GDPR Flashcards
Vad står GDPR för?
General Data Protection Regulation
Vilka organisationer påverkas av GDPR?
- etablerade i EU
- erbjuder varor eller tjänster till fysiska personer inom EU
- övervaka fysiska personers beteende i EU
När antogs GDPR och sedan vilket år gäller den?
antogs 2016, gäller sedan 2018
Vilka är grunderna i GDPR?
- registrerad behandling
- PU ansvarig
- PU biträde
- dataskyddsombud
- tillsynsmyndighet
Vad är en personuppgift (PU)?
- info som kan hänvisas till en fysisk person, direkt/indirekt
- t.ex. namn, adress, e-mail, ip-nummer, foto
Vilka är de särskilda kategorier av PU?
- etnicitet
- politiska åsikter
- medlem i fackförening
- sexuell läggning & sexualliv
- trosuppfattning, fil. övertygelse
- hälsa
- biometrisk data
- genetisk data
Varför finns GDPR?
- samma regler över hela EU
- stärka den personliga integriteten
- individers rätt till sin egen information
- fritt flöde av PU i hela EU
- anpassa till teknikutvecklingen (social media, molnet, mm.)
När gäller GDPR?
automatisk behandl. av PU eller där PU ingår i ett register (eller kommer att ingå)
Vilka är de administrativa sanktionsavgifter?
4 % av global årsomsättning eller 20 mio € (det högre)
2 % av global årsomsättning eller 10 mio € (det högre)
hur ser processen ut som kan leda till böter?
varning->reprimand->indragen rätt till behandling av PU->böter
Vilka är de vanligaste anledningar till böter?
- insufficient legal basis
- insufficient technical & organisational measures for information security
- non-compliance with general dataprocessing principals
Vilka är principerna för behandling av PU? (art.5)?
Hur ska PU behandlas?
- laglig, korrekt, öppen
- ändamålsenligt
- uppgiftsminimerad
- korrekt
- lagringsminimerad (tid)
- integritet&konfidentiell
- ansvarsskyldig
Vilka är de lagliga grunder för behandling av PU (art.6)?
- samtycke
- avtal
- rättslig förpliktelse
- skydd för grundläggande intressen (t.ex. liv)
- myndigehtsutövning/allmänt intresse
- intresseavvägning (berättigat intresse)
Vilka är villkoren för samtycke (art.7)?
- ska visa att den registrerade har samtyckt till behandlingen
- klart & tydligt samtycke
- särskiljad från andra frågor
- ska vara lika lätt att dra tillbaka samtycket
Vad gäller vid behandling av särskilda kategorier av PU (art.9)?
- generellt sett förbjudet
- samtycke
- fullgöra rättsliga skyldigheter
- får inte stå i beroendeställning
På vilket sätt ska villkoren & kommunikationen av den registrerades rättigheter vara tydliga (art.12)?
- hur behandlingen kommer att ske
- klart & tydligt språk
- kort & koncist
- mottagaren ska förstå
- helst elektronisk form
- senast en månad eter förfrågan ska information lämnas ut
Vilken info ska tillhandahållas om PU har inhämtats från den registrerade (art.13)?
- identitet & kontaktuppgifter på PU-ansvarig
- ev. kontaktuppgifter på dataskyddsombud
- ändamålet med behandlingen samt rättslig grund
- mottagare som ska ta del av PU
- ev. överföring utanför EU
- hur länge PU lagras
- rättigheterna: tillgång, rättelse, radering, begränsning av behandling, dataportabilitet
- återkalla samtycke
- rätten att klaga
- tillhandahållandet är lagstadgat, avtalsenligt eller för att kunna ingå ett avtal
- ev. automatiskt beslutsfattande eller profilering
Vilken info ska tillhandahållas om PU inte inhämtats från den registrerade (art.14)?
- kategorier av PU behandlingen gäller
- källan till PU
- senast 1 månad efter insamling av PU
- vid kommunikation, senast 1. kontakten
Vilken rätt har den registrerade till tillgång (art.15)?
- rätt att veta om en PU behandlas (vilka PU & för vilka ändamål)
- ska vara gratis (i de flesta fall)
- främst elektronisk form
Vilken rätt har den registrerade till rättelse (art.16)?
- ska ha rätt att få sina PU rättade
- ska ske inom 1 månad
Viken rätt har den registrerade till radering (art.17)?
- PU är inte längre nödvändiga
- återkalla samtycke - ingen annan rättslig grund för behandling
- PU har inhämtats olaglig
- gäller inte då: -rätten att uttrycka sig och -arkivering inom offentliga, forskning eller statistiska ärenden
När kan individen begränsar behandling av PU (art.18)?
- bestrider PUs korrekthet
- behandling är olaglig
- PU behövs ej längre
- invändning mot behandling enl. art.21
- får fortsätta lagras
Vilken anmälningsskyldighet finns det vid rättelse/radering/begränsad behandling av PU (art.19)?
- till alla mottagare som PU lämnats ut till
- vid -rättelser, -radering, -begränsningar av behandling
När gäller rätt till dataportabilitet (art.20)?
- överföra PU till en annan PU-ansvarig
- ->om behandlingen grundar sig på samtycke eller avtal
- ->sker automatisk
När gäller rätten att göra invändningar (art.21)?
- när behandling sker vid:
- ->intresseavvägning eller vid allmänt intresse
- ->direkt marknadsföring
- ->vetenskapliga eller historiska forskningsändamål
Vad gäller vid automatisk beslutsfattande & profilering (art.22)?
- rätt att inte bli utsatt för atom. beslutsfattande eller profilering
- har rätt till mänsklig kontakt för att -uttrycka sig och -få förklarat beslutet/profileringen
- dock tillåtet vid: ->avtal, ->samtycke, ->rättslig skyldighet
Vad gäller vid internationella överföringar utanför EU (art.44-49)?
- beslut om adekvat skyddsnivå (t.ex. Andorra, Schweiz, Uruguay, Japan)
- lämpliga skyddsåtgärder, t.ex. BCR (binding corporate rules)
- särskilt tillstånd av IMY, t.ex. standardavtalsklausuler
- samtycke
- överföring vid enstaka tillfälle
Vad gäller för BCR (binding corporate rules)?
- skall godkännas av tillsynsmyndigheten (IMY)
- rättslig bindande
- gäller inom en grupp/koncern inkl. anställda
- lämplig skydd & utbildning
När kan IMY utfärda ett särskilt tillstånd?
- grunder sig på avtal mellan PU-ansvarig & PU-biträde
- rättigheter för den registrerade
- standardavtalsklausuler
När är det godkänt att överföra PU till tredjeland även om det inte finns adekvat skyddsnivå eller lämpliga skyddsåtgärder?
- för att fullgöra ett avtal
- vid samtycke
Vilka delar finns i Privacy Mature Model?
Ad hoc -> repeatable -> defined -> managed -> optimized
När kan det bli administrativa sanktionsavgifter på 2 % eller 10 mio €?
- dataintrång
- inte rapportera PU-incident
- inget samtycke vid behandling av barn
- inte implementerat tekniska/organisatoriska åtgärder
Vila villkor gäller barns samtycke (art.8)?
- måste finnas målsmans samtycke för barn under 16 år (13 år)
- måste göras rimliga ansträngningar för att inhämta samtycke
- information om behandlingen ska vara anpassat till mottagaren
Förklara Privacy by default resp. Privacy by design (art.25)?
- Privacy by default: -uppgiftsminimering
- Privacy by design: -kryptering, -pseudonymisering
Vad gäller för gemensamt personuppgiftsansvariga (art.26)?
- tydlighet mot den registrerade
- fastställa respektives ansvar
Vad gäller för PU-ansvariga eller PU-biträden som inte är etablerade i EU (art.27)?
-företrädare i EU ska utses (ofta One-Stop-Shop-företag)
Hur ser relationen ut mellan PU-ansvarig och PU-biträde?
- PU-ansvarig: ->tar beslut om vad som ska behandlas och ->kan överlåta behandlingen
- PU-biträde: ->utför behandlingen
- ska finnas register över behandlingen
Vad gäller för PU-biträden (art.28)?
- måste finnas avtal
- måste skyndsamt meddela PU-ansvarig vid incident
- måste inhämta samtycke vid outsourcing
- får endast behandla uppgifterna efter instruktion
Vad gäller för register över behandlingen (art.30)?
-kontaktuppgifter
-ändamålet för behandlingen
-beskrivning av kategorier registrerade och PU
-kategorierna av mottagare
-eventuell överföring till tredjeland
eventuell raderingstid
-allmän beskrivning av tekn. & organ. säkerhet
-gäller INTE organisationer med mindre än 250 anställda, dock undantag om:
–>medför risk för registrerades fri- och rättigheter
–>behandling inte är tillfällig
–>innehåller särskilda kategorier
Vad gäller angående säkerheten vid behandlingen av PU?
- säkerställa säkerhetsnivå i förhållande till behandlingen (tekn.&organ.)
- CIA - Resilliance (Confidentiality, Integrity, Avaiability)
- regelbundet testa & undersöka effektivitet
Beskriv teknisk resp. organisatorisk säkerhet.
Teknisk:
- ändamålet för behandlingen
- uppgifternas art
- hur de ska skyddas: behandlas, transporteras, raderas
- behöver inte vara den senaste tekniken
Organisatorisk:
- rutiner
- processer
- policy
- utbildningar, internt & externt
Vad bör man tänka på när det gäller Privacy by design och Privacy by default?
- proaktiv inte reaktiv
- integritet som standard
- integritet inbäddat i systemet
- full funktionalitet
- säkerhet från början till slut
- synlighet och transparens
- håll det användarcentrerat
Förklara PETs.
Privacy Enhanced Technologies:
- kryptering
- pseudonymisering
- anonymisering
- anonyma nätverk
- anti-tracking verktyg
Vad utgör anonymisering?
- oåterkallelig
- omöjligt att identifiera den fysiska personen
Vad utgör pseudonymisering?
-information som enbart kan kopplas till en fysisk person med hjälp av kompletterande uppgifter, t.ex. hashning eller kryptering
Vad vet vi om ePrivacy-förordningen?
- den kommer “snart”
- gäller framförallt cookies
Vad är ett sekretessavtal?
-lagstiftat lojalitetsplikt
vi ska se upp för konkurensklausuler
Vad gäller för anmälan av en PU-incident (art.33&34)?
- inom 72 timmar
- vid risk för den registrerades fri- & rättigheter
- beskriver incidentens art & vilka som berörs
- kontaktuppgifter för ansvarig
- eventuella konsekvenser för de registrerade
- vilka åtgärder som vidtagits
- vid hög risk även anmäla till de registrerade
När ska en konsekvensbedömning göras och vad ska göras vid fortsatt hög risk (art.35&36)?
- vid särskilt riskfylld behandling, ett måste vid:
- ->användning av ny teknologi
- ->behandling som kan resultera i hög risk för individers fri- & rättigheter
- behandling som kan resultera i hög risk:
- ->systematisk & omfattande behandling, t.ex. profilering
- ->behandling i stor skala av särskilda kategorier
- ->systematisk övervakning av allmän plats
-vid fortsatt hög risk: förhandsråd
Vilka delar ingår i en konsekvensbedömning?
- beskrivning av behandlingsaktiviteten & syftet
- en bedömning av omfattningen & hur nödvändig aktiviteten är
- en bedömning av riskerna för de registrerades fri- och rättigheterna
- åtgärder för att minska riskerna och visa på efterlevnad av lagen
När bör det finnas dataskyddsombud (art.37)?
- är det en myndighet eller folkvald församling, dvs. offentlig organ?
- har man som kärnverksamhet att regelbundet, systematisk, i stor omfattning övervaka personer?
- har man som kärnverksamhet att behandla känsliga PU eller uppg. om brott i stor omfattning?
Vad är regelbunden och systematisk övervakning (exempel)?
-ständig eller återkommande övervakning som sker enligt ett system eller en plan Exempel: -spårning & profilering på internet -positionsspårning -lojalitetsprogram -övervakningskameror -IoT-enheter
Vad innebär “stor omfattning” (exempel)?
-svårt att bedöma, beror på antal registrerade, mängd uppgifter, typ av uppgifter, hu länge de behandlas
Exempel:
-skjukhus (patientuppgifter)
-kollektivtrafik (reseuppgifter)
-banker & försäkringsbolag (uppgifter om egendom & tillgånger)
Vilken ställning har dataskyddsombudet (art.38)?
- intern eller extern
- särställning, får inte avsättas
- får inte finnas intressekonflikt
- ska rapportera till ledningen
Vilka uppgifter har dataskyddsombudet (art.39)?
- ge råd & informera om behandlingar
- övervaka efterlevnaden
- rådgöra om konsekvensbedömningar
- samarbete med tillsynsmyndigheten (IMY)
