Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
36. GDPR-sex månader kvar
21-22 november 2017
PwC
#PwCkunskapsdagar
Välkommen!
Agenda
• Inledning och bakgrund
• Personuppgifter
• Viktiga begrepp
• De grundläggande principerna
• Laglig behandling av personuppgifter
• Den registrerades rättigheter
• Personuppgiftsansvarigs skyldigheter
• Personuppgiftsbiträde
• Vägen framåt
2
21-22 november 2017Kunskapsdagarna Göteborg 2017
Thomas Sageland
Senior Manager,
Cyber Security
PwC
#PwCkunskapsdagar
Inledning
• Ersätter Personuppgiftslagen (PuL)
• Träder i kraft 25 maj 2018
• € 20 000 000 eller 4 % av global årligomsättning i böter
21-22 november 2017Kunskapsdagarna Göteborg 20173
PwC
#PwCkunskapsdagar
Varför dataskyddsförordningen?
21-22 november 2017Kunskapsdagarna Göteborg 20174
Ge tillbakakontrollen
tillindividen
Tekniskutveckling
Ökaefterlevnaden
Ökatransparensen
PwC
#PwCkunskapsdagar
Vad är personuppgifter?
21-22 november 2017Kunskapsdagarna Göteborg 20175
Allt som direkt eller indirekt går att härleda till en fysisk person
Namn, adress,lägenhetsnummer
Loggar, backup, spellistor
Personnummer,passnummer
Telefonnummer,IP-adress, platsdata
Bild-, video- ochljudupptagningar
CV, anställningsnummer
Transaktioner, innehav
Kontonummer,kortnummer
PwC
#PwCkunskapsdagar
Särskild kategori av personuppgifter”Känsliga personuppgifter”
21-22 november 2017Kunskapsdagarna Göteborg 20176
Ras och etniskt ursprung
Religion
Hälsa
Sexualliv eller sexuellläggning
Politiska åsikter
Medlemskap i fackförening
Filosofisk övertygelse
Genetisk och biometrisk data
PwC
#PwCkunskapsdagar
Viktiga begrepp
21-22 november 2017Kunskapsdagarna Göteborg 20177
Ostrukturerad data
Personuppgiftsansvarig
Personuppgiftsbiträde
Behandling
Den registrerade
PwC
#PwCkunskapsdagar
Territoriellt tillämpningsområde
Organisationer etablerade i EU, eller
…behandlar uppgifter om personersom befinner sig i EU
21-22 november 2017Kunskapsdagarna Göteborg 20178
PwC
#PwCkunskapsdagar
De grundläggande principerna
21-22 november 2017Kunskapsdagarna Göteborg 20179
• Säkerhet• Syftar bl a till Inbyggt
dataskydd• ”Tillräckligt” skydd en
bedömningsfråga
• Får inte sparas längre änvad som är nödvändigtför ändamålet
• Gallring• T.ex. andra lagkrav eller
branschpraxis
• Korrekt från början och uppdatera om detär nödvändigt
• Objektiv information
• Öppenhet en nyhet, transparens vad man gör• Laglighet syftar bl.a. till ”laglig behandling”
• Måste alltid ha etttydligt ändamål medbehandlingen
• Detta sätter ramen förallt annat
• Legitimt ändamål
• Inte fler uppgifter änvad som är nödvändigtför ändamålet
• Inga ”bra att ha”-uppgifter
Ansvarig för efterlevnad och ansvarig för att kunna bevisa efterlevnad
Ökat dokumentationskrav
Laglighet,korrekthet,
öppenhet
Integritet ochkonfidentialitet
Ändamåls-begränsning
Uppgifts-minimering
Korrekthet
Lagrings-minimering
Ansvars-skyldighet
PwC
#PwCkunskapsdagar
Laglig behandling av personuppgifter
21-22 november 2017Kunskapsdagarna Göteborg 201710
a b c d e f
När man vill göranågot ”extra”.
Mycketadministration
Samtycke Fullgöra avtalRättslig
förpliktelseVitala intressen
Allmäntintresse ochmyndighets-
utövningBerättigat
intresse
Uppgifter somkrävs för att kunnafullgöra avtalet
Om det finns krav iannan nationelleller EU-lag
T.ex. om det är i enlivshotandesituation
Allmänintressetkan vara utanförett statligt organ,men lagreglerat isådant fall
Intresseavvägning:organisationensvinst v.s. intrånget iindividens integritet
PwC
#PwCkunskapsdagar
Den registrerades rättigheter(1/2)
21-22 november 2017Kunskapsdagarna Göteborg 201711
- Skilj frånsamtycke
- Ganskaomfattandevad som skavara med
- Motsvararregisterutdrag
- I princip allinformation
- Kan begära attfelaktigauppgifter rättas
- Kan i vissa fallkräva att ensuppgifterraderas, dockväldigtbegränsat
Rätt tillinformation
Rätt tilltillgång
Rätt tillrättelse
Rätt tillradering
PwC
#PwCkunskapsdagar
Den registrerades rättigheter(2/2)
21-22 november 2017Kunskapsdagarna Göteborg 201712
- I vissa fall kanden registreradebegära attbehandlingarnabegränsas, t.ex.vid en tvist
- I vissa fall rättatt få ut visa avsina uppgifterpå ettmaskinläsbartsätt
- Direktmarknadsföring
- Invända motvisa typer avbehandlingar
Rätt tillbegränsning
Data-portabilitet
Rätt att görainvändningar
PwC
#PwCkunskapsdagar
Registerförteckning
• Register över alla behandlingar
• Specificerat i förordningen vilken info som måste finnas med
• Finns även andra fördelar med ett sådant register
• Både personuppgiftsansvarig och personuppgiftsbiträde
21-22 november 2017Kunskapsdagarna Göteborg 201713
Ändamål Kategori avregistrerade
Kategori avpersonuppgifter
Lagringstid Osv.
Löne-administration
Anställda Namn, inkomstpersonnummer, osv
Två år efter avslutadanställning
…
Kundservice Kunder Namn, kundnummer,ärendeinformation
6 månader …
Osv.
PwC
#PwCkunskapsdagar
Personuppgiftsincident
• När någon får tillgång till personuppgifter de inte borde ha tillgång till, t.ex:
- Hackad
- Borttappad USB/mobil/dator som inte är krypterad
- Råkar ge för många personer access till personuppgifter
• Anmäla inom 72 timmar
- Datainspektionen
- Ibland de drabbade
• Rutiner för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter
- Incidentrapporteringssystem/rutin
21-22 november 2017Kunskapsdagarna Göteborg 201714
PwC
#PwCkunskapsdagar
KonsekvensbedömningData Protection Impact Assessment
• Om behandlingen sannolikt leder till hög risk för den registrerades integritet
- T.ex. om man använder en stor mängd personuppgifter av särskild kategori
• Kommer att komma riktlinjer från Datainspektionen
21-22 november 2017Kunskapsdagarna Göteborg 201715
PwC
#PwCkunskapsdagar
DataskyddsombudData Protection Officer (DPO)
• I vissa fall behöves ett formellt utsedd dataskyddsombud
- Myndighet eller offentligt organ
- Kärnverksamheten är regelbunden och systematisk övervakning av de registrerade i storomfattning
- Kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgiftereller domar i brottmål
• Ska ha god insyn i verksamheten och kontakt med ledningen
• Fristående
• Anmäla till Datainspektionen
Även om man inte behöver ett dataskyddsombud behöver ansvaret för hanteringav personuppgifter fördelas i organisationen.
21-22 november 2017Kunskapsdagarna Göteborg 201716
PwC
#PwCkunskapsdagar
Inbyggt dataskydd och dataskydd som standardPrivacy by design och Privacy by default
• Tekniska och organisatoriska säkerhetsåtgärder
• Gäller även retroaktivt
• För att öka säkerheten och skydda den registrerades integritet
Design: t.ex. behörighetsbegränsning, pseudonymisering, utbildning av personal
Default: standardinställningarna
21-22 november 2017Kunskapsdagarna Göteborg 201717
PwC
#PwCkunskapsdagar
Personuppgiftsbiträde
• När en tredje part kan ta del av personuppgifter
- T.ex. skickar uppgifter eller om någon kan logga in i era system
• Även biträden måste följa förordningen
- Underbiträden
• Personuppgiftsbiträdesavtal
- Bilaga med säkerhetsbestämmelser
21-22 november 2017Kunskapsdagarna Göteborg 201718
PwC
#PwCkunskapsdagar
Tredjelandsöverföring
• Utanför EU och EES
• Måste vidta säkerhetsåtgärder
- T.ex. EUs modellklausuler
• Alternativt ha samtycke
• Vanligtvis:
- Servrar (många molntjänster)
- Support
21-22 november 2017Kunskapsdagarna Göteborg 201719
PwC
#PwCkunskapsdagar
Risker
• Böter
• Rykte = indirekta kostnader/inkomstbortfall
• Skadestånd, möjligheten för drabbade att tillsammans stämmaföretaget (class action)
21-22 november 2017Kunskapsdagarna Göteborg 201720
PwC
#PwCkunskapsdagar
Roller och ansvar
• Vem är ansvarig för vad?
• Vilken utbildning och information måste medarbetarna få?
- Behöver inte vara samma för hela organisationen
21-22 november 2017Kunskapsdagarna Göteborg 201721
PwC
#PwCkunskapsdagar
Vad behöver göras?
Nyckelfrågor
• Nulägesanalys
• Projektorganisation
• Tidslinje
21-22 november 2017Kunskapsdagarna Göteborg 201722
Informera och utbildaverksamheten om förordningenoch det planerade arbetet.
Hur kan vi visa att vi följerkraven i förordningen?
Vilka är integritetsriskerna?Vilken skada kan de orsaka?
2. AnalyseraVilka personuppgifter har vi– och vart?
1. Kartlägg
Vilka intressenter måstedu konsultera?Delegera ansvar!
3. Be om hjälp
5. Design
Detta är ingen övning man gör en gång,utan ska konstant efterlevas.
Sätt en målbild och bestämvad er riskaptit är.
Det stora arbetet med attimplementera förordningen iverksamheten.
7. Implementera
8. Dokumentera
6. Informera
4. Målbild
9. Följ upp
Planera hurimplementeringsfasenska se ut.
PwC
#PwCkunskapsdagar
Vägen framåt
21-22 november 2017Kunskapsdagarna Göteborg 201723
• Definiera nuläget i organisationen med hjälp av PwC GAP analys verktyg (RAT)
• Scope: Alla affärsenheter/dotterbolag
• Definiera prioriterade områden inför design fasen
• Beskriv målet med GDPR-arbetet
• Använd en riskbaserad ansats för att prioritera åtgärder i projektet
• Fastställ org, roller & ansvar, mandat
• Fastställ mätvärden och rapportering i linje med fastställd riskaptit och mål
Nuläge1
Program design
Implementation
2
3
• Implementera fastställd roadmap i organisationen utifrån fastställd projektplan
PwC
#PwCkunskapsdagar
Exempel GDPR Workstreams
21-22 november 2017Kunskapsdagarna Göteborg 201724
Legal & Dokumentation
Data Governance
Data loss monitoring & response
Discovery & Data flow
Data Cleansing/Anonymization
Utbildning & awareness
Process utveckling
DPO
Intern kontroll
Utbildning & awareness
Månad
PwC
#PwCkunskapsdagar
Verktygslandskapet
21-22 november 2017Kunskapsdagarna Göteborg 201725
#PwCkunskapsdagar
Vill du veta mer?
© 2017 PricewaterhouseCoopers i Sverige AB. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers i Sverige AB which is a member firm ofPricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.
Thomas Sageland
Direkt: +46 (0) 10 212 50 75
Mobil: +46 (0) 729 80 90 75
Kontakta mig gärna
Följ oss på
Läs mer på: www.pwc.se