GDPR - Den nya dataskyddsförordningen

Nya Dataskyddsförordningen (GDPR)Frukostmöte IRM 2016‐12‐02 Peter Tallungs [email protected]

© IRM AB All rights reserved

1973 Sverige: DatalagenVärldens första nationella integritetsskydds‐lagstiftning

1998 Sverige: Personuppgifts‐lagen (PuL)

2018 Sverige: Dataskydds‐förordningen


14 april 2016 tog EU‐parlamentet och EU‐rådet ett slutligt beslut om Dataskydds‐förordningen. Förordningen ska tillämpas i alla medlemsstater från och med den 25 maj 2018

Texten hittar du här: http://eur‐lex.europa.eu/legal‐content/SV/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=SV


Förordningen bygger i många delar på att det finns nationella bestämmelser.Omfattande lagstiftningsarbete kommer att krävas.

Det förutsätts att detta arbete är klart tills maj 2018.© IRM AB All rights reserved

Exempel på stärkta rättigheter för de registrerade:• Lättare att få insyn• Rätt att bli bortglömd• Uppgiftsportabilitet

Exempel på tuffare krav:• Rapportering av personuppgiftsincidenter• Registerföring• Undantaget i PuL för

ostrukturerad dataförsvinner

• Krav pådataskyddsombud

• Sanktioner


personuppgift: ”varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisningtill en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online‐identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.”


behandling : en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende avom de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring


personuppgiftsansvarig : fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter

personuppgiftsbiträde : fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning


Förslag till plan för arbetet med anpassning till Dataskydds-förordningenAtt börja med:1. Kartlägg dagens hantering av persondata:

‐ Vilken persondata hanterar vi?‐ När/var samlar vi in persondata?‐ När/var/hur lagrar vi persondata?‐ När/var/vart/hur skickar vi persondata (till intern eller extern part)?Leverabler: ‐ Karta över verksamhetsförmågor, informationssystem och

integrationer.‐ En eller flera informationsmodeller‐ Rapport över nuläge

2. Skapa ett övergripande arbetsdokument med struktur för hantering av frågeställningarna som dyker upp under arbetets gång.


Förslag till plan för arbetet med anpassning till Dataskyddsförordningen3. Kartlägg ansvarsförhållanden. Vad är vi persondataansvariga för? Vad är vi persondatabiträden för?

Därefter4. Bygg grundläggande mekanismer: pseudonymisering, rutiner för radering/utgallring

Sedan5. Skapa organisation. Persondataombud eller motsvarande för att leda arbetet framåt

6. Skapa och implementera roller, policies och rutiner


Karta över verksamhets-förmågor, informations-system och integrationer


Kund t_Kund

fysisk person eller organisation i roll som kund hos ett förlag

KunderFysiska personer eller organisationer i roll som kund hos ett förlag

Förlagsenhett_Agare

förlag (eller del av förlag) som äger kunder och

information

Förlag

Kunduppgift hos förlagsenhett_KundAgare

kunduppgift hos viss förlagsenhet

Kunduppgift hos förlagt_KundUppgifterPerForlag

kunduppgift hos ett visst förlag

Förlagt_Forlag

förlag

Kampanjt_Kampanj

ett antal erbjudanden som hålls samman som en enhet

KampanjerSamlingar av erbjudanden till kunder om prenumerationer

Erbjudandet_Erbjudande

ett antal titlar som som erbjuds som ett paket

Erbjudanden En samling titlar som erbjudas som en enhet till kunder att avtala om

Titelt_Titel

tidskriftstitel för prenumeration

Huvudtitel

Prenumerationt_Abonnemang

arrangemang för kund för distribution av ett antal

utgåvor av en titel Kampanj

Erbjudande

Kampanjsplitt_KampanjSplitKod

identifierad del av kampanj som skiljer ut vissa

kampanjaktiviteter från andra

Kampanjsplit

Prenumerationsavtalt_Avtal

avtal mellan kund och förlag om prenumeration

Titel i prenumerationsavtalt_AvtalTitel

detalj i prenumerationsavtal som avser specifik titel

Erbjudandetitelt_ErbjudandeTitel

titel i erbjudande

Titel

Erbjudandetitel

Utgåvat_Utgava

utgåva av en titel

Utgåva tom

Utgåva from

Detaljrad för utgåva i prenumerationsavtalt_AvtalTitelUtgava

detalj i prenumerationsavtal som avser specifik utgåva av

en titel

Utgåva

Prenumerationer

Mottagare

Titelsortiment Tidskriftstitlar och utgåvor för prenumeration

Betalare

DistributörerDistributör t_Distributor

part som distribuerar titlar, artiklar och/eller avier

Distributionsgruppt_DistributionGrupp

De uppgifter som behövs för en distributör för distribution av en titel

Titel

Postdistributör t_PostDistributor

part som distribuerar postförsändelser

Postdistributörsområdet_PostDistributorOmrade

geografiskt område för postdistribution, definierat av

postdistributör

Postdistributörs‐delområde t_PostDistributorDelOmrade

postnummerserie, definierad av postdistributör för postdistribution

Postdistributörer

Distributionsarrangemang för titel

Leverans av utgåva i avtalt_AvtalTitelUtgavaLev

utförd leverans av utgåva av titel i ett prenumerationsavtal

Utgåva i prenumerations‐

avtal

Leverans av utgåva i avtal Aviseringsarrangemang

t_Faktura

arrangemang för aviseringav en betalare för en eller flera prenumerationer

Återbetalning till kundÅterbetalning till kund

t_Aterbetalning

Betalningsavit_Avi

meddelande till kund om vad som ska betalas

Betalningsaviradt_AviRad

specificering av delbelopp på betalningsavi

Titel på betalningsavit_AviTitel

faktat att en titel förekommer på en

betalningsavi Titel

Betalning från kund

Betalningt_Betalning

bokförd prenumerations‐inbetalning från kund

Kreditering av betalningsavi

t_Kredit

Betalning som ännu inte är faktureradt_Forskott

prenumerationsinbetalning från kund som ska faktureras i efterskott

Titel

Inbetalare

Kundreskontrapost t_Reskontra

postering i kundreskontra

Kreditering avinbetalningsavi

Fakturamottagare

Huvudtitel – titelnummer

Prenumerationsavtal

Titel i prenumerationsavtal

Prenumerationshändelse

Prenumerations‐ händelse

Prenumerations‐avtal

Betalningsavisering

Kund

Prenumerationshändelse t_AbonnemangHandelse

händelse som har skett, och/eller i vissa fall ska ske, för en viss prenumeration

Huvudtitel

Kundreskontra

Parter

Konfigu‐rering av utbud och

tjänster

Drift

Förlag, förlagens utbud och beställningar

Kunder och förlagens arrangemang med

kunder Distribution Betalningshantering

Betalnings‐händelser

Bokföring av betalnings‐händelser

Distributionshändelser

Huvuderbjudande

Erbjudande

Prenumerationsavtal

Erbjudande i kampanng t_Kampanj

Erbjudande

Prenumerations‐beställningar

Prenumerationsbeställningsfil t_Beställningsfil

fil som vi tar emot från extern part, med beställningar av

prenumerationer

Kundpost i filpost prenumerationsbeställningsfil

t_BeställningsfilKundinfo

kundpost i en filpost i prenumerationsbeställningsfil,

motsvarande en kundroll (prenumerationsmottagare eller separat prenumerationsbetalare)

Registrerad kund

Beställningspost prenumerationsbeställningsfil

t_Beställningsfilrad

Filpost i prenumerationsbeställningsfil,

motsvarande en prenumerationsbeställning

Registrerad prenumeration

Förnyelseunderlag

Förnyelseunderlagt_FornyelseUnderlag

förfrågan till betalande kund om vilka

prenumerationer som ska förnyas

Betalare Huvudtitel

Från prenumerationsavtal Från avtalstitel

Nytt erbjudande

Nytt erbjudande – Erbudandetitel

Titel

Beställnings‐ och förnyelsehämdelser

Informations-modell -översikt


Informations-modell –detalj


Behandling i ostrukturerat material, till exempel löpande text på internet, är enligt personuppgiftslagen tillåten så länge behandlingen inte utgör en kränkning av den registrerades personliga integritet. När dataskyddsförordningen träder i kraft försvinner denna svenska särreglering. Förordningen ska tillämpas i sin helhet på all automatiserad behandling av personuppgifter.

Har ni i er organisation utnyttjat undantaget för behandling i ostrukturerat material, till exempel vid publicering av personuppgifter på en webbplats eller i annan löpande text, är det viktigt att ni undersöker vilka förutsättningar ni har för att behandla uppgifterna enligt förordningens bestämmelser. Ni kan till exempel behöva undersöka om ni har en rättslig grund för behandlingen, att ni uppfyller de grundläggande kraven på behandlingen och att ni informerar de registrerade på ett korrekt sätt. (Datainspektionen)

Undantaget i PuL för personuppgifter i ostrukturerat material (den så kallade missbruks-regeln) försvinner


Principer för behandling av personuppgifter– artikel 5 (Motsvarar 9§ PuL)

(Motsvarar 9 § i PuL –inga större förändringar) a) laglighet, korrekthet och öppenhet b) ändamålsbegränsning (särskilda, uttryckligt angivna och berättigade

ändamål, ej behandla för oförenliga ändamål) c) uppgiftsminimering (adekvata, relevanta, ej för många) d) korrekthet (korrekta, uppdaterade, rättas utan dröjsmål) e) lagringsminimering (ej spara längre än nödvändigt) f) integritet och konfidentialitet (uppgifterna ska skyddas mot obehörig eller

otillåten behandling m.m.) Ansvarsskyldighet (den personuppgiftsansvarige ska kunna ansvara för och

kunna visa att punkterna ovan efterlevs)© IRM AB All rights reserved

Laglig behandling av personuppgifter – artikel 6 (Motsvarar 10§ PuL )

a) samtycke, eller nödvändig behandling för

b) att fullgöra avtal

c) rättslig förpliktelse

d) skydda intressen som är av grundläggande betydelse för den registrerade e) arbetsuppgift av allmänt intresse eller led i myndighetsutövning

f) intresseavvägning

Lagstiftaren får precisera tillämpningen© IRM AB All rights reserved

Villkor för samtycke – artikel 7

Viljeyttring som ska vara

frivillig specifik informerad otvetydig

som ges genom uttalande eller entydig bekräftande

handling

Personuppgiftsansvarig har bevisbördanSka vara lika lätt att återkallas som att ges


Villkor som gäller barns samtycke avseende informationssamhällets tjänster – artikel 8

Kräver vårdnadshavares samtycke för barn under 16 år

Medlemsstaterna kan lagstifta om lägre ålder, ner till 13 år

Personuppgiftsansvarig ska göra rimliga ansträngningar för att kontrollera att samtycke ges av rätt person

informationssamhällets tjänster:tjänster som vanligtvis utförs mot ersättning på distans, på individuell begäran


Behandling av särskilda kategorier av personuppgifter – artikel 9

Behandling av särskilda kategorier av personuppgifter är förbjuden med följande undantag:a) uttryckligt samtycke (om inte lagstiftning säger att samtycke inte gäller)

b) skyldigheter och rättigheter inom arbetsrätten, social trygghet och socialt skydd

c) skydda den registrerades eller någon annans grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge samtycke

d) stiftelse, förening, ej vinstdrivande organ (politiskt, filosofiskt, religiöst eller fackligt syfte)

e) tydligt eget offentliggörande

fortsättning…

Särskilda kategorier av personuppgifter:Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska och biometriska uppgifter, uppgifter omhälsa, sexualliv och sexuell läggning


Behandling av särskilda kategorier av personuppgifter – artikel 9

Behandling av särskilda kategorier av personuppgifter är förbjuden med följande undantag:

fortsättning…f) fastslå, göra gällande eller försvara rättsliga anspråk

g) fullgörande av arbetsuppgift i ett viktigt allmänt intresse på grundval av lag

h) förebyggande hälso‐ och sjukvård, bedömning av arbetskapacitet, diagnoser, hälso‐ och sjukvård, social omsorg (inklusive administration)

i) allmänt intresse på folkhälsoområdet

j) arkiveringsändamål för historiska, statistiska eller vetenskapliga forskningsändamål

Flera av punkterna ovan kräver nationell lagstiftning© IRM AB All rights reserved

Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser – artikel 10

Endast under kontroll av myndighet

tillåtet enligt unionslagstiftningen eller en medlemsstats lagstiftning


Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter – artikel 12

All information ska vara begriplig och lämnas i en lätt tillgänglig form ett klart och tydligt språk

skriftligt, elektroniskt, muntligt (identitetskontroll krävs)

vid begäran om åtgärd (utdrag, rättelse, radering, begränsning, portabilitet, invändningar) ska information lämnas inom en månad


Information som ska ges till den registrerade– artikel 13 -14

− vem som är personuppgiftsansvarig och kontaktuppgifter till ev. dataskyddsombud

− syftet med och den rättsliga grunden för behandlingen

− kategorier av personuppgifter som behandlas

− eventuella mottagare av uppgifterna

− överföring till tredjeland

− lagringsperioden och kriterier för fastställande av perioden

− rätt till registerutdrag, rättelse, radering, begränsning, uppgiftsportabilitet och att invända mot behandlingen

− rätt att återkalla samtycke

− att man kan ge in klagomål till tillsynsmyndigheten

− varifrån uppgifterna kommer

− förekomst av profilering (bl.a. förutsedda följder)

Behöver ej informera i den mån den registrerade redan förfogar över informationen


Den registrerades rätt till tillgång (”registerutdrag”) – artikel 15 (och 12)

ungefär samma regler som idag, dessutom gäller möjlighet till elektroniska registerutdrag (art. 15.3)

Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt om den registrerade inte begär något annat

begriplig och lättfattlig form, även muntligt efter id‐koll

ska lämna en kopia av de uppgifter som håller på att behandlas

gratis (för ytterligare kopior får man ta ut en administrativ avgift – om begäran är oskälig p.g.a. dess repetitiva karaktär art. 12.5)


Den registrerades rätt till tillgång (”registerutdrag”) – artikel 15 (och 12)

Förutom kopia av alla uppgifter som behandlas ska information lämnas oma) ändamålen med behandlingen

b) kategorier av personuppgifter

c) mottagare eller kategorier av mottagare

d) lagringsperioden

e) rätt att begära rättelse, radering, begränsning och att göra invändningar

f) rätt att inge klagomål till tillsynsmyndigheten

g) varifrån uppgifterna kommer

h) när det gäller beslut grundade på automatisk behandling: logiken bakom samt betydelsen och förutsedda följder av behandlingen

Överföring till tredjeland samt skyddsåtgärder


Rätt att bli bortglömd – artikel 17

Rätt att få uppgifter raderade utan onödigt dröjsmål bl.a. om:uppgifterna inte längre behövsuppgifterna behandlats olagligtden registrerade

o återkallar samtyckeo i vissa fall invänder mot behandlingen av uppgifter (även profilering)o invänder mot behandling av uppgifter för direkt marknadsföring

(Undantag Artikel 17.3)

Om uppgifterna ska raderas och de har offentliggjorts ska andra personuppgiftsansvariga som behandlar uppgifterna underrättas och eventuella länkar till eller kopior av uppgifterna raderas (Undantag Artikel 17.3)


Rätt till dataportabilitet – artikel 20

Den registrerade har i vissa fall rätt att få ut uppgifter som han eller hon självlämnat till en personuppgiftsansvarig för att kunna överlämna till en annan personuppgiftsansvarig.

Den förste personuppgiftsansvarige får då troligen inte ha kvar uppgifterna

Uppgiftsportabiliteten gäller inte bara för sociala medier


Automatiserat individuellt beslutsfattande, bland annat profilering – artikel 22

profilering: Varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera och förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar


Automatiserat individuellt beslutsfattande, bland annat profilering – artikel 22

Registrerad har rätt att inte bli föremål för beslut som enbart grundas på automatisk behandling och som har rättsliga följder eller kännbart påverkar personenUndantag:− nödvändigt för ingåendet eller fullgörandet av ett avtal,

− uttryckligen tillåts enligt lagstiftning,

− grundar sig på den registrerades samtyckeLämpliga åtgärder ska vidtas för att skydda den registrerades rättigheter, friheter och rättsliga intressen.

Profileringen får inte grunda sig på särskilda kategorier av uppgifter (känsliga uppgifter)


Den personuppgiftsansvariges ansvar – artikel 24

Lämpliga tekniska och organisatoriska åtgärder ska genomföras för att försäkra och kunna visa att behandlingen följer förordningen. Godkända uppförandekodexar eller godkänd certifieringsmekanism får användas.


Inbyggt dataskydd och dataskydd som standard – artikel 25

Tekniska och organisatoriska åtgärder ska byggas in från början så att behandlingen uppfyller alla krav i förordningen och skyddar den registreradeDen personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att endast de personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med avseende på:o antal insamlade uppgiftero behandlingens omfattningo tiden för lagringo uppgifternas tillgängligheto att de inte görs tillgängliga för obegränsat antal enskilda


Personuppgiftsbiträden – artikel 28

Ska ge tillräckliga garantier för säkerheten. Hanteringen ska regleras genom ett avtal eller liknande där det ska framgå att personuppgiftsbiträdet:a) endast får behandla personuppgifter efter dokumenterade instruktioner

b) endast får anlita personal som åtar sig att iaktta sekretess

c) ska vidta alla säkerhetsåtgärder enligt artikel 32

d) endast får anlita annat personuppgiftsbiträde om den personuppgiftsansvarige skriftligen godkänt detta

e) ska kunna hjälpa personuppgiftsansvarig med att ta fram registerutdrag m.m.

forts…


Personuppgiftsbiträden – artikel 28

forts…f) ska bistå personuppgiftsansvarig med att se till att skyldigheterna enligt

artiklarna 32 – 36 fullgörso säkerhet (32)o anmälan av personuppgiftsincident (33)o information till registrerade om personuppgiftsincident (34)o konsekvensbedömning avseende dataskydd (35)o förhandssamråd (36)

g) återlämna eller radera alla personuppgifter till den personuppgiftsansvarige efter avslutad behandling och förstöra kopior m.m.

h) ge personuppgiftsansvarig tillgång till info som krävs för att kontrollera att skyldigheterna fullgjorts och tillåta inspektioner

Personuppgiftsansvarig och personuppgiftsbiträde ska skriftligen dokumentera instruktioner och skyldigheter


Register över behandlingar – artikel 30

Personuppgiftsansvarig och personuppgiftsbiträde ska föra register över behandlingar av personuppgifter, som på begäran ska lämnas till tillsynsmyndighet. (Undantag: färre än 250 anställda) Följande uppgifter ska dokumenteras:‐ namn och kontaktuppgifter för personuppgiftsansvarig och

personuppgiftsbiträde och ev. dataskyddsombud‐ kategorier av registrerade och kategorier av personuppgifter‐ kategorier av behandling‐ ändamål med behandlingen‐ kategorier av mottagare‐ ev. tredjeland‐ tidsfrister för radering‐ säkerhetsåtgärder


Säkerhet i samband med behandlingen– artikel 32 (motsvarar 31 § PuL)

Vidta lämpliga tekniska och organisatoriska åtgärder med beaktande av och hänsyn till− tillgängliga teknik och genomförandekostnader− behandlingens art, omfattning sammanhang och ändamål− sannolikhet för och allvaret av risk för enskildas rättigheter

Åtgärderna kan bl.a. omfatta− pseudonymisering och kryptering av personuppgifter− förmågan att säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft

− förmågan att återställa tillgänglighet och tillgång till uppgifterna vid fysisk eller teknisk incident


Anmälan av en personuppgifts-incident till tillsynsmyndigheten – artikel 33

Personuppgiftsansvarig ska anmäla till tillsynsmyndigheten utan onödigt dröjsmål (inom 72 timmar efter vetskap om händelsen)Personuppgiftsbiträde ska informera den personuppgiftsansvarige omedelbart

Anmälan till tillsynsmyndigheten ska åtminstone beskriva personuppgiftsincidentens art

beskriva kategorier och ungefärligt antal registrerade, kategorier av och ungefärligt antal uppgiftsposter

förmedla kontaktuppgifter för dataskyddsombudet

beskriva de sannolika konsekvenserna

beskriva föreslagna eller vidtagna åtgärder


Information till registrerade om en personuppgiftsincident – artikel 34

Den registrerade ska som huvudregel informeras om det föreligger hög risk för enskildas rättigheter och friheter t.ex.o att den enskilde förlorar kontrollen över sina uppgifter

o att hans eller hennes rättigheterna inskränks

o att den registrerade utsätts för diskriminering, identitetsstöld eller bedrägeri

o att den registrerade råkar ut för finansiell förlust, skadlig ryktesspridning, brott mot sekretess eller tystnadsplikt.

Informationen till den registrerade ska innehålla uppgift om personuppgiftsincidentens art

de upplysningar och rekommendationer som ska lämnas till tillsynsmyndigheten.

(Undantag finns)


Dataskyddsombud – artikel 37

Dataskyddsombud är obligatoriskt (för både personuppgiftsansvarig och personuppgiftsbiträde) i följande fall: för myndighet eller offentligt organ

regelbunden och systematisk övervakning av enskilda i stor omfattning

behandling i stor omfattning av särskilda kategorier av uppgifter eller personuppgifter som rör fällande domar i brottmål och överträdelser

Kan vara ett och samma ombud för flera företag i en koncern eller flera nämnder i en kommun eller liknande. Kan vara konsult.



Personuppgiftsansvarig och personuppgiftsbiträde ska

se till att ombudet i god tid deltar i allafrågor som rör skyddet av personuppgifter

stödja ombudet genom att tillhandahålla de resurser som krävs, ge tillgång till personuppgifter, underhålla hans eller hennes sakkunskap

se till att ombudet inte tar emot några instruktioner rörande uppdraget

Den registrerade får kontakta ombudetOmbudet får inte bli föremål för påföljder för att ha utfört sina arbetsuppgifter.Ombudet ska rapportera direkt till högsta förvaltningsnivån



Dataskyddsombudet ska ha åtminstone följande uppgifter informera och ge råd till den person

uppgiftsansvarige, personuppgiftsbiträdet och anställda som behandlar personuppgifter

övervaka efterlevnaden av förordningen, inbegripet bland annat ansvarstilldelning och utbildning av personal som deltar i behandling av personuppgifter

ge råd vad gäller konsekvensbedömning

samarbeta med och vara kontaktpunkt för tillsynsmyndigheten


Administrativa sanktions-avgifter (böter) – artikel 83

Upp till 10 miljoner euro eller 2 % av globala årsomsättningen (beroende på vilket som är högst) bland annat om− inget dataskyddsombud

− ingen registerförteckning

− ingen konsekvensbedömning

upp till 20 miljoner euro eller 4 % av globala årsomsättningen (beroende på vilket som är högst) bland annat om− behandlar personuppgifter fast det inte är tillåtet

− känsliga personuppgifter fast man inte får

− inte lämnar information som krävs© IRM AB All rights reserved

Läs mer

− Dataskyddsförordningens fulla text i Europarådets officiella tidning: http://eur‐lex.europa.eu/legal‐content/SV/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=SV

− Datainspektionens information:http://www.datainspektionen.se/lagar‐och‐regler/eus‐dataskyddsreform/


Business

GDPR - Den nya dataskyddsförordningen