Transcript
Page 1: Personlig integritet – möjliggörare eller hinder för verksamheten?

Personlig integritet –

möjliggörare eller hinder

för verksamheten?Rigoletto Stockholm, 24 november 2015

Page 2: Personlig integritet – möjliggörare eller hinder för verksamheten?

Hos Transcendent Group möter du erfarna

konsulter inom governance, risk and compliance. Våra

tjänster skapar trygghet och möjligheter för

myndigheter, företag och andra organisationer

inom en rad olika branscher.

Transcendent Group har fyra år i rad utsetts till en

av Sveriges bästa arbetsplatser.

Om företaget

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Page 3: Personlig integritet – möjliggörare eller hinder för verksamheten?

Heta frågor inom privacy:

ny EU-lagstiftning, safe

harbor och big data

Lars Vinden och Christina Falk

Page 4: Personlig integritet – möjliggörare eller hinder för verksamheten?

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

General data protection regulation

Personuppgiftslagen

Big data

Safe harborData breach Kryptering

Internet of things

Molnet

Profiling

SamtyckeRight to be forgotten

Globalisering

Avidentifiering

Privacy by design

Edward Snowden

Binding Corporate Rules

Artikel 29-gruppen

(Mass)övervakningDrönare

Positioneringsdata

Sociala medier

Page 5: Personlig integritet – möjliggörare eller hinder för verksamheten?

Utmaningar redan

idag

• låg allmänkunskap

• glapp mellan IT, legal, compliance och HR – vem ansvarar för vad?

• ombudets kompetens och plats i organisationen

• dålig översikt av behandlingar

• gallringsrutiner saknas ofta – data sparas för länge

• avtal med tjänsteleverantörer är ofta bristfälliga

• bristfälligt dataskydd

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Page 6: Personlig integritet – möjliggörare eller hinder för verksamheten?

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

General data protection regulation

Personuppgiftslagen

Big data

Safe harborData breach Kryptering

Internet of things

Molnet

Profiling

SamtyckeRight to be forgotten

Globalisering

Avidentifiering

Privacy by design

Edward Snowden

Binding Corporate Rules

Artikel 29-gruppen

(Mass)övervakningDrönare

Positioneringsdata

Sociala medier

Page 7: Personlig integritet – möjliggörare eller hinder för verksamheten?

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

General data protection regulation

Personuppgiftslagen

Big data

Safe harborData breach Kryptering

Internet of things

Molnet

Profiling

SamtyckeRight to be forgotten

Globalisering

Avidentifiering

Privacy by design

Edward Snowden

Binding Corporate Rules

Artikel 29-gruppen

(Mass)övervakningDrönare

Positioneringsdata

Sociala medier

Page 8: Personlig integritet – möjliggörare eller hinder för verksamheten?

Ny EU-lagstiftning på gång

• Ny lagstiftning – förordning ersätter direktiv från 1995

• Anpassning till dagens användning av information och stärkt

integritetsskydd för individer

• Harmonisering av lagstiftning för att underlätta för företag

• One-stop-shop

• Krav på dataskyddsombud (Data Privacy Officer)

• Skärpta krav på information till registrerade, enklare och tydligare

information samt rätt att bli ”borttagen”

• Krav på rapportering av data-breaches/incidenter inom 72 timmar

• Krav på privacy-by-design, riskanalys samt årliga compliance rapporter

• Sanktioner på 2 % av global omsättning eller 1 MEUR

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Page 9: Personlig integritet – möjliggörare eller hinder för verksamheten?

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

General data protection regulation

Personuppgiftslagen

Big data

Safe harborData breach Kryptering

Internet of things

Molnet

Profiling

SamtyckeRight to be forgotten

Globalisering

Avidentifiering

Privacy by design

Edward Snowden

Binding Corporate Rules

Artikel 29-gruppen

(Mass)övervakningDrönare

Positioneringsdata

Sociala medier

Page 10: Personlig integritet – möjliggörare eller hinder för verksamheten?

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

General data protection regulation

Personuppgiftslagen

Big data

Safe harborData breach Kryptering

Internet of things

Molnet

Profiling

SamtyckeRight to be forgotten

Globalisering

Avidentifiering

Privacy by design

Edward Snowden

Binding Corporate Rules

Artikel 29-gruppen

(Mass)övervakningDrönare

Positioneringsdata

Sociala medier

Page 11: Personlig integritet – möjliggörare eller hinder för verksamheten?

Vad har hänt?

Enligt PuL och EU:s dataskyddsdirektiv kan personuppgifter endast

överföras till länder som har ”adekvat skyddsnivå”.

• 2000: Safe Harbor ger amerikanska verksamheter möjligheten till

godkännande genom en certifiering.

• 2013: Edward Snowden avslöjar omfattande övervakning från

amerikanska myndigheter.

• 2013: Österrikaren Max Schrems anmäler Facebook till den

irländska datainspektionen.

• 2015: EU förklarar Safe Harbor ogiltligt.

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

014

Page 12: Personlig integritet – möjliggörare eller hinder för verksamheten?

Schrems-fallet

• CJEU: Safe Harbor ger inte

tillräckligt skydd mot

övervakning av offentliga

myndigheter i USA.

• Artikel 29-gruppen: Alla

överföringar baserat på Safe

Harbour är nu olagliga.

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Page 13: Personlig integritet – möjliggörare eller hinder för verksamheten?

Vad gör vi nu då?

1. Identifiera leverantörer och underleverantörer baserade i

USA.

2. Genomför en riskanalys.

3. Etablera en ny basis för överföring när nödvändigt:

– binding corporate rules (koncerninterna överföringar)

– EU:s standardkontraktsklausuler (externa överföringar)

– uppmärksamma att många andra EU-länder har krav på

anmälan av sådana överföringar till nationell

tillsynsmyndighet.

4. Uppdatera interna rutiner för inköp.

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Page 14: Personlig integritet – möjliggörare eller hinder för verksamheten?

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

General data protection regulation

Personuppgiftslagen

Big data

Safe harborData breach Kryptering

Internet of things

Molnet

Profiling

SamtyckeRight to be forgotten

Globalisering

Avidentifiering

Privacy by design

Edward Snowden

Binding Corporate Rules

Artikel 29-gruppen

(Mass)övervakningDrönare

Positioneringsdata

Sociala medier

Page 15: Personlig integritet – möjliggörare eller hinder för verksamheten?

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

General data protection regulation

Personuppgiftslagen

Big data

Safe harborData breach Kryptering

Internet of things

Molnet

Profiling

SamtyckeRight to be forgotten

Globalisering

Avidentifiering

Privacy by design

Edward Snowden

Binding Corporate Rules

Artikel 29-gruppen

(Mass)övervakningDrönare

Positioneringsdata

Sociala medier

Page 16: Personlig integritet – möjliggörare eller hinder för verksamheten?

An average human living in

this moment processes

more data a day than a

person living in the 1500s

processed during an entire

lifetime.

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Page 17: Personlig integritet – möjliggörare eller hinder för verksamheten?

Connected devices

Quantified self

Augmented reality

Internet of things

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Page 18: Personlig integritet – möjliggörare eller hinder för verksamheten?

Caroline Olstedt Carlström

PERSONLIG INTEGRITET -

Möjliggörare eller hinder för verksamheten?

Page 19: Personlig integritet – möjliggörare eller hinder för verksamheten?

This is the Klarna Group

• Founded in 2005 in Stockholm, with focus on simplifying

buying

• World market leader in after-delivery payments

• Our goal is to become the world’s favorite way to buy

• Supported by investments from Sequoia Capital, Atomico,

DST and General Atlantic

• Handling nearly 40 percent of all online transactions in

Sweden and 10 percent in Europe

• Launched in the US 1 September.

• 250,000 purchases on an average day.

Page 20: Personlig integritet – möjliggörare eller hinder för verksamheten?

Från idé till forum

• Skapa ett professionellt nätverk för PuO för möjlighet att knya kontakter

• Definiera och utveckla rollen som PuO

• Bredda och vidareutveckla kompetensen inom integritet och dataskydd, lära sig av andras "best practice"

• Fungera som samtalspartner/remissinstans för Datainspektionen och lagstiftaren i frågor som rör PuO

• Regelbundna mingel, workshops, seminarier m m

• Digitalt community

• På sikt etablera och utveckla samarbete med utländska motsvarande organisationer

Engagemang och ansvar

Page 21: Personlig integritet – möjliggörare eller hinder för verksamheten?

Rollen som personuppgiftsombud

I huvudet på ett PuO .....

• Jurist – måste kunna navigera bland alla tillämpliga regelverk

• IT-specialist – God kunskap om möjligheter och gränser för den teknologi som behandlar personuppgifterna

• PR-expert – Hög intern profil, förmåga att övertyga konsumenter/anställda och andra om skyddet, förmåga att kontrollera bränder

• Marknad- och sälj – Ha förmåga att utvärdera nya produkter och affärsmöjligheter ur ett dataskyddsperspektiv

• Information governance – Upprätta complianceprogram

• Internrevisor

• Lobbyist

• Diplomat

Page 22: Personlig integritet – möjliggörare eller hinder för verksamheten?

Hantering av personuppgifter

• Dataskyddsfrågor allt viktigare för konsumenter

• Olika företag hanterar olika

• Den nya teknologin ställer stora krav på föråldraderegleringar

“Ett gott dataskydd förbereder organisa-tionerna för nästa generations regelverkoch bygger samtidigt upp ett förtroendehos registrerade”

Page 23: Personlig integritet – möjliggörare eller hinder för verksamheten?

Dataskydd – inte bara compliance!

Page 24: Personlig integritet – möjliggörare eller hinder för verksamheten?

The General Public Becoming ”Privacy Aware”

• Privacy and Data Protection – we also see an increased interest from customers, media, partners and the general public

• Recent incidents and data breaches in various industries have heightened customers awareness of privacy and data protection:- Spotify- Ashley Madison- HSBC- TalkTalk

• Increase in number of inquiries and complaints relating to privacy and data protection

• 83%of customers are aware of recent securiy breaches of personal data stored with retailers

• 59%of customer state that a single data breach would negatively impact their likelihood of buying brands from a consumer products company

• 51%of consumers would be forgiving of a consumer product company that had one single data breach of their personal data as long as the company quickly addressed the issue

Source: Consumer product anc executive survey on Privacy and Data Protection , Deloitte LLP, August 2014.

Page 25: Personlig integritet – möjliggörare eller hinder för verksamheten?

Landscape

Local

EUGlobal

Balance

Techni-cally

feasible

User needs

Legal/regulat

ory

Business needs

Page 26: Personlig integritet – möjliggörare eller hinder för verksamheten?
Page 27: Personlig integritet – möjliggörare eller hinder för verksamheten?

Kommissionen

Parlamentet

Rådet

Trilog

Page 28: Personlig integritet – möjliggörare eller hinder för verksamheten?
Page 29: Personlig integritet – möjliggörare eller hinder för verksamheten?

Förberedelser?

• Change Management!

- Håll ögonen på horisonten!

• Company buy-in

- Ledning

- Vem äger frågan internt?

• Internutbildning - PbD

• Förbered överföringar till tredje land DOKUMENTATION

Page 30: Personlig integritet – möjliggörare eller hinder för verksamheten?

..... mer att göra!

• Hur behandlas information i organisationen idag?

- Kartlägg!

- Gallring och anonymisering!

• Privacy Program

• Laglig grund för egen behandling

– medgivande nödvändigt?

DOKUMENTATION

Page 31: Personlig integritet – möjliggörare eller hinder för verksamheten?

..... mer att göra!

• Korta avtal eller omförhandlingsrätt – syna underleverantörer

• Privacy Impact Assessment (PIA)

• PuO och CISO

• Process för hantering av data breach

• Buckle up This will go fast! DOKUMENTATION

Page 32: Personlig integritet – möjliggörare eller hinder för verksamheten?

How are we organised

Every Klarna employee

Data Protection Champions

Global Privacy Office

Data ProtectionOfficer

Controller of the personal dataKlarna AB

Page 33: Personlig integritet – möjliggörare eller hinder för verksamheten?

Best practices

“An expert is a man who has made all the mistakes which can be made, in a narrow field.”

Niels Bohr

”Ett fel närmare rätt, ett sätt att se på saken”

Den svenska björnstammen

ACCOUNTABILITY

Page 34: Personlig integritet – möjliggörare eller hinder för verksamheten?

TACK för uppmärksamheten!

Page 35: Personlig integritet – möjliggörare eller hinder för verksamheten?

Praktiska erfarenheter:

bygga en kultur för att

hantera både utmaningar

och möjligheterCaroline Olstedt Carlström

Page 36: Personlig integritet – möjliggörare eller hinder för verksamheten?

www.transcendentgroup.com