View
12
Download
1
Embed Size (px)
Citation preview
Nya Dataskyddsförordningen (GDPR)Frukostmöte IRM 2016‐12‐02 Peter Tallungs [email protected]
© IRM AB All rights reserved
1973 Sverige: DatalagenVärldens första nationella integritetsskydds‐lagstiftning
1998 Sverige: Personuppgifts‐lagen (PuL)
2018 Sverige: Dataskydds‐förordningen
© IRM AB All rights reserved
14 april 2016 tog EU‐parlamentet och EU‐rådet ett slutligt beslut om Dataskydds‐förordningen. Förordningen ska tillämpas i alla medlemsstater från och med den 25 maj 2018
Texten hittar du här: http://eur‐lex.europa.eu/legal‐content/SV/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=SV
© IRM AB All rights reserved
Förordningen bygger i många delar på att det finns nationella bestämmelser.Omfattande lagstiftningsarbete kommer att krävas.
Det förutsätts att detta arbete är klart tills maj 2018.© IRM AB All rights reserved
Exempel på stärkta rättigheter för de registrerade:• Lättare att få insyn• Rätt att bli bortglömd• Uppgiftsportabilitet
Exempel på tuffare krav:• Rapportering av personuppgiftsincidenter• Registerföring• Undantaget i PuL för
ostrukturerad dataförsvinner
• Krav pådataskyddsombud
• Sanktioner
© IRM AB All rights reserved
personuppgift: ”varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisningtill en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online‐identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.”
© IRM AB All rights reserved
behandling : en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende avom de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring
© IRM AB All rights reserved
personuppgiftsansvarig : fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter
personuppgiftsbiträde : fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning
© IRM AB All rights reserved
Förslag till plan för arbetet med anpassning till Dataskydds-förordningenAtt börja med:1. Kartlägg dagens hantering av persondata:
‐ Vilken persondata hanterar vi?‐ När/var samlar vi in persondata?‐ När/var/hur lagrar vi persondata?‐ När/var/vart/hur skickar vi persondata (till intern eller extern part)?Leverabler: ‐ Karta över verksamhetsförmågor, informationssystem och
integrationer.‐ En eller flera informationsmodeller‐ Rapport över nuläge
2. Skapa ett övergripande arbetsdokument med struktur för hantering av frågeställningarna som dyker upp under arbetets gång.
© IRM AB All rights reserved
Förslag till plan för arbetet med anpassning till Dataskyddsförordningen3. Kartlägg ansvarsförhållanden. Vad är vi persondataansvariga för? Vad är vi persondatabiträden för?
Därefter4. Bygg grundläggande mekanismer: pseudonymisering, rutiner för radering/utgallring
Sedan5. Skapa organisation. Persondataombud eller motsvarande för att leda arbetet framåt
6. Skapa och implementera roller, policies och rutiner
© IRM AB All rights reserved
Kund t_Kund
fysisk person eller organisation i roll som kund hos ett förlag
KunderFysiska personer eller organisationer i roll som kund hos ett förlag
Förlagsenhett_Agare
förlag (eller del av förlag) som äger kunder och
information
Förlag
Kunduppgift hos förlagsenhett_KundAgare
kunduppgift hos viss förlagsenhet
Kunduppgift hos förlagt_KundUppgifterPerForlag
kunduppgift hos ett visst förlag
Förlagt_Forlag
förlag
Kampanjt_Kampanj
ett antal erbjudanden som hålls samman som en enhet
KampanjerSamlingar av erbjudanden till kunder om prenumerationer
Erbjudandet_Erbjudande
ett antal titlar som som erbjuds som ett paket
Erbjudanden En samling titlar som erbjudas som en enhet till kunder att avtala om
Titelt_Titel
tidskriftstitel för prenumeration
Huvudtitel
Prenumerationt_Abonnemang
arrangemang för kund för distribution av ett antal
utgåvor av en titel Kampanj
Erbjudande
Kampanjsplitt_KampanjSplitKod
identifierad del av kampanj som skiljer ut vissa
kampanjaktiviteter från andra
Kampanjsplit
Prenumerationsavtalt_Avtal
avtal mellan kund och förlag om prenumeration
Titel i prenumerationsavtalt_AvtalTitel
detalj i prenumerationsavtal som avser specifik titel
Erbjudandetitelt_ErbjudandeTitel
titel i erbjudande
Titel
Erbjudandetitel
Utgåvat_Utgava
utgåva av en titel
Utgåva tom
Utgåva from
Detaljrad för utgåva i prenumerationsavtalt_AvtalTitelUtgava
detalj i prenumerationsavtal som avser specifik utgåva av
en titel
Utgåva
Prenumerationer
Mottagare
Titelsortiment Tidskriftstitlar och utgåvor för prenumeration
Betalare
DistributörerDistributör t_Distributor
part som distribuerar titlar, artiklar och/eller avier
Distributionsgruppt_DistributionGrupp
De uppgifter som behövs för en distributör för distribution av en titel
Titel
Postdistributör t_PostDistributor
part som distribuerar postförsändelser
Postdistributörsområdet_PostDistributorOmrade
geografiskt område för postdistribution, definierat av
postdistributör
Postdistributörs‐delområde t_PostDistributorDelOmrade
postnummerserie, definierad av postdistributör för postdistribution
Postdistributörer
Distributionsarrangemang för titel
Leverans av utgåva i avtalt_AvtalTitelUtgavaLev
utförd leverans av utgåva av titel i ett prenumerationsavtal
Utgåva i prenumerations‐
avtal
Leverans av utgåva i avtal Aviseringsarrangemang
t_Faktura
arrangemang för aviseringav en betalare för en eller flera prenumerationer
Återbetalning till kundÅterbetalning till kund
t_Aterbetalning
Betalningsavit_Avi
meddelande till kund om vad som ska betalas
Betalningsaviradt_AviRad
specificering av delbelopp på betalningsavi
Titel på betalningsavit_AviTitel
faktat att en titel förekommer på en
betalningsavi Titel
Betalning från kund
Betalningt_Betalning
bokförd prenumerations‐inbetalning från kund
Kreditering av betalningsavi
t_Kredit
Betalning som ännu inte är faktureradt_Forskott
prenumerationsinbetalning från kund som ska faktureras i efterskott
Titel
Inbetalare
Kundreskontrapost t_Reskontra
postering i kundreskontra
Kreditering avinbetalningsavi
Fakturamottagare
Huvudtitel – titelnummer
Prenumerationsavtal
Titel i prenumerationsavtal
Prenumerationshändelse
Prenumerations‐ händelse
Prenumerations‐avtal
Betalningsavisering
Kund
Prenumerationshändelse t_AbonnemangHandelse
händelse som har skett, och/eller i vissa fall ska ske, för en viss prenumeration
Huvudtitel
Kundreskontra
Parter
Konfigu‐rering av utbud och
tjänster
Drift
Förlag, förlagens utbud och beställningar
Kunder och förlagens arrangemang med
kunder Distribution Betalningshantering
Betalnings‐händelser
Bokföring av betalnings‐händelser
Distributionshändelser
Huvuderbjudande
Erbjudande
Prenumerationsavtal
Erbjudande i kampanng t_Kampanj
Erbjudande
Prenumerations‐beställningar
Prenumerationsbeställningsfil t_Beställningsfil
fil som vi tar emot från extern part, med beställningar av
prenumerationer
Kundpost i filpost prenumerationsbeställningsfil
t_BeställningsfilKundinfo
kundpost i en filpost i prenumerationsbeställningsfil,
motsvarande en kundroll (prenumerationsmottagare eller separat prenumerationsbetalare)
Registrerad kund
Beställningspost prenumerationsbeställningsfil
t_Beställningsfilrad
Filpost i prenumerationsbeställningsfil,
motsvarande en prenumerationsbeställning
Registrerad prenumeration
Förnyelseunderlag
Förnyelseunderlagt_FornyelseUnderlag
förfrågan till betalande kund om vilka
prenumerationer som ska förnyas
Betalare Huvudtitel
Från prenumerationsavtal Från avtalstitel
Nytt erbjudande
Nytt erbjudande – Erbudandetitel
Titel
Beställnings‐ och förnyelsehämdelser
Informations-modell -översikt
© IRM AB All rights reserved
Behandling i ostrukturerat material, till exempel löpande text på internet, är enligt personuppgiftslagen tillåten så länge behandlingen inte utgör en kränkning av den registrerades personliga integritet. När dataskyddsförordningen träder i kraft försvinner denna svenska särreglering. Förordningen ska tillämpas i sin helhet på all automatiserad behandling av personuppgifter.
Har ni i er organisation utnyttjat undantaget för behandling i ostrukturerat material, till exempel vid publicering av personuppgifter på en webbplats eller i annan löpande text, är det viktigt att ni undersöker vilka förutsättningar ni har för att behandla uppgifterna enligt förordningens bestämmelser. Ni kan till exempel behöva undersöka om ni har en rättslig grund för behandlingen, att ni uppfyller de grundläggande kraven på behandlingen och att ni informerar de registrerade på ett korrekt sätt. (Datainspektionen)
Undantaget i PuL för personuppgifter i ostrukturerat material (den så kallade missbruks-regeln) försvinner
© IRM AB All rights reserved
Principer för behandling av personuppgifter– artikel 5 (Motsvarar 9§ PuL)
(Motsvarar 9 § i PuL –inga större förändringar) a) laglighet, korrekthet och öppenhet b) ändamålsbegränsning (särskilda, uttryckligt angivna och berättigade
ändamål, ej behandla för oförenliga ändamål) c) uppgiftsminimering (adekvata, relevanta, ej för många) d) korrekthet (korrekta, uppdaterade, rättas utan dröjsmål) e) lagringsminimering (ej spara längre än nödvändigt) f) integritet och konfidentialitet (uppgifterna ska skyddas mot obehörig eller
otillåten behandling m.m.) Ansvarsskyldighet (den personuppgiftsansvarige ska kunna ansvara för och
kunna visa att punkterna ovan efterlevs)© IRM AB All rights reserved
Laglig behandling av personuppgifter – artikel 6 (Motsvarar 10§ PuL )
a) samtycke, eller nödvändig behandling för
b) att fullgöra avtal
c) rättslig förpliktelse
d) skydda intressen som är av grundläggande betydelse för den registrerade e) arbetsuppgift av allmänt intresse eller led i myndighetsutövning
f) intresseavvägning
Lagstiftaren får precisera tillämpningen© IRM AB All rights reserved
Villkor för samtycke – artikel 7
Viljeyttring som ska vara
frivillig specifik informerad otvetydig
som ges genom uttalande eller entydig bekräftande
handling
Personuppgiftsansvarig har bevisbördanSka vara lika lätt att återkallas som att ges
© IRM AB All rights reserved
Villkor som gäller barns samtycke avseende informationssamhällets tjänster – artikel 8
Kräver vårdnadshavares samtycke för barn under 16 år
Medlemsstaterna kan lagstifta om lägre ålder, ner till 13 år
Personuppgiftsansvarig ska göra rimliga ansträngningar för att kontrollera att samtycke ges av rätt person
informationssamhällets tjänster:tjänster som vanligtvis utförs mot ersättning på distans, på individuell begäran
© IRM AB All rights reserved
Behandling av särskilda kategorier av personuppgifter – artikel 9
Behandling av särskilda kategorier av personuppgifter är förbjuden med följande undantag:a) uttryckligt samtycke (om inte lagstiftning säger att samtycke inte gäller)
b) skyldigheter och rättigheter inom arbetsrätten, social trygghet och socialt skydd
c) skydda den registrerades eller någon annans grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge samtycke
d) stiftelse, förening, ej vinstdrivande organ (politiskt, filosofiskt, religiöst eller fackligt syfte)
e) tydligt eget offentliggörande
fortsättning…
Särskilda kategorier av personuppgifter:Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska och biometriska uppgifter, uppgifter omhälsa, sexualliv och sexuell läggning
© IRM AB All rights reserved
Behandling av särskilda kategorier av personuppgifter – artikel 9
Behandling av särskilda kategorier av personuppgifter är förbjuden med följande undantag:
fortsättning…f) fastslå, göra gällande eller försvara rättsliga anspråk
g) fullgörande av arbetsuppgift i ett viktigt allmänt intresse på grundval av lag
h) förebyggande hälso‐ och sjukvård, bedömning av arbetskapacitet, diagnoser, hälso‐ och sjukvård, social omsorg (inklusive administration)
i) allmänt intresse på folkhälsoområdet
j) arkiveringsändamål för historiska, statistiska eller vetenskapliga forskningsändamål
Flera av punkterna ovan kräver nationell lagstiftning© IRM AB All rights reserved
Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser – artikel 10
Endast under kontroll av myndighet
tillåtet enligt unionslagstiftningen eller en medlemsstats lagstiftning
© IRM AB All rights reserved
Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter – artikel 12
All information ska vara begriplig och lämnas i en lätt tillgänglig form ett klart och tydligt språk
skriftligt, elektroniskt, muntligt (identitetskontroll krävs)
vid begäran om åtgärd (utdrag, rättelse, radering, begränsning, portabilitet, invändningar) ska information lämnas inom en månad
© IRM AB All rights reserved
Information som ska ges till den registrerade– artikel 13 -14
− vem som är personuppgiftsansvarig och kontaktuppgifter till ev. dataskyddsombud
− syftet med och den rättsliga grunden för behandlingen
− kategorier av personuppgifter som behandlas
− eventuella mottagare av uppgifterna
− överföring till tredjeland
− lagringsperioden och kriterier för fastställande av perioden
− rätt till registerutdrag, rättelse, radering, begränsning, uppgiftsportabilitet och att invända mot behandlingen
− rätt att återkalla samtycke
− att man kan ge in klagomål till tillsynsmyndigheten
− varifrån uppgifterna kommer
− förekomst av profilering (bl.a. förutsedda följder)
Behöver ej informera i den mån den registrerade redan förfogar över informationen
© IRM AB All rights reserved
Den registrerades rätt till tillgång (”registerutdrag”) – artikel 15 (och 12)
ungefär samma regler som idag, dessutom gäller möjlighet till elektroniska registerutdrag (art. 15.3)
Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt om den registrerade inte begär något annat
begriplig och lättfattlig form, även muntligt efter id‐koll
ska lämna en kopia av de uppgifter som håller på att behandlas
gratis (för ytterligare kopior får man ta ut en administrativ avgift – om begäran är oskälig p.g.a. dess repetitiva karaktär art. 12.5)
© IRM AB All rights reserved
Den registrerades rätt till tillgång (”registerutdrag”) – artikel 15 (och 12)
Förutom kopia av alla uppgifter som behandlas ska information lämnas oma) ändamålen med behandlingen
b) kategorier av personuppgifter
c) mottagare eller kategorier av mottagare
d) lagringsperioden
e) rätt att begära rättelse, radering, begränsning och att göra invändningar
f) rätt att inge klagomål till tillsynsmyndigheten
g) varifrån uppgifterna kommer
h) när det gäller beslut grundade på automatisk behandling: logiken bakom samt betydelsen och förutsedda följder av behandlingen
Överföring till tredjeland samt skyddsåtgärder
© IRM AB All rights reserved
Rätt att bli bortglömd – artikel 17
Rätt att få uppgifter raderade utan onödigt dröjsmål bl.a. om:uppgifterna inte längre behövsuppgifterna behandlats olagligtden registrerade
o återkallar samtyckeo i vissa fall invänder mot behandlingen av uppgifter (även profilering)o invänder mot behandling av uppgifter för direkt marknadsföring
(Undantag Artikel 17.3)
Om uppgifterna ska raderas och de har offentliggjorts ska andra personuppgiftsansvariga som behandlar uppgifterna underrättas och eventuella länkar till eller kopior av uppgifterna raderas (Undantag Artikel 17.3)
© IRM AB All rights reserved
Rätt till dataportabilitet – artikel 20
Den registrerade har i vissa fall rätt att få ut uppgifter som han eller hon självlämnat till en personuppgiftsansvarig för att kunna överlämna till en annan personuppgiftsansvarig.
Den förste personuppgiftsansvarige får då troligen inte ha kvar uppgifterna
Uppgiftsportabiliteten gäller inte bara för sociala medier
© IRM AB All rights reserved
Automatiserat individuellt beslutsfattande, bland annat profilering – artikel 22
profilering: Varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera och förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar
© IRM AB All rights reserved
Automatiserat individuellt beslutsfattande, bland annat profilering – artikel 22
Registrerad har rätt att inte bli föremål för beslut som enbart grundas på automatisk behandling och som har rättsliga följder eller kännbart påverkar personenUndantag:− nödvändigt för ingåendet eller fullgörandet av ett avtal,
− uttryckligen tillåts enligt lagstiftning,
− grundar sig på den registrerades samtyckeLämpliga åtgärder ska vidtas för att skydda den registrerades rättigheter, friheter och rättsliga intressen.
Profileringen får inte grunda sig på särskilda kategorier av uppgifter (känsliga uppgifter)
© IRM AB All rights reserved
Den personuppgiftsansvariges ansvar – artikel 24
Lämpliga tekniska och organisatoriska åtgärder ska genomföras för att försäkra och kunna visa att behandlingen följer förordningen. Godkända uppförandekodexar eller godkänd certifieringsmekanism får användas.
© IRM AB All rights reserved
Inbyggt dataskydd och dataskydd som standard – artikel 25
Tekniska och organisatoriska åtgärder ska byggas in från början så att behandlingen uppfyller alla krav i förordningen och skyddar den registreradeDen personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att endast de personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med avseende på:o antal insamlade uppgiftero behandlingens omfattningo tiden för lagringo uppgifternas tillgängligheto att de inte görs tillgängliga för obegränsat antal enskilda
© IRM AB All rights reserved
Personuppgiftsbiträden – artikel 28
Ska ge tillräckliga garantier för säkerheten. Hanteringen ska regleras genom ett avtal eller liknande där det ska framgå att personuppgiftsbiträdet:a) endast får behandla personuppgifter efter dokumenterade instruktioner
b) endast får anlita personal som åtar sig att iaktta sekretess
c) ska vidta alla säkerhetsåtgärder enligt artikel 32
d) endast får anlita annat personuppgiftsbiträde om den personuppgiftsansvarige skriftligen godkänt detta
e) ska kunna hjälpa personuppgiftsansvarig med att ta fram registerutdrag m.m.
forts…
© IRM AB All rights reserved
Personuppgiftsbiträden – artikel 28
forts…f) ska bistå personuppgiftsansvarig med att se till att skyldigheterna enligt
artiklarna 32 – 36 fullgörso säkerhet (32)o anmälan av personuppgiftsincident (33)o information till registrerade om personuppgiftsincident (34)o konsekvensbedömning avseende dataskydd (35)o förhandssamråd (36)
g) återlämna eller radera alla personuppgifter till den personuppgiftsansvarige efter avslutad behandling och förstöra kopior m.m.
h) ge personuppgiftsansvarig tillgång till info som krävs för att kontrollera att skyldigheterna fullgjorts och tillåta inspektioner
Personuppgiftsansvarig och personuppgiftsbiträde ska skriftligen dokumentera instruktioner och skyldigheter
© IRM AB All rights reserved
Register över behandlingar – artikel 30
Personuppgiftsansvarig och personuppgiftsbiträde ska föra register över behandlingar av personuppgifter, som på begäran ska lämnas till tillsynsmyndighet. (Undantag: färre än 250 anställda) Följande uppgifter ska dokumenteras:‐ namn och kontaktuppgifter för personuppgiftsansvarig och
personuppgiftsbiträde och ev. dataskyddsombud‐ kategorier av registrerade och kategorier av personuppgifter‐ kategorier av behandling‐ ändamål med behandlingen‐ kategorier av mottagare‐ ev. tredjeland‐ tidsfrister för radering‐ säkerhetsåtgärder
© IRM AB All rights reserved
Säkerhet i samband med behandlingen– artikel 32 (motsvarar 31 § PuL)
Vidta lämpliga tekniska och organisatoriska åtgärder med beaktande av och hänsyn till− tillgängliga teknik och genomförandekostnader− behandlingens art, omfattning sammanhang och ändamål− sannolikhet för och allvaret av risk för enskildas rättigheter
Åtgärderna kan bl.a. omfatta− pseudonymisering och kryptering av personuppgifter− förmågan att säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft
− förmågan att återställa tillgänglighet och tillgång till uppgifterna vid fysisk eller teknisk incident
© IRM AB All rights reserved
Anmälan av en personuppgifts-incident till tillsynsmyndigheten – artikel 33
Personuppgiftsansvarig ska anmäla till tillsynsmyndigheten utan onödigt dröjsmål (inom 72 timmar efter vetskap om händelsen)Personuppgiftsbiträde ska informera den personuppgiftsansvarige omedelbart
Anmälan till tillsynsmyndigheten ska åtminstone beskriva personuppgiftsincidentens art
beskriva kategorier och ungefärligt antal registrerade, kategorier av och ungefärligt antal uppgiftsposter
förmedla kontaktuppgifter för dataskyddsombudet
beskriva de sannolika konsekvenserna
beskriva föreslagna eller vidtagna åtgärder
© IRM AB All rights reserved
Information till registrerade om en personuppgiftsincident – artikel 34
Den registrerade ska som huvudregel informeras om det föreligger hög risk för enskildas rättigheter och friheter t.ex.o att den enskilde förlorar kontrollen över sina uppgifter
o att hans eller hennes rättigheterna inskränks
o att den registrerade utsätts för diskriminering, identitetsstöld eller bedrägeri
o att den registrerade råkar ut för finansiell förlust, skadlig ryktesspridning, brott mot sekretess eller tystnadsplikt.
Informationen till den registrerade ska innehålla uppgift om personuppgiftsincidentens art
de upplysningar och rekommendationer som ska lämnas till tillsynsmyndigheten.
(Undantag finns)
© IRM AB All rights reserved
Dataskyddsombud – artikel 37
Dataskyddsombud är obligatoriskt (för både personuppgiftsansvarig och personuppgiftsbiträde) i följande fall: för myndighet eller offentligt organ
regelbunden och systematisk övervakning av enskilda i stor omfattning
behandling i stor omfattning av särskilda kategorier av uppgifter eller personuppgifter som rör fällande domar i brottmål och överträdelser
Kan vara ett och samma ombud för flera företag i en koncern eller flera nämnder i en kommun eller liknande. Kan vara konsult.
© IRM AB All rights reserved
Dataskyddsombud – artikel 38
Personuppgiftsansvarig och personuppgiftsbiträde ska
se till att ombudet i god tid deltar i allafrågor som rör skyddet av personuppgifter
stödja ombudet genom att tillhandahålla de resurser som krävs, ge tillgång till personuppgifter, underhålla hans eller hennes sakkunskap
se till att ombudet inte tar emot några instruktioner rörande uppdraget
Den registrerade får kontakta ombudetOmbudet får inte bli föremål för påföljder för att ha utfört sina arbetsuppgifter.Ombudet ska rapportera direkt till högsta förvaltningsnivån
© IRM AB All rights reserved
Dataskyddsombud – artikel 39
Dataskyddsombudet ska ha åtminstone följande uppgifter informera och ge råd till den person
uppgiftsansvarige, personuppgiftsbiträdet och anställda som behandlar personuppgifter
övervaka efterlevnaden av förordningen, inbegripet bland annat ansvarstilldelning och utbildning av personal som deltar i behandling av personuppgifter
ge råd vad gäller konsekvensbedömning
samarbeta med och vara kontaktpunkt för tillsynsmyndigheten
© IRM AB All rights reserved
Administrativa sanktions-avgifter (böter) – artikel 83
Upp till 10 miljoner euro eller 2 % av globala årsomsättningen (beroende på vilket som är högst) bland annat om− inget dataskyddsombud
− ingen registerförteckning
− ingen konsekvensbedömning
upp till 20 miljoner euro eller 4 % av globala årsomsättningen (beroende på vilket som är högst) bland annat om− behandlar personuppgifter fast det inte är tillåtet
− känsliga personuppgifter fast man inte får
− inte lämnar information som krävs© IRM AB All rights reserved