Personlig integritet –
möjliggörare eller hinder
för verksamheten?Rigoletto Stockholm, 24 november 2015
Hos Transcendent Group möter du erfarna
konsulter inom governance, risk and compliance. Våra
tjänster skapar trygghet och möjligheter för
myndigheter, företag och andra organisationer
inom en rad olika branscher.
Transcendent Group har fyra år i rad utsetts till en
av Sveriges bästa arbetsplatser.
Om företaget
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Heta frågor inom privacy:
ny EU-lagstiftning, safe
harbor och big data
Lars Vinden och Christina Falk
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
General data protection regulation
Personuppgiftslagen
Big data
Safe harborData breach Kryptering
Internet of things
Molnet
Profiling
SamtyckeRight to be forgotten
Globalisering
Avidentifiering
Privacy by design
Edward Snowden
Binding Corporate Rules
Artikel 29-gruppen
(Mass)övervakningDrönare
Positioneringsdata
Sociala medier
Utmaningar redan
idag
• låg allmänkunskap
• glapp mellan IT, legal, compliance och HR – vem ansvarar för vad?
• ombudets kompetens och plats i organisationen
• dålig översikt av behandlingar
• gallringsrutiner saknas ofta – data sparas för länge
• avtal med tjänsteleverantörer är ofta bristfälliga
• bristfälligt dataskydd
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
General data protection regulation
Personuppgiftslagen
Big data
Safe harborData breach Kryptering
Internet of things
Molnet
Profiling
SamtyckeRight to be forgotten
Globalisering
Avidentifiering
Privacy by design
Edward Snowden
Binding Corporate Rules
Artikel 29-gruppen
(Mass)övervakningDrönare
Positioneringsdata
Sociala medier
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
General data protection regulation
Personuppgiftslagen
Big data
Safe harborData breach Kryptering
Internet of things
Molnet
Profiling
SamtyckeRight to be forgotten
Globalisering
Avidentifiering
Privacy by design
Edward Snowden
Binding Corporate Rules
Artikel 29-gruppen
(Mass)övervakningDrönare
Positioneringsdata
Sociala medier
Ny EU-lagstiftning på gång
• Ny lagstiftning – förordning ersätter direktiv från 1995
• Anpassning till dagens användning av information och stärkt
integritetsskydd för individer
• Harmonisering av lagstiftning för att underlätta för företag
• One-stop-shop
• Krav på dataskyddsombud (Data Privacy Officer)
• Skärpta krav på information till registrerade, enklare och tydligare
information samt rätt att bli ”borttagen”
• Krav på rapportering av data-breaches/incidenter inom 72 timmar
• Krav på privacy-by-design, riskanalys samt årliga compliance rapporter
• Sanktioner på 2 % av global omsättning eller 1 MEUR
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
General data protection regulation
Personuppgiftslagen
Big data
Safe harborData breach Kryptering
Internet of things
Molnet
Profiling
SamtyckeRight to be forgotten
Globalisering
Avidentifiering
Privacy by design
Edward Snowden
Binding Corporate Rules
Artikel 29-gruppen
(Mass)övervakningDrönare
Positioneringsdata
Sociala medier
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
General data protection regulation
Personuppgiftslagen
Big data
Safe harborData breach Kryptering
Internet of things
Molnet
Profiling
SamtyckeRight to be forgotten
Globalisering
Avidentifiering
Privacy by design
Edward Snowden
Binding Corporate Rules
Artikel 29-gruppen
(Mass)övervakningDrönare
Positioneringsdata
Sociala medier
Vad har hänt?
Enligt PuL och EU:s dataskyddsdirektiv kan personuppgifter endast
överföras till länder som har ”adekvat skyddsnivå”.
• 2000: Safe Harbor ger amerikanska verksamheter möjligheten till
godkännande genom en certifiering.
• 2013: Edward Snowden avslöjar omfattande övervakning från
amerikanska myndigheter.
• 2013: Österrikaren Max Schrems anmäler Facebook till den
irländska datainspektionen.
• 2015: EU förklarar Safe Harbor ogiltligt.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
014
Schrems-fallet
• CJEU: Safe Harbor ger inte
tillräckligt skydd mot
övervakning av offentliga
myndigheter i USA.
• Artikel 29-gruppen: Alla
överföringar baserat på Safe
Harbour är nu olagliga.
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Vad gör vi nu då?
1. Identifiera leverantörer och underleverantörer baserade i
USA.
2. Genomför en riskanalys.
3. Etablera en ny basis för överföring när nödvändigt:
– binding corporate rules (koncerninterna överföringar)
– EU:s standardkontraktsklausuler (externa överföringar)
– uppmärksamma att många andra EU-länder har krav på
anmälan av sådana överföringar till nationell
tillsynsmyndighet.
4. Uppdatera interna rutiner för inköp.
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
General data protection regulation
Personuppgiftslagen
Big data
Safe harborData breach Kryptering
Internet of things
Molnet
Profiling
SamtyckeRight to be forgotten
Globalisering
Avidentifiering
Privacy by design
Edward Snowden
Binding Corporate Rules
Artikel 29-gruppen
(Mass)övervakningDrönare
Positioneringsdata
Sociala medier
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
General data protection regulation
Personuppgiftslagen
Big data
Safe harborData breach Kryptering
Internet of things
Molnet
Profiling
SamtyckeRight to be forgotten
Globalisering
Avidentifiering
Privacy by design
Edward Snowden
Binding Corporate Rules
Artikel 29-gruppen
(Mass)övervakningDrönare
Positioneringsdata
Sociala medier
An average human living in
this moment processes
more data a day than a
person living in the 1500s
processed during an entire
lifetime.
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Connected devices
Quantified self
Augmented reality
Internet of things
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2015
Caroline Olstedt Carlström
PERSONLIG INTEGRITET -
Möjliggörare eller hinder för verksamheten?
This is the Klarna Group
• Founded in 2005 in Stockholm, with focus on simplifying
buying
• World market leader in after-delivery payments
• Our goal is to become the world’s favorite way to buy
• Supported by investments from Sequoia Capital, Atomico,
DST and General Atlantic
• Handling nearly 40 percent of all online transactions in
Sweden and 10 percent in Europe
• Launched in the US 1 September.
• 250,000 purchases on an average day.
Från idé till forum
• Skapa ett professionellt nätverk för PuO för möjlighet att knya kontakter
• Definiera och utveckla rollen som PuO
• Bredda och vidareutveckla kompetensen inom integritet och dataskydd, lära sig av andras "best practice"
• Fungera som samtalspartner/remissinstans för Datainspektionen och lagstiftaren i frågor som rör PuO
• Regelbundna mingel, workshops, seminarier m m
• Digitalt community
• På sikt etablera och utveckla samarbete med utländska motsvarande organisationer
Engagemang och ansvar
Rollen som personuppgiftsombud
I huvudet på ett PuO .....
• Jurist – måste kunna navigera bland alla tillämpliga regelverk
• IT-specialist – God kunskap om möjligheter och gränser för den teknologi som behandlar personuppgifterna
• PR-expert – Hög intern profil, förmåga att övertyga konsumenter/anställda och andra om skyddet, förmåga att kontrollera bränder
• Marknad- och sälj – Ha förmåga att utvärdera nya produkter och affärsmöjligheter ur ett dataskyddsperspektiv
• Information governance – Upprätta complianceprogram
• Internrevisor
• Lobbyist
• Diplomat
Hantering av personuppgifter
• Dataskyddsfrågor allt viktigare för konsumenter
• Olika företag hanterar olika
• Den nya teknologin ställer stora krav på föråldraderegleringar
“Ett gott dataskydd förbereder organisa-tionerna för nästa generations regelverkoch bygger samtidigt upp ett förtroendehos registrerade”
Dataskydd – inte bara compliance!
The General Public Becoming ”Privacy Aware”
• Privacy and Data Protection – we also see an increased interest from customers, media, partners and the general public
• Recent incidents and data breaches in various industries have heightened customers awareness of privacy and data protection:- Spotify- Ashley Madison- HSBC- TalkTalk
• Increase in number of inquiries and complaints relating to privacy and data protection
• 83%of customers are aware of recent securiy breaches of personal data stored with retailers
• 59%of customer state that a single data breach would negatively impact their likelihood of buying brands from a consumer products company
• 51%of consumers would be forgiving of a consumer product company that had one single data breach of their personal data as long as the company quickly addressed the issue
Source: Consumer product anc executive survey on Privacy and Data Protection , Deloitte LLP, August 2014.
Landscape
Local
EUGlobal
Balance
Techni-cally
feasible
User needs
Legal/regulat
ory
Business needs
Kommissionen
Parlamentet
Rådet
Trilog
Förberedelser?
• Change Management!
- Håll ögonen på horisonten!
• Company buy-in
- Ledning
- Vem äger frågan internt?
• Internutbildning - PbD
• Förbered överföringar till tredje land DOKUMENTATION
..... mer att göra!
• Hur behandlas information i organisationen idag?
- Kartlägg!
- Gallring och anonymisering!
• Privacy Program
• Laglig grund för egen behandling
– medgivande nödvändigt?
DOKUMENTATION
..... mer att göra!
• Korta avtal eller omförhandlingsrätt – syna underleverantörer
• Privacy Impact Assessment (PIA)
• PuO och CISO
• Process för hantering av data breach
• Buckle up This will go fast! DOKUMENTATION
How are we organised
Every Klarna employee
Data Protection Champions
Global Privacy Office
Data ProtectionOfficer
Controller of the personal dataKlarna AB
Best practices
“An expert is a man who has made all the mistakes which can be made, in a narrow field.”
Niels Bohr
”Ett fel närmare rätt, ett sätt att se på saken”
Den svenska björnstammen
ACCOUNTABILITY
TACK för uppmärksamheten!
Praktiska erfarenheter:
bygga en kultur för att
hantera både utmaningar
och möjligheterCaroline Olstedt Carlström
www.transcendentgroup.com