.
Bild 16
Vad innebär det?
• GDPR kommer att fortsätta att gälla i Storbritannien under den övergångsperiod som löper mellan:1 feb. 2020 - 31 dec. 2020
• Möjlighet finns att förlänga denna period med högst ett eller två år.
2020-03-04Sida 16
Storbritannien har lämnat EU
Den som använder personuppgiftsbiträden med säte i Storbritannien behöver bevaka utvecklingen av landets dataskyddsförhållanden med EU.
Bild 17
• Föreningar• Organisationer
• Myndigheter
• Företag
• Privatpersoner som sprider information utanför hemmets privata sfär på t.ex. Internet och sociala medier måste följa GDPR.
2020-03-04Sida 17
Vem omfattas primärt av GDPR ?
Bildens betoning på ”Föreningar” är inte avsedd att säga att föreningars beroenden till GDPR är större än andra intressenters. Alla som behandlar personuppgifter ska känna till begreppet personuppgiftsansvarig. Vi återkommer längre fram i detta föredrag till definitionen av ”Personuppgiftsansvar”.
Bild 18
JA, följande undantas:
• Verksamhet av rent privat natur
• Samband med den fysiska personens hushåll
2020-03-04Sida 18
Finns det undantag från GDPR ?
Bild 19
• Det har saknats tillräckligt bra mekanismer för enskilda att värna sin integritet !
• Frånvaron innan GDPR av tillräckligt bra mekanismer för att tvinga personuppgifts-ansvariga att respektera regelverk som t.ex. PuL har lett till minskat engagemang i ansvarsfrågan.
• Det har tidigare inte kostat att bryta mot den svaga dataskyddslagstiftningen.
2020-03-04Sida 19
Problembilden
Cambridge Analytica & Facebook skandalen är bara ett exempel i mängden. På senare tid har vi även förstått att hälso- och sjukvårdens 1177.se varit föremål för en stor skandal då det avslöjats allvarliga brister i skyddet av känsliga personuppgifter. Inspelade telefonsamtal till 1177 som gjorts i vissa Regioner visade sig ha legat oskyddade på en server med åtkomst via Internet. Hos Region Dalarna har inte Hälso-och Sjukvårdens användning av 1177 varit berörd.
Bild 20
och med vilka konsekvenser som följd?
2020-03-04Sida 20
Vilka problem kan bristen ha orsakat,
Ex.1 - En person som fått sina hälsoproblem
röjda kan uppleva det som pinsamt, vilket är
illa nog.
Detta kan leda till negativa konsekvenser i framtiden
för det sociala livet. I värsta fall kan det medföra
bromsad karriär, nekad livförsäkring eller avslag på
jobbansökningar.
Ett uppmärksammat problem på senare tid är att försäkringsgivare ber om fullmakt att få ta del av en individs patientjournal innan försäkringsbolaget bedömer rätten och priset när en individ vill teckna en viss typ av försäkring. T.ex. livförsäkring. Ett sådant förfarande där individen lämnar fullmakt till någon eller själv begär sitt journalutdrag för att lämna till ett bolag kan få konsekvenser på lång sikt. Förfaringssättet bygger på den registrerades lagliga rätt att få tillgång till sin egen information. Men,
förstår alla vad framtida konsekvenser kan bli när man förlorar kontrollen över sina egna känsliga personuppgifter?
Bild 21
Ex.2 - En person som får sin geografiska uppehållsort röjd kan råka ut för samma sak som hände en kvinna i Oslo.
2020-03-04Sida 21
Forts…
Kvinnan var förföljd av sin f.d. make och försökte hålla
sig gömd.
Maken ringde biltullsföretaget och uppgav kvinnans
bils registreringsnummer, och fick då reda på var och
när hon brukade passera med sin bil. Därmed kunde
han hitta henne, vilket var det hon minst av allt ville.
Skulle något liknande kunna hända i din förening? Vi vill ju tro gott om allt och alla.
Bild 22
2020-03-04Sida 22
GDPR i föreningslivet
• Alla delar av organisationen som behandlar
personuppgifter berörs av GDPR.
• Anställda, lönelistor, medlemmar, kunder,
tjänster, webbsidor och appar berörs.
• Föreningen skall kunna förklara vilka
uppgifter den har insamlade och lagrade samt
varför och hur länge man sparar uppgifterna.
Vem ska ha kontroll och vad behöver vi ha ordning och reda på om föreningens personuppgiftsbehandlingar?
Bild 23
• Personuppgift
• Behandling
• Personuppgiftsansvarig
• Personuppgiftsbiträde
• Samt benämningar på olika typer av åtgärder, t.ex PuB-avtal …
2020-03-04Sida 23
Vi går igenom några begrepp
Bild 24
2020-03-04Sida 24
Vad är en personuppgift?
Läs mer på: www.datainspektionen.se
Bild 25
Ofta tänker vi på följande:
• Personnummer
• Namn
• Mobiltelefonnummer
• E-postadress
• Men, det finns så mycket mer …… ->
2020-03-04Sida 25
Vanliga personuppgifter
Bild 26
2020-03-04Sida 26
Var hanterar vi personuppgifter vanligtvis ?
Börja med dig själv och hur du använder mobiltelefonen. Tänk efter om det är något i den som inte indirekt kopplas till en personuppgift om dig eller annan person. Appar spårar var du befinner dig. Appar tillåts lyssna på dig via mikrofonen.
Bild 27
2020-03-04Sida 27
Var hittar vi personuppgifter ?
Hushållssopor kan innehålla personuppgifter
Kontorets återvinning kan
innehålla personuppgifter
Hur hanterar du pappersdokument, USB-minnen och andra bärare av personuppgifter. Lägger du dem i återvinningen? Vad kan hända om någon obehörig tar del av dessa uppgifter?
Bild 28
2020-03-04Sida 28
Personuppgiftsbehandling
Bild 29
• Insamling, organisering, registrering
• Lagring, bearbetning, ändring
• Framtagning, läsning, användning
• Överföring, spridning, utlämning
• Justering, sammanförande
• Begränsning, radering, förstöring
2020-03-04Sida 29
Vad räknas som behandling ?
Bild 30
GDPR omfattar all behandling som är:
• Helt automatiserad (= sker digitalt)
• Delvis automatiserad (manuell insamling
som behandlas automatiserat)
• Manuell behandling (om del av ett register)
2020-03-04Sida 30
Vilken behandling omfattas?
Bild 31
• Personuppgifter som inte är digitala och inte
kommer att ingå i ett register.
• Anonymiserade uppgifter är inte
personuppgifter även om de är digitala.
• OBS! förväxla inte pseudonymiserade
uppgifter med anonymiserade.
2020-03-04Sida 31
Omfattas inte …..
Bild 32
”Den som ensamt eller
tillsammans med andra
bestämmer ändamålen och
medlen för behandlingen av
personuppgifter.”
2020-03-04Sida 32
Vem är personuppgiftsansvarig?
Undantag:
Anställd som agerar utanför sitt anställningsavtal
kan bli personuppgiftsansvarig istället för
arbetsgivaren.
När man uppdrar åt någon att behandla föreningens personuppgifter så kan det vara i rollen biträde, även benämnt personuppgiftsbiträde, som denne knyts till din förening. Oftast är denne en extern juridisk person, t.ex. ett företag. Det är nödvändigt att din förening reglerar biträdets ansvar genom någon typ av rättsakt, t.ex. ett avtal. (Ofta kallat Personuppgiftsbiträdesavtal eller biträdesavtal kort och gott). Om biträdet agerar utanför biträdesavtalet så blir det själv ansvarigt för att efterleva GDPR.
Bild 33
• Avtal = rättslig grund vid behandling av personuppgifter i syfte att administrera medlemskap i föreningar och förbund, samt för tävlings- och licensadministration.
• Olika typer av föreningar:- juridisk person- icke juridisk person
• Vissa saker som t.ex. publicering av foton på sociala medier och Internet kräver dock samtycke som rättslig grund.
2020-03-04Sida 33
Styrelsen är personuppgiftsansvarig
För att fastställa personuppgiftsansvar så måste man se till hur organisation och ansvar är reglerat.
Bild 34
• ”Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.”
• Biträdet befinner sig alltid utanför den ansvariges organisation.
• Den som behandlar personuppgifterna för föreningens räkning (t.ex. en bokföringsbyrå) i ett löneprogram kallas personuppgiftsbiträde och skall underteckna ett personuppgifts-biträdesavtal.
2020-03-04Sida 34
Personuppgiftsbiträde
Bild 35
• Personuppgiftsbiträdesavtal = PuB-avtal
är en rättslig reglering mellan den ansvarige
och biträdet.
• Registerförteckning = en lista som den
personuppgiftsansvarige ständigt måste
hålla aktuell och som beskriver alla typer av
behandling man gör av personuppgifter.
2020-03-04Sida 35
Övriga termer och begrepp
Bild 36
• Syftet med dataskyddslagarna är att skydda människors integritet, dvs. fri- och rättigheter.
• Lagen ger människor ett starkt skydd för sina personuppgifter och ställer tuffa krav på företag, myndigheter och organisationer.
• GDPR gäller före nationella lagar.
• Svenska grundlagar gäller dock före GDPR
2020-03-04Sida 36
GDPR och andra lagar
Bild 37
2020-03-04Sida 37
Kategorier av personuppgifter
Hanteringskrav
i
lagstiftningen
Bild 38
2020-03-04Sida 38
Olika stränga krav :
Vanliga SärskildaSkyddsvärda
Den här bilden används i kombination med nästa bild.
Bild 39
2020-03-04Sida 39
Säkerhetsåtgärder & rättslig grund
Den här bilden används i kombination med föregående bild.
Bild 40
Generellt så råder det förbud att behandla:
1. personuppgifter om ras eller etniskt ursprung,
2. politiska åsikter,
3. religiös eller filosofisk övertygelse
4. medlemskap i fackförening
5. behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person,
6. uppgifter om hälsa
7. uppgifter om en fysisk persons sexualliv eller sexuella läggning.
8. Uppgifter om brott
2020-03-04Sida 40
Särskilda (känsliga) uppgifter
I GDPR finns begreppet känsliga personuppgifter beskrivna i artiklarna 9 och 10.
Bild 41
1. Samtycke
2. Avtal
3. Rättslig förpliktelse
4. Skydda ett grundläggande intresse för den registrerade
5. Allmänt intresse
6. Myndighetsutövning
7. Intresseavvägning (Ej OK att anv. för myndigheter)
för punkt 2-6 krävs att behandlingen är nödvändig.
2020-03-04Sida 41
Rättslig grund för vanliga personuppgifter
Samtycke är den sista utvägen att pröva då man söker rättslig grund. Pröva först om behandlingen av personuppgifter stöds av föreningens stadgar eller avtal med kunder/medlemmar. En personuppgiftsbehandling ska vara ”nödvändig”. En privat aktör kan till exempel göra en intresseavvägning om att en marknadsföring där man kontaktar sina kunder är något som väger tyngre än kundernas behov av att inte få ett informationsutskick. Nödvändighetsrekvisitet har en dock striktare betydelse än vad vi använder ordet ”nödvändigt” till i vardagligt tal. Här betyder nödvändigt att något är påbjudet i lag eller förordning. Ett exempel på detta är skolans arbete med förskolebarn och elevers personuppgifter i samband med att man följer det som påbjuds i skollagen. Då kallar vi det att den lagliga grunden är av allmänt intresse och har sitt nödvändighetsrekvisit i skollagen. Det föreskrivs till exempel att skolan ska ha ett nära samarbete med vårdnadshavare. Ur det kan man däremot inte tolka att det är nödvändigt att publicera bilder av elever på olika forum på Internet. Här kan det istället krävas en integritetsprövning och ett inhämtande av samtycke från vårdnadshavarna för att få publicera bild av barnet.
Bild 42
• Behandlingen utförs inom ramen för en
berättigad verksamhet med lämpliga
skyddsåtgärder hos en stiftelse, en förening
eller annat icke vinstdrivande organ,
• Som har ett politiskt, filosofiskt, religiöst
eller fackligt syfte,
• Förutsatt att en sådan behandling enbart
berör dess medlemmar ……
2020-03-04Sida 42
Rättslig grund för känsliga personuppgifter
Bild 43
• Ett uttryckligt samtycke har getts
• Individen har på ett tydligt sätt offentliggjort personuppgiften.
• Arkivändamål av allmänt intresse
• Samt ett antal andra grunder som först och främst riktar sig till myndigheter.
2020-03-04Sida 43
Forts. Rättslig grund för känsliga personuppgifter
Bild 44
• Vad är ett samtycke?
• ”Varje slag av frivillig, specifik, informerad
och otvetydig viljeyttring, genom vilken den
registrerade, antingen genom ett uttalande
eller genom en entydig bekräftande
handling, godtar behandling av
personuppgifter som rör honom eller
henne.”
2020-03-04Sida 44
Samtycke
Läs gärna mer om samtycke på www.datainspektionen.se
Bild 45
• Formkrav på skriftligt samtycke:
Klart och tydligt
Särskiljas från andra frågor
Begripligt och lättillgängligt
Klart och tydligt språk
• Återkallelse av samtycke:
Lika lätt att återkalla som att ge det
Återkallas i samma form som det lämnades
2020-03-04Sida 45
Villkor för giltigt samtycke
Tänk på att det alltid är den som är personuppgiftsansvarig som har bevisbördan att man informerat innan någon lämnar ett samtycke. Otvetydigt samtycke för mail om produktinformation: Om användaren matar in sin mailadress och det framgår tydligt att mailadressen kommer att användas för att skicka produktinformation, så är det otvetydigt att användaren samtyckt till att ta emot produktinformation. Tänk dig ett inmatningsfält med ledtexten “Mailadress för erbjudanden från Företaget AB”. Matar du in din mailadress i ett sådant fält, så samtycker du otvetydigt till att ta emot meddelanden med erbjudanden. Ogiltigt samtycke för mail om produktinformation: Om mailadressen istället samlats in i samband med att användaren begär att få en licensnyckel skickad till sig (med ledtexten “ange din mailadress”) så finns bara samtycke för att skicka licensnycklar. Det finns i detta exempel inget samtycke för att skicka mail med produktinformation!
Bild 46
Krav för specifikt samtycke:
Uttryckligt angiven (exakta syftet)
Berättigad (rimliga förväntningar)
Begränsad (inte generell)
2020-03-04Sida 46
Uttryckligt (specifikt) samtycke
Ett uttryckligt samtycke uttalar konkret att individen samtycker till något som är avgränsat och har ett tydligt ändamål.
Bild 47
Krav för frivillig samtycke:
Genuin eller fri valmöjlighet att välja
Kunna vägra eller ta tillbaka sitt samtycke
Ej frivilligt om betydande ojämlikhet råder:
Anställningsförhållanden, patient, elev ….
Myndighetsutövning
2020-03-04Sida 47
Samtycke ska vara frivilligt
Om man vägrar att lämna ett samtycke eller om man tar tillbaka sitt samtycke så får den handlingen inte leda till konsekvenser som påverkar individens fri- och rättigheter på ett negativt sätt. Om en skola skulle införa nya system till skolmatsalens utlämning av tallrikar och liknande och använda fingeravtryck till detta och avkräva ett samtycke av eleven/vårdnadshavaren till att få behandla biometriska personuppgifter (fingeravtryck, vilket klassas som känslig personuppgift) så skulle vi snabbt kunna konstatera att elever står i en beroendeställning till sin skola. Då faller möjligheten att använda samtycke som laglig grund i det här specifika fallet. Diskutera om det är möjligt att göra något liknande med stöd av intresseavvägning i din förening. Tänk på att behandling av känsliga personuppgifter måste vara ”nödvändiga”. Om syftet är att ersätta taggar och nycklar så anser jag att man alltid ska sträva efter att använda behandlingar av personuppgifter som är så lite integritetskränkande som möjligt.
Bild 48
• Mobiltelefoner & surfplattor
• Tjänster hos Google och andra bolag
• Instagram, Messanger
2020-03-04Sida 48
Appar och sociala medier
Bild 49
• Den som öppnar en grupp eller ett forum på Facebook har ett ansvar för vad andra skriver och publicerar på forumet.
• I vissa delar är man då gemensamt ansvarig tillsammans med Facebook.
• Man utgår ifrån vem som kan redigera och radera inlägg på forumet. Det avgör ansvarsfrågan.
• På Twitter kan man inte påverka på samma sätt som på andra forum. Twitter = PuA
2020-03-04Sida 49
Kort om sociala medier och GDPR
Bild 50
• Molntjänster = lagring i någon annans dator
• Det händer att företag lovar att man lagrar dina uppgifter inom Sverige eller i alla fall inom EU,
• men om de använder underleverantörer som Google, Amazon, Microsoft eller andra med säte utanför EU/EES så betyder det rättsligt att dina uppgifter behandlas under annan lagstiftning istället för Unionsrätten och svensk lag.
2020-03-04Sida 50
Molntjänster & personuppgifter
Bild 51
Alla länder utanför EU och EES räknas som
3:e land
Huvudregel i GDPR:
Förbud mot överföring av personuppgifter
utanför EU/EES.
2020-03-04Sida 51
Personuppgifter & överföring till 3:e land
Bild 52
Under vissa förutsättningar kan
personuppgifter få behandlas i 3:e land
Förutsättningar:
• Adekvat skyddsnivå i det landets lagar
• Lämpliga skyddsåtgärder etableras
2020-03-04Sida 52
Personuppgifter & överföring till 3:e land
Bild 53
• T.ex. att supportpersonal i 3:e land har fjärråtkomst till servrarna i Sverige och kan se personuppgifter.
• Att om leverantören av tjänsten har sitt säte i 3:e land och är skyldig därav att följa det landets lagar före svensk lag så betraktas det som en överföring även om ingen data kopieras eller flyttas till det 3:e landet.
2020-03-04Sida 53
Vad räknas som en överföring ?
Bild 54
2020-03-04Sida 54
Grundprinciper
Kärnan i GDPR
finns i
artikel 5
Bild 55
Personuppgiftsbehandling ska ske med:
• Öppenhet
• Laglighet
• Vara nödvändig
• Korrekthet, uppdaterade uppgifter
• Ändamålsbegränsning
• Ansvarsskyldighet
2020-03-04Sida 55
Grundläggande principer i GDPR
Bild 56
• Och vara adekvat, relevant och inte för
omfattande
• Uppgifterna får inte lagras längre än nödvändigt
(såvida inte annat föreskrivs i lag)
• Ha lämplig teknisk och administrativ säkerhet
2020-03-04Sida 56
Grundprinciper forts.
Bild 57
Information (artikel 13-14)
Tillgång (artikel 15)
Rättelse (artikel 16)
Radering (artikel 17)
Begränsning (artikel 18)
Dataportabilitet (artikel 20)
Invändningar (artikel 21)
Automatiserat beslutsfattande inkl. profilering (artikel 22)
2020-03-04Sida 57
De registrerades rättigheter
Bild 58
• Plikten att rapportera incidenter
• Att föra ett register över alla incidenter, även
de som inte bedömts rapporteringspliktiga.
• Att ha en organisation som har förmåga att
hantera incidenter.
En tydlig konsekvens är:
Bild 59 Digitaliseringen i samhället
Hur digital är din förening? Finns ni på Internet och i sociala medier? Gör ni e-postutskick, SMS-meddelanden etc..
Bild 60
• Transportstyrelsens IT-skandal
• 1177 Vårdguiden
• Känt lönesystem drabbat
• Stockholms stad
och försörjningsstöd
Händelser som uppmärksammats 2019
Bild 61 GDPR ställer krav
•Att en registerförteckningen ska även
omfatta ostrukturerade
personuppgiftsbehandlingar.
•Plikt att incidentrapportera inom 72 tim.
till datainspektionen.
Bild 62
Säkerhetsincident som rör personuppgifter som:
• Blivit förstörda
• Ändrade
• Förlorade
• Kommit i orätta händer
Vad är en personuppgiftsincident ?
Det spelar ingen roll om incidenten har skett oavsiktligt eller med avsikt
Bild 63 Bevakningskameror
Bestämmelser
i olika
situationer
Bild 64 Allmän plats
• En plats, lokal, väg eller ett utrymme dit
allmänheten har tillträde.
• Kamerabevakningslagen gäller här.
• GDPR gäller samtidigt här
• Båda lagarna måste uppfyllas samtidigt.
Bild 65 Du får kamerabevaka ditt eget hem
• Du får kamerabevaka din bostad och din tomt utan att behöva ta hänsyn till vare sig:
- Dataskyddsförordningen
- Kamerabevakningslagen.
• Det ska vara frågan om verksamhet av rent privat natur och du får inte filma en plats dit allmänheten har tillträde eller någon annans privata tomt.
Fritt översatt
Bild 66 Datainspektionens uttalande
Som huvudregel har privatpersoner rätt att
kamerabevaka sin egen bostad och tomt. Det
är nämligen vad som faktiskt fångas på film
som avgör om bevakningen är laglig – inte
syftet.
Fritt översatt
Bild 67 Fastigheter och föreningslokaler
När krävs tillstånd för kamerabevakning?
• Tillstånd till kamerabevakning krävs om bevakningen avser en plats dit allmänheten har tillträde, samt bedrivs av en myndighet eller någon annan vid utförande av en uppgift av allmänt intresse som följer av bl.a. lag.
• I en dom från Högsta förvaltningsdomstolen ansågs kameror vid entréer till flerfamiljshus vara på en plats dit allmänheten har tillträde eftersom att det inte fanns något fysiskt som hindrade allmänheten att ta sig till entréerna.
• Ett exempel på det var att fastigheten inte hade någon anordning, t.ex. en låst grind, som kunde avskilja den från entréerna.
Fritt översatt
Bild 68 Kamerabevakning i allmänna utrymmen
• Får bostadsrättsföreningar utföra
kamerabevakning i cykelrum?
• Allmänheten har troligen inte tillträde till
cykelrummet och soprummet, och därför
omfattas det inte av kamerabevakningslagen
• Bestämmelserna i GDPR måste dock följas.
Fritt översatt
Bild 69 Informationsskyldighet
• Vidare måste den som bevakar bland annat tydligt informera om vem som bevakar, vilket syfte bevakningen har, och vart den som bevakas kan vända sig för ytterligare information och utkrävande av sina dataskyddsrättigheter (artikel 15).
• En tydlig markering av att bevakning görs fordras därför.
Fritt översatt
Bild 70 Kameraattrapper
• Dataskyddsförordningen och
kamerabevakningslagen gäller inte för
kameraattrapper.
• Om du vill sätta upp en attrapp är det bra att rikta
den så att grannar eller förbipasserade inte tror att
de blir bevakade.
Fritt översatt
Bild 71 Slutord
GDPR värnar om människan
GDPR är en styrelsefråga för föreningarna
GDPR betyder ett förändrat synsätt
GDPR är bra för det demokratiska öppna samhället
https://www.datainspektionen.se/vagledning
ar/for-foreningar-och-sma-organisationer/
Tänk på att om din förening är ansluten till en branschorganisation så finns det oftast stor kunskap och stöd att hämta från dem angående hur din förening bör agera med GDPR. Datainspektionen är tillsynsmyndighet och ger samtidigt generellt stöd via sin hemsida. I komplicerade rättsliga frågor är det ibland säkrast att kontakta en jurist med GDPR som specialistområde.
Bild 72
Tack för att du lyssnade