Professional Documents
Culture Documents
GDPR
GDPR
JOHAN NORMÉN
NY EU-FÖRORDNING
”Förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och
det fria flödet av sådana uppgifter”
Syfte
– Stärka integritetsskyddet
– Möta teknikens förändringar
– Underlätta handel inom EU
– Skydda identiterer i molnet
Konsultat i 18
Intressen:
• Uppgifter som hänför sig till en levande person som kan identifieras
IDENTITETSBARA UPPGIFTER
• E-post
• Adress
• Personnummer
• Postnummer
• Ålder
• Bilnummer
• …
KÄNSLIGA PERSONUPPGIFTER
• Känsliga personuppgifter
– Ras eller etniskt ursprung
– Politiska åsikter
– Religiös eller filosofisk övertygelse
– Medlemskap i fackförening
– Hälsa
– Biometriska och genetiska uppgifter
– Sexuell läggning/sexualliv
SAMMANFATTING
PERSONUPPGIFTER:
• Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade);
en identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt
genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika
för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet;
VEM BÄR ANSVAR OCH VAD INNEBÄR
ANSVARET?
PERSONUPPGIFTSANSVARIG
• Ni är alla ansvariga för all personuppgiftsbehandling inom ert företag
• Ansvar och skyldighet kring olika register
– Era kundregister, ex i CRM
– Leverantörer-, anställnings och samarbetspartnerregister
– Kandidater för anställningar
mm…
• Annan personuppgiftsbehandling, t.ex. i mail och fritext
(även ostrukturerad behandling ingår)
• Specifika personuppgiftsbehandlingar
– Profilering, GPS-data, mm…
BEHANDLING AV DATA INNEBÄR:
• Insamling
• Registrering
• Lagring
• Spridning
• Samkörning
NYA KRAV PÅ
PERSONUPPGIFTSBITRÄDET
KRAV PÅ
PERSONUPPGIFTSBITRÄDESAVTAL
• Identifiera ansvarig + biträde
• Alla samarbeten som innebär utbyte
av personuppgifter, t.ex.
marknadsföring, IT och rekrytering
• Ska följas av skriftliga instruktioner
PERSONUPPGIFTSBITRÄDE
• Den som behandlar personuppgifter för den
personuppgiftsansvariga
• Exempel på biträden
– IT-leverantörer
– Rekryteringsbyråer
– Reklambyråer
– Tjänstleverantörer
– IT-support
FÖRTYDLIGANDE ELLER UTÖKNING AV
DAGENS REGLER:
• Den personuppgiftsansvarige får endast anlita ett
biträde som ger tillräckliga garantier för att de följer
kraven i förordningen.
• Krav på avtal mellan den ansvarige och biträdet som
reglerar personuppgiftshanteringen.
• Biträdet måste säkerställa att denne har rätt att anlita
underbiträden genom att detta framgår i avtalet med
den personuppgiftsansvarige.
UTÖKAD INFORMATIONSSKYLDIGHET
INFORMATIONSSKYLDIGHET
1.Nulägesanalys
2.Gap-analys
3.Prioritera
4.Handlingsplan och implementera
NULÄGESANALYS
Syfte – få en bild av hur personuppgifter används
iorganisationen
• Vilka typer av personuppgifter behandlas
inomorganisationen och för vilka syften?
• Hur har personuppgifterna samlats in och hur
harinformation till individen sett ut?
• Gå igenom alla avtal som omfattar behandling
avpersonuppgifter!
• Vilka IT-system används, molntjänster,
andraunderleverantörer?
GAP-ANALYS
Syfte - identifiera brister
• Hur påverkar de nya lagkraven vår organisation?
• Var i organisationen har vi de största riskerna?
• Berörs viktiga avtal eller vår affärsmodell?
PRIORITERA
Syfte – prioritera arbetet
•Vad är affärsmässigt bäst för
organisationen?
•Vilka brister bör vi prioritera?
HANDLINGSPLAN OCH
IMPLEMENTERA
Syfte – åtgärda de brister som identifieras enligt
prioritering
• Upprätta intern förteckning över personuppgiftsbehandlingar
• Uppdatera privacy policy (integritetspolicy)
• Dataskyddsombud
• Upprätta interna rutiner/processer för t.ex.incidenthantering,
konsekvensbedömningar och privacy bydesign.
• Omförhandla avtal
VÅRA SYSTEM?
• Rita upp vart identitetsdata hanteras idag, kopplingar m.m.
• Kryptera identitetsdata eller misstänkt sådan
• Unika hash på Id som kan härleda till andra källor
• Samtyckehantering
• Deadline på data
• Forgotten
• Rapportering
• Audit?
RITA…
KRYPTERA…
ID-HANTERING
SAMTYCKE
DEADLINE PÅ DATA
FORGOTTEN
RAPPORTERING
AUDIT
SAMMANFATTNING
• Har ni bra hantering idag och följer PUL så har ni
enbra grund att arbeta ifrån.
• Skapa förståelse i er organisation då detta är en
gamechanger.
• Struktur, planering och ansvar är nyckelord.
• Dokumentera!
• Glöm inte – de som hanterar denna övergång
på ett bra sätt har konkurrensfördelar!
Tack! :D
https://www.linkedin.com/in/
johan-normén-b9639726
@johannormen
www.johannormen.com