Presentation från Transcendent Groups frukostseminarium på Rigoletto den 5 mars 2014:
I takt med den tekniska utvecklingen riktas ett allt större fokus mot data- och integritetsskydd vid hantering av personuppgifter. Samtidigt blir det svårare och svårare för organisationer att överblicka det växande flödet av personuppgifter. Datainspektionen är den myndighet som genom sin tillsynsverksamhet ska säkerställa att behandlingen av personuppgifter sker i enlighet med personuppgiftslagen. Vad har Datainspektionen för tillsynsbefogenheter i dagsläget? Vad kan du vänta dig vid ett eventuellt tillsynsbesök och hur bör du förbereda dig?
Det finns just nu ett EU-förslag till en ny dataskyddsförordning som planeras ersätta personuppgiftslagen inom de närmaste åren. Förordningen är ännu på förslagsstadiet men det finns en poäng i att hålla sig informerad om vad som kan väntas framöver. Vi går igenom de viktigaste nyheterna och aktuell status.
Ämne: Vad händer när Datainspektionen kommer på besök?
Talare: Magnus Bergström, Datainspektionen
Magnus Bergström är IT-säkerhetsspecialist på Datainspektionen. Magnus kommer att berätta om Datainspektionens befogenheter och vad som händer när myndigheten gör en inspektion. Magnus har mångårig erfarenhet av tillsyn kring efterlevnad av personuppgiftslagen.
Ämne: Iakttagelser från Datainspektionens praxis
Talare: Terhi Edstam, Transcendent Group
Terhi Edstam är jurist och jobbar som konsult inom financial services på Transcendent Group. Personuppgiftslagen är ett område som ofta ingår i en compliance officers ansvarsområde hos ett finansiellt bolag. Terhi kommer att diskutera de slutsatser som kan dras av Datainspektionens praxis avseende hantering och skydd av personuppgifter inom just finansiella bolag. Terhi har lång erfarenhet av compliancearbete, både från linjeroll som compliance officer och som konsult.
Ämne: Vad är status för förslaget till ny dataskyddförordning och vilka krav kommer förordningen ställa på organisationer som hanterar personuppgifter?
Talare: Per Lundevall, Transcendent Group
Per Lundevall är informationssäkerhetskonsult på Transcendent Group. Per kommer att berätta om förslaget till kommande EU-förordning för skydd av personuppgifter, så att du och din verksamhet är väl förberedda när beslutet fattas inom EU. Per har mångårig erfarenhet av rådgivning, åtgärder och efterlevnad inom området dataskydd.
2. Inspektioner i praktiken
Magnus Bergström
IT-säkerhetsspecialist
magnus.bergstrom@datainspektionen.se
www.datainspektionen.se
3. Datainspektionens befogenheter
tillsynsmyndighet enligt personuppgiftslagen (PuL)
TUT: tillgång, uppgifter och tillträde (43 §)
otillräckligt underlag enbart lagring (44 §)
påpekanden enbart lagring (45 §)
säkerhetsåtgärder i enskilda fall vite (32, 45 §§)
begäran hos domstol om utplåning (47 §)
2014-03-05
4. PuL på tre minuter
33-35 §§
tredje land
säkerhet
30-32 §§
information
personnummer
känsliga
uppgifter
2014-03-05
22 §
13-21 §§
tillåten
behandling
grundläggande
krav
23-27 §§
10 §
9§
5. Tillsynsverksamheten i stort
Tre olika varianter:
fältinspektioner – ”på plats”-besök (praktik)
skrivbordstillsyn – frågor brevledes (teori)
enkäter – oftast i form av skrivbordstillsyn
”Strategisk” tillsyn eller ”på förekommen anledning”
Dock alltid ex officio
Sekretess? Finns, men inte gentemot oss…
2014-03-05
6. Inspektion – hur går det till?
Initial kontakt (vanligtvis via personuppgiftsombud)
Vad vill Datainspektionen veta?
Vilka behöver vara med?
När kan vi träffas?
Tillsynsskrivelse/bekräftelse
Inspektion protokoll (+ ev. kompletterande frågor)
kommunikation (möjlighet till synpunkter)
Beslut
2014-03-05
7. Beslut och beslutsformalia
Beslutsmening(ar):
Ärendet avslutas (+ eventuell uppföljning)
Konstaterar att… (någon brist)
Förutsätter att X… (åtgärdar bristen)
Förelägger X att… (åtgärda bristen)
Meddelar följande säkerhetsföreskrift…
Redogörelse för tillsynsärendet
Skäl, det vill säga de rättsliga grunderna för beslutet
(eventuell) besvärshänvisning
2014-03-05
8. Besvär?
Ett myndighetsbeslut träder i kraft när det meddelas
(offentlig aktör) eller når den det berör (privat aktör).
Kan (oftast) överklagas.
Rättidsprövning.
Överlämnas skyndsamt till förvaltningsrätten (om
myndigheten inte självmant ändrar beslutet).
Process dom eventuellt högre instans…
Domen vinner laga kraft.
2014-03-05