EUs nya personuppgiftslag

EUs nya personuppgiftslagstiftning
Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå
Ny personuppgiftsförordning
- en fråga för alla
2
Agenda
• Personuppgiftslagen idag
• Nya lagen - bakgrund
• De största förändringarna
• Sammanfattning
3
Personuppgiftslagen i Sverige
4
Personuppgiftslagen (PuL)
• Nationell lag baserad på EU-direktiv
– Minimiregler
• Annan lagstiftning gäller före
• Personuppgifter
– Personuppgifter är all slags information som direkt eller
indirekt kan kopplas till en fysisk person
5
Personuppgiftsansvarig
• Den som bestämmer ”ändamål och medel” med personuppgifter
är personuppgiftsansvarig
• Ansvarar för att lagen uppfylls
6
PuL idag i korthet
• Behandlingen behöver vara tillåten
− Samtycke,
− Nödvändig för vissa angivna ändamål, eller
− Intresseavvägning
• Krav som ska uppfyllas
− Grundläggande krav på behandlingen, t.ex. korrekthet, gallra, rensa
− Information till den registrerade
− Krav på skriftligt avtal mellan företag som delar uppgifter
− Överföring till andra länder
− Anmälningskrav och/eller utse ett personuppgiftsombud
− Säkerhetskrav
7
Säkerhetsåtgärder i nuvarande PuL 31 §
Den personuppgiftsansvarige skall vidta lämpliga tekniska och
organisatoriska åtgärder för att skydda de personuppgifter som
behandlas.
Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig
med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av
personuppgifterna, och
d) hur pass känsliga de behandlade personuppgifterna är.
8
Säkerhetskrav
Tekniska
åtgärder
Organisatoriska
åtgärder
Antivirus och
auktorisationskrav
Känsliga uppgifter
Sekretess
Specialkrav
Uppgifter om brott
Osv.
Brandväggar och
krypteringsfunktioner
Organisation och
rutiner
Instruktioner och
Polices
Säkerhetsnivå
9
Reformen – förslag till ny personuppgiftslag
10
Nya lagstiftningen
• Ersätter Personuppgiftslagen (PuL) i Sverige och motsvarande
lagar i alla EU-länder
• Förordningen gäller direkt som lag i alla EU-länder
– Enklare att följa lagen, en tillsynsmyndighet att förhålla sig till
• De nya reglerna kan bli verklighet redan år 2016
– Antas tidigast i vår/höst. Träder i kraft två år efter antagande
• Syfte:
– Stärka integritetsskydd
– En enda gemensam lag – förutsebarhet och underlätta handel inom EU
11
Viktigaste ändringarna
12
Hårdare sanktioner
• Allvarliga brott kan ge vite upp till det större beloppet av
– 5 % av en koncerns årliga världsomspännande omsättning; eller
– 100 MEUR
• Vitet bestäms utefter hur allvarligt brottet är
• Ett stort antal brott har listats som allvarliga brott, t.ex. att
– Inte inhämta samtycke när så krävs
– Inte informera om dataintrång i tid
– Inte anta interna policys eller inte implementera lämpliga åtgärder för att
tillse och visa uppfyllelse av villkoren
13
Utökat ansvar och krav på säkerhet
• Huvudregeln om att vidta tekniska och organisatoriska åtgärder
för att säkerställa en lämplig säkerhetsnivå blir kvar.
• Uttryckliga krav på att skydda personuppgifter från att förstöras
• EU-kommissionen ges makt att precisera kraven
– Förordningar om säkerhet även för specifika sektorer
14
Privacy by design
• Säkerhets- och integritetsaspekter ska tas hänsyn till redan vid
planering och utveckling av IT-system
• Den som är personuppgiftsansvarig ska ställa kraven = Ökade
krav vid IT-upphandlingar
• Kommissionen får fastställa förordningar om tolkningen samt
tekniska standarder
• System ska ha vissa grundinställningar
15
”Privacy by design” – livscykeln för
information
Grundinställning 2: Uppgifter ska inte
lagras längre än minimiperiod som är
tillåten för det ändamålet
Grundinställning 1: Enbart de
personuppgifter som är nödvändiga för
varje specifikt ändamål för behandling får
behandlas
Respekt för användare:
transparens – möjliggöra
utlämnande
Infrastruktur som möjliggör
tillgång till, korrigering och
radering av personuppgifter
16
Informationskrav vid personuppgiftsbrott
• Informera om allvarliga incidenter (dataintrång) utan oskäligt dröjsmål
• Informera tillsynsmyndigheten:
– Som huvudregel: Inom 24 timmar efter intrånget
• Informera varje registrerad individ
– Undantag: om har system för att göra de ”förlorade” uppgifterna oläsbara
• Organisationer måste stärka sina säkerhetsåtgärder
– Använda tekniker för att främja skydd för personuppgifter
– Rutiner och system för information och radering vid intrång
17
”Data portability” – underlätta att flytta
uppgifter mellan olika leverantörer
• Individer ska lättare kunna överföra uppgifter från ett system
(företag) till ett annat system (företag)
• Krav på företag hur de ska tillhandahålla uppgifter (t.ex.
strukturerat format) så kunden ska kunna ha nytta av
uppgifterna
18
Rätten att ”bli bortglömd”
• Minimera volymen av sparade
personuppgifter
• Krav på att radera - om ingen
legitim grund för fortsatt behandling
finns
Legitima grunder för
att behålla
uppgifterna?
Radera mina
uppgifter
NEJ
RADERA
JA
BEHÅLL
19
Uppgiftsskyddsombud
• Speciell anställd med ansvar för personuppgiftshantering
– Särskilt skydd mot uppsägning under 4 år
• Behandlar > 5 000 personer/år (250 anställda)
– Eller att systematisk övervakning, hantering av känslig data eller liknande
ingår i huvudverksamheten
• Central roll i att ansvara för efterlevnad av reglerna
20
Sammanfattning – praktiska förändringar och möjligheter
21
Praktiska förändringar
• Ökat fokus på integriteten (höga viten)
• Initiala kostnader?
– Nya system kan krävas
– Databaser kan bli oanvändbara
– Personal behöver utbildas och rutiner ses över
• Ökade krav på förebyggande åtgärder
– Dokumentation över hur reglerna följs
– Företag med över 250 anställda får mer utryckliga krav på sig
22
Nya möjligheter?
• Möjligheter för leverantörer: Krav på nya system – utvecklade
bl.a. efter ”privacy by design” och ”rätten att bli glömd”
• Enklare för företag:
– Enklare att etablera sig utomlands
– En tillsynsmyndighet att förhålla sig till
– Färre anmälningskrav
23
Utestående frågor
• Stort utrymme till kommissionen
att tolka förordningen
• Datainspektionens makt
• De svenska
registerförfattningarna – utrymmet
för specialreglering
• Relationen med USA och
omvärlden
24
Kontakt
Agnes Andersson Hammarstrand
Advokat, Senior Associate
T: +46 31 701 1718
M: +46 730 83 50 70
E: agnes.a.hammarstrand@setterwalls.se
IT_advokaten på twitter