Frukostseminarium om Datainspektionens tillsynsarbete 2014-03-05

50 %
50 %
Information about Frukostseminarium om Datainspektionens tillsynsarbete 2014-03-05
Business & Mgmt

Published on March 5, 2014

Author: TranscendentGroup

Source: slideshare.net

Description

Presentation från Transcendent Groups frukostseminarium på Rigoletto den 5 mars 2014:

I takt med den tekniska utvecklingen riktas ett allt större fokus mot data- och integritetsskydd vid hantering av personuppgifter. Samtidigt blir det svårare och svårare för organisationer att överblicka det växande flödet av personuppgifter. Datainspektionen är den myndighet som genom sin tillsynsverksamhet ska säkerställa att behandlingen av personuppgifter sker i enlighet med personuppgiftslagen. Vad har Datainspektionen för tillsynsbefogenheter i dagsläget? Vad kan du vänta dig vid ett eventuellt tillsynsbesök och hur bör du förbereda dig?

Det finns just nu ett EU-förslag till en ny dataskyddsförordning som planeras ersätta personuppgiftslagen inom de närmaste åren. Förordningen är ännu på förslagsstadiet men det finns en poäng i att hålla sig informerad om vad som kan väntas framöver. Vi går igenom de viktigaste nyheterna och aktuell status.

Ämne: Vad händer när Datainspektionen kommer på besök?

Talare: Magnus Bergström, Datainspektionen

Magnus Bergström är IT-säkerhetsspecialist på Datainspektionen. Magnus kommer att berätta om Datainspektionens befogenheter och vad som händer när myndigheten gör en inspektion. Magnus har mångårig erfarenhet av tillsyn kring efterlevnad av personuppgiftslagen.

Ämne: Iakttagelser från Datainspektionens praxis

Talare: Terhi Edstam, Transcendent Group

Terhi Edstam är jurist och jobbar som konsult inom financial services på Transcendent Group. Personuppgiftslagen är ett område som ofta ingår i en compliance officers ansvarsområde hos ett finansiellt bolag. Terhi kommer att diskutera de slutsatser som kan dras av Datainspektionens praxis avseende hantering och skydd av personuppgifter inom just finansiella bolag. Terhi har lång erfarenhet av compliancearbete, både från linjeroll som compliance officer och som konsult.

Ämne: Vad är status för förslaget till ny dataskyddförordning och vilka krav kommer förordningen ställa på organisationer som hanterar personuppgifter?

Talare: Per Lundevall, Transcendent Group

Per Lundevall är informationssäkerhetskonsult på Transcendent Group. Per kommer att berätta om förslaget till kommande EU-förordning för skydd av personuppgifter, så att du och din verksamhet är väl förberedda när beslutet fattas inom EU. Per har mångårig erfarenhet av rådgivning, åtgärder och efterlevnad inom området dataskydd.

Frukostseminarium om Datainspektionens tillsynsarbete Rigoletto den 5 mars 2014

Inspektioner i praktiken Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se

Datainspektionens befogenheter  tillsynsmyndighet enligt personuppgiftslagen (PuL)  TUT: tillgång, uppgifter och tillträde (43 §)  otillräckligt underlag  enbart lagring (44 §)  påpekanden  enbart lagring (45 §)  säkerhetsåtgärder i enskilda fall  vite (32, 45 §§)  begäran hos domstol om utplåning (47 §) 2014-03-05

PuL på tre minuter 33-35 §§ tredje land säkerhet 30-32 §§ information personnummer känsliga uppgifter 2014-03-05 22 § 13-21 §§ tillåten behandling grundläggande krav 23-27 §§ 10 § 9§

Tillsynsverksamheten i stort  Tre olika varianter:    fältinspektioner – ”på plats”-besök (praktik) skrivbordstillsyn – frågor brevledes (teori) enkäter – oftast i form av skrivbordstillsyn  ”Strategisk” tillsyn eller ”på förekommen anledning”  Dock alltid ex officio  Sekretess? Finns, men inte gentemot oss… 2014-03-05

Inspektion – hur går det till?  Initial kontakt (vanligtvis via personuppgiftsombud)       Vad vill Datainspektionen veta? Vilka behöver vara med? När kan vi träffas? Tillsynsskrivelse/bekräftelse Inspektion  protokoll (+ ev. kompletterande frågor)  kommunikation (möjlighet till synpunkter) Beslut 2014-03-05

Beslut och beslutsformalia  Beslutsmening(ar):  Ärendet avslutas (+ eventuell uppföljning)  Konstaterar att… (någon brist)  Förutsätter att X… (åtgärdar bristen)  Förelägger X att… (åtgärda bristen)  Meddelar följande säkerhetsföreskrift… Redogörelse för tillsynsärendet  Skäl, det vill säga de rättsliga grunderna för beslutet  (eventuell) besvärshänvisning  2014-03-05

Besvär?  Ett myndighetsbeslut träder i kraft när det meddelas (offentlig aktör) eller når den det berör (privat aktör).  Kan (oftast) överklagas.  Rättidsprövning.  Överlämnas skyndsamt till förvaltningsrätten (om myndigheten inte självmant ändrar beslutet).  Process  dom  eventuellt högre instans…  Domen vinner laga kraft. 2014-03-05

PuL inom finansiella företag – iakttagelser av en compliance officer Terhi Edstam

© Transcendent Group Sverige AB 2013 Är PuL ett regelverk som compliance ska ansvara för inom finansiella företag?

Röst från branschen © Transcendent Group Sverige AB 2013 ”Min uppfattning är att det helst bör vara den funktion inom bolaget som har bäst kunskap om, eller som i vart fall har lättast att få tillgång till, de personuppgifter som hanteras inom bolagets system. Hos oss ligger ansvaret därför inom juridikavdelningen.”

”Vår erfarenhet är att PuL-ansvaret bör ligga hos compliance och inte hos legal. Det ingår i compliancefunktionens ansvar att förebygga, monitorera och rapportera regelefterlevnadsrisker. Legal kan ha en roll där de vid behov kan bistå vid regeltolkning men de arbetar inte med risker på samma sätt som vi gör på compliance. Därför anser vi att det är mer lämpligt att ansvaret ligger hos compliance.” © Transcendent Group Sverige AB 2013 Röst från branschen

PuL-ansvaret idag och framöver? • Ändringar väntas avseende frivilligheten att utse personuppgiftsombud © Transcendent Group Sverige AB 2013 • Enligt de nuvarande reglerna är det frivilligt att ha ett personuppgiftsombud. • Enligt Datainspektionen finns det idag 3800 personuppgiftsombud i Sverige. • Olika funktioner kan vara ansvariga för PuL – lägg ansvaret där det bäst kan tas om hand.

© Transcendent Group Sverige AB 2013 Höjd ribba för finansiella företag?

Integritetskänsliga uppgifter © Transcendent Group Sverige AB 2013 • Uppgifter om personliga förhållanden är inom bank- och försäkringsväsendet normalt sett att anse som integritetskänsliga när det handlar om säkerhet. • Ett uttryck för att det är fråga om integritetskänsliga uppgifter är att uppgifterna omfattas av tystnadsplikt eller sekretess.

© Transcendent Group Sverige AB 2013 Går det att dra några generella slutsatser utifrån Datainspektionens undersökningar hos bolag inom finansiell sektor?

• Brister i spårbarhet av åtkomst och bristande behandlingshistorik för att kunna se vem behandlat vilka personuppgifter och när. • Regelbundna och systematiska uppföljningar för att kontrollera vem/vilka som tagit del av vilken information saknas. • Bristande gallringsrutiner. • Rutiner saknas för avskiljande av uppgifter hänförliga till kunder som ej längre är kunder. • Bristande säkerhet vid nya tekniska lösningar såsom appar. • Bristande interna regler för hur personuppgifter ska hanteras. © Transcendent Group Sverige AB 2013 Några exempel på Datainspektionens iakttagelser

© Transcendent Group Sverige AB 2013 Status PuL-compliance? Förbättringspotential finns hos de flesta bolag.

• Lägg PuL-ansvaret hos den befattningshavare eller funktion som är bäst lämpad för uppgiften. Det kan därmed se olika ut hos olika företag. • God kontroll och säkerhetsrutiner krävs då kunduppgifterna anses vara integritetskänsliga. • Datainspektionens praxis visar att utvecklingspotential finns. • Inför kommande regelskärpning kan det vara en god idé att redan nu göra en PuL-inventering. © Transcendent Group Sverige AB 2013 Sammanfattningsvis

Exempel på relevanta frågeställningar och åtgärder: • förteckning över samtliga personuppgiftsbehandlingar? systeminventering? • redogörelse för vilka ändamål personuppgiftsbehandlingar genomförs? • redogörelse för varifrån personuppgifter inhämtas? • information som har lämnats vid insamling av personuppgifter? • samtycken som hämtats vid insamling av personuppgifter? • hur länge sparas uppgifterna? • rutiner för gallring av personuppgifter? • rutiner för att lämna registerutdrag? • rutiner för att ta emot anmälningar om att inte behandla någons personuppgifter? • förekommer det att personuppgifter säljs eller överlämnas till tredje part? I vilket syfte? • informationen om de anställda, vad har HR för rutiner? • interna regler och rutinbeskrivningar uppdaterade? © Transcendent Group Sverige AB 2013 Checklista för PuL-inventering

Förslag till EU-förordning för skydd av personuppgifter Per Lundevall

• Vad innebär förordningen? • Hur påverkar den oss? • När tror vi att den kommer träda i kraft?

Attityder hos medborgarna i EU 70 procent är oroliga 67 procent vet inte var man ska klaga

Varför ny förordning? © Transcendent Group Sverige AB 2013 • Det finns 250 miljoner EUmedborgare på nätet. • Skydd är en grundläggande rättighet. • Personuppgifter är big business. • Avslöjanden från Edward Snowden snabbar upp processen.

• • • • • • En enda uppsättning regler Dataportabilitet och rätten att bli glömd Privacy by design Privacy by default Anmälningsplikt – inom 24 timmar Endast en part © Transcendent Group Sverige AB 2013 Vad föreslår kommissionen?

Om vi inte är compliant då? © Transcendent Group Sverige AB 2013 Böter upp till € 1M eller 2 procent av organisationens totala omsättning.

När börjar förordningen gälla? © Transcendent Group Sverige AB 2013 • beslut beräknas fattas i slutet av 2014 • träder i kraft två år senare

Sammanfattningsvis 70 procent av EU:s befolkning är orolig EU kommer stärka upp med en förordning Påverkar alla organisationer som hanterar personuppgifter Krav på förändringar i nya och befintliga system och processer • Utökade sanktionsmöjligheter • Beslut förväntas tas i slutet av 2014 och träda i kraft 2016/2017 • Så, vad ska ni få med er? © Transcendent Group Sverige AB 2013 • • • •

www.transcendentgroup.com

Add a comment

Related presentations

Canvas Prints at Affordable Prices make you smile.Visit http://www.shopcanvasprint...

30 Días en Bici en Gijón organiza un recorrido por los comercios históricos de la ...

Con el fin de conocer mejor el rol que juega internet en el proceso de compra en E...

With three established projects across the country and seven more in the pipeline,...

Retailing is not a rocket science, neither it's walk-in-the-park. In this presenta...

What is research??

What is research??

April 2, 2014

Explanatory definitions of research in depth...

Related pages

Joachim Klasson (@joachimklasson) | Twitter

Välkommen till frukostseminarium om Datainspektionens tillsynsarbete http:// lnkd.in/b9Qgs2w . View translation. Translated from Swedish by Bing Wrong ...
Read more

Kommunikatörer « Kulturkraft Stockholm

Detta är ett frukostseminarium för dig som vill orientera dig om vart utvecklingen är på väg inom biljetthantering. Representanter från Fabel ...
Read more

Kommunikatör (PR/marknad) « Kulturkraft Stockholm

Frukostseminarium om framtidens biljettsystem. ... 2014-03-05. Starttid: Stad: Stockholm. F.11 Så fungerar Youtube. Detta aktivitet sker i samarbete med SOM.
Read more

Naturskyddsföreningen Facebook fan page - Sosyal Medya ...

Åtta svar på tal om klimatet Igår hjälpte vi dig att döda myter om eko. Idag ger vi dig tips på hur du bemöter klimatskeptiska åsikter som
Read more

Frukostseminarium om Datainspektionens tillsynsarbete ...

Frukostseminarium om Datainspektionens ... Frukostseminarium om Datainspektionens tillsynsarbete. ... Magnus kommer att berätta om Datainspektionens ...
Read more

grontmij.se

... .aspx 2014-12-10 monthly 0.8 http://www.grontmij.se/pressrum/nyheter/Pages/skl-och-grontmij-i-samarbete-om ... se/frukostseminarium/Pages ...
Read more

Index of /wordpress/wp-content/uploads/ - Maria Helander

... Mases-tavla-150x150.jpg 13-Sep-2012 14:15 7k Mindfulness-150x150.jpg 21-Nov-2012 12:13 7k OM -150x150.jpg 13-Sep ... frukostseminarium ...
Read more