SlideShare una empresa de Scribd logo
1 de 29
Descargar para leer sin conexión
Frukostseminarium om
Datainspektionens
tillsynsarbete
Rigoletto den 5 mars 2014
Inspektioner i praktiken

Magnus Bergström
IT-säkerhetsspecialist
magnus.bergstrom@datainspektionen.se

www.datainspektionen.se
Datainspektionens befogenheter


tillsynsmyndighet enligt personuppgiftslagen (PuL)



TUT: tillgång, uppgifter och tillträde (43 §)



otillräckligt underlag  enbart lagring (44 §)



påpekanden  enbart lagring (45 §)



säkerhetsåtgärder i enskilda fall  vite (32, 45 §§)



begäran hos domstol om utplåning (47 §)

2014-03-05
PuL på tre minuter
33-35 §§

tredje land
säkerhet

30-32 §§

information
personnummer
känsliga
uppgifter

2014-03-05

22 §
13-21 §§

tillåten
behandling
grundläggande
krav

23-27 §§

10 §
9§
Tillsynsverksamheten i stort


Tre olika varianter:




fältinspektioner – ”på plats”-besök (praktik)
skrivbordstillsyn – frågor brevledes (teori)
enkäter – oftast i form av skrivbordstillsyn



”Strategisk” tillsyn eller ”på förekommen anledning”



Dock alltid ex officio



Sekretess? Finns, men inte gentemot oss…

2014-03-05
Inspektion – hur går det till?


Initial kontakt (vanligtvis via personuppgiftsombud)









Vad vill Datainspektionen veta?
Vilka behöver vara med?
När kan vi träffas?

Tillsynsskrivelse/bekräftelse
Inspektion  protokoll (+ ev. kompletterande frågor)
 kommunikation (möjlighet till synpunkter)
Beslut

2014-03-05
Beslut och beslutsformalia


Beslutsmening(ar):



Ärendet avslutas (+ eventuell uppföljning)
 Konstaterar att… (någon brist)
 Förutsätter att X… (åtgärdar bristen)
 Förelägger X att… (åtgärda bristen)
 Meddelar följande säkerhetsföreskrift…
Redogörelse för tillsynsärendet



Skäl, det vill säga de rättsliga grunderna för beslutet



(eventuell) besvärshänvisning



2014-03-05
Besvär?


Ett myndighetsbeslut träder i kraft när det meddelas
(offentlig aktör) eller når den det berör (privat aktör).



Kan (oftast) överklagas.



Rättidsprövning.



Överlämnas skyndsamt till förvaltningsrätten (om
myndigheten inte självmant ändrar beslutet).



Process  dom  eventuellt högre instans…



Domen vinner laga kraft.

2014-03-05
PuL inom finansiella
företag – iakttagelser
av en compliance
officer
Terhi Edstam
© Transcendent Group Sverige AB 2013

Är PuL ett regelverk som
compliance ska ansvara för
inom finansiella företag?
Röst från branschen

© Transcendent Group Sverige AB 2013

”Min uppfattning är att det helst bör vara den
funktion inom bolaget som har bäst kunskap om,
eller som i vart fall har lättast att få tillgång till, de
personuppgifter som hanteras inom bolagets
system. Hos oss ligger ansvaret därför inom
juridikavdelningen.”
”Vår erfarenhet är att PuL-ansvaret bör ligga hos
compliance och inte hos legal. Det ingår i
compliancefunktionens ansvar att förebygga,
monitorera och rapportera regelefterlevnadsrisker.
Legal kan ha en roll där de vid behov kan bistå vid
regeltolkning men de arbetar inte med risker på
samma sätt som vi gör på compliance. Därför
anser vi att det är mer lämpligt att ansvaret ligger
hos compliance.”

© Transcendent Group Sverige AB 2013

Röst från branschen
PuL-ansvaret idag och framöver?

• Ändringar väntas avseende frivilligheten att utse
personuppgiftsombud

© Transcendent Group Sverige AB 2013

• Enligt de nuvarande reglerna är det frivilligt att ha ett
personuppgiftsombud.
• Enligt Datainspektionen finns det idag 3800
personuppgiftsombud i Sverige.
• Olika funktioner kan vara ansvariga för PuL – lägg
ansvaret där det bäst kan tas om hand.
© Transcendent Group Sverige AB 2013

Höjd ribba för finansiella
företag?
Integritetskänsliga uppgifter

© Transcendent Group Sverige AB 2013

• Uppgifter om personliga förhållanden är inom
bank- och försäkringsväsendet normalt sett att
anse som integritetskänsliga när det handlar om
säkerhet.
• Ett uttryck för att det är fråga om
integritetskänsliga uppgifter är att uppgifterna
omfattas av tystnadsplikt eller sekretess.
© Transcendent Group Sverige AB 2013

Går det att dra några generella
slutsatser utifrån Datainspektionens undersökningar hos bolag
inom finansiell sektor?
• Brister i spårbarhet av åtkomst och bristande
behandlingshistorik för att kunna se vem behandlat vilka
personuppgifter och när.
• Regelbundna och systematiska uppföljningar för att
kontrollera vem/vilka som tagit del av vilken information
saknas.
• Bristande gallringsrutiner.
• Rutiner saknas för avskiljande av uppgifter hänförliga till
kunder som ej längre är kunder.
• Bristande säkerhet vid nya tekniska lösningar såsom appar.
• Bristande interna regler för hur personuppgifter ska hanteras.

© Transcendent Group Sverige AB 2013

Några exempel på Datainspektionens
iakttagelser
© Transcendent Group Sverige AB 2013

Status PuL-compliance?
Förbättringspotential finns hos
de flesta bolag.
• Lägg PuL-ansvaret hos den befattningshavare eller
funktion som är bäst lämpad för uppgiften. Det kan
därmed se olika ut hos olika företag.
• God kontroll och säkerhetsrutiner krävs då
kunduppgifterna anses vara integritetskänsliga.
• Datainspektionens praxis visar att
utvecklingspotential finns.
• Inför kommande regelskärpning kan det vara en
god idé att redan nu göra en PuL-inventering.

© Transcendent Group Sverige AB 2013

Sammanfattningsvis
Exempel på relevanta frågeställningar och åtgärder:
• förteckning över samtliga personuppgiftsbehandlingar? systeminventering?
• redogörelse för vilka ändamål personuppgiftsbehandlingar genomförs?
• redogörelse för varifrån personuppgifter inhämtas?
• information som har lämnats vid insamling av personuppgifter?
• samtycken som hämtats vid insamling av personuppgifter?
• hur länge sparas uppgifterna?
• rutiner för gallring av personuppgifter?
• rutiner för att lämna registerutdrag?
• rutiner för att ta emot anmälningar om att inte behandla någons
personuppgifter?
• förekommer det att personuppgifter säljs eller överlämnas till tredje part?
I vilket syfte?
• informationen om de anställda, vad har HR för rutiner?
• interna regler och rutinbeskrivningar uppdaterade?

© Transcendent Group Sverige AB 2013

Checklista för PuL-inventering
Förslag till EU-förordning
för skydd av personuppgifter
Per Lundevall
• Vad innebär
förordningen?
• Hur påverkar den oss?
• När tror vi att den
kommer träda i kraft?
Attityder hos medborgarna i EU
70 procent är oroliga

67 procent vet inte var man ska klaga
Varför ny förordning?

© Transcendent Group Sverige AB 2013

• Det finns 250 miljoner EUmedborgare på nätet.
• Skydd är en grundläggande
rättighet.
• Personuppgifter är big business.
• Avslöjanden från Edward
Snowden snabbar upp
processen.
•
•
•
•
•
•

En enda uppsättning regler
Dataportabilitet och rätten att bli glömd
Privacy by design
Privacy by default
Anmälningsplikt – inom 24 timmar
Endast en part

© Transcendent Group Sverige AB 2013

Vad föreslår kommissionen?
Om vi inte är
compliant då?

© Transcendent Group Sverige AB 2013

Böter upp till € 1M eller
2 procent av organisationens totala omsättning.
När börjar förordningen gälla?

© Transcendent Group Sverige AB 2013

• beslut beräknas fattas
i slutet av 2014
• träder i kraft två år
senare
Sammanfattningsvis
70 procent av EU:s befolkning är orolig
EU kommer stärka upp med en förordning
Påverkar alla organisationer som hanterar personuppgifter
Krav på förändringar i nya och befintliga system och
processer
• Utökade sanktionsmöjligheter
• Beslut förväntas tas i slutet av 2014 och träda i kraft
2016/2017
• Så, vad ska ni få med er?

© Transcendent Group Sverige AB 2013

•
•
•
•
www.transcendentgroup.com

Más contenido relacionado

Más de Transcendent Group

Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controlsTranscendent Group
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningTranscendent Group
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Transcendent Group
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxTranscendent Group
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareTranscendent Group
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTranscendent Group
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris  och kontinuitetshanteringHur etablerar man en effektiv kris  och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringTranscendent Group
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadTranscendent Group
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerTranscendent Group
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierTranscendent Group
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarTranscendent Group
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenTranscendent Group
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagTranscendent Group
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskTranscendent Group
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstödTranscendent Group
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanTranscendent Group
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Transcendent Group
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrinTranscendent Group
 

Más de Transcendent Group (20)

Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controls
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris  och kontinuitetshanteringHur etablerar man en effektiv kris  och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstöd
 
How we got domain admin
How we got domain adminHow we got domain admin
How we got domain admin
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
 
Finansiering av terrorism
Finansiering av terrorismFinansiering av terrorism
Finansiering av terrorism
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
 

Frukostseminarium om Datainspektionens tillsynsarbete 2014-03-05

  • 2. Inspektioner i praktiken Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se
  • 3. Datainspektionens befogenheter  tillsynsmyndighet enligt personuppgiftslagen (PuL)  TUT: tillgång, uppgifter och tillträde (43 §)  otillräckligt underlag  enbart lagring (44 §)  påpekanden  enbart lagring (45 §)  säkerhetsåtgärder i enskilda fall  vite (32, 45 §§)  begäran hos domstol om utplåning (47 §) 2014-03-05
  • 4. PuL på tre minuter 33-35 §§ tredje land säkerhet 30-32 §§ information personnummer känsliga uppgifter 2014-03-05 22 § 13-21 §§ tillåten behandling grundläggande krav 23-27 §§ 10 § 9§
  • 5. Tillsynsverksamheten i stort  Tre olika varianter:    fältinspektioner – ”på plats”-besök (praktik) skrivbordstillsyn – frågor brevledes (teori) enkäter – oftast i form av skrivbordstillsyn  ”Strategisk” tillsyn eller ”på förekommen anledning”  Dock alltid ex officio  Sekretess? Finns, men inte gentemot oss… 2014-03-05
  • 6. Inspektion – hur går det till?  Initial kontakt (vanligtvis via personuppgiftsombud)       Vad vill Datainspektionen veta? Vilka behöver vara med? När kan vi träffas? Tillsynsskrivelse/bekräftelse Inspektion  protokoll (+ ev. kompletterande frågor)  kommunikation (möjlighet till synpunkter) Beslut 2014-03-05
  • 7. Beslut och beslutsformalia  Beslutsmening(ar):  Ärendet avslutas (+ eventuell uppföljning)  Konstaterar att… (någon brist)  Förutsätter att X… (åtgärdar bristen)  Förelägger X att… (åtgärda bristen)  Meddelar följande säkerhetsföreskrift… Redogörelse för tillsynsärendet  Skäl, det vill säga de rättsliga grunderna för beslutet  (eventuell) besvärshänvisning  2014-03-05
  • 8. Besvär?  Ett myndighetsbeslut träder i kraft när det meddelas (offentlig aktör) eller når den det berör (privat aktör).  Kan (oftast) överklagas.  Rättidsprövning.  Överlämnas skyndsamt till förvaltningsrätten (om myndigheten inte självmant ändrar beslutet).  Process  dom  eventuellt högre instans…  Domen vinner laga kraft. 2014-03-05
  • 9. PuL inom finansiella företag – iakttagelser av en compliance officer Terhi Edstam
  • 10. © Transcendent Group Sverige AB 2013 Är PuL ett regelverk som compliance ska ansvara för inom finansiella företag?
  • 11. Röst från branschen © Transcendent Group Sverige AB 2013 ”Min uppfattning är att det helst bör vara den funktion inom bolaget som har bäst kunskap om, eller som i vart fall har lättast att få tillgång till, de personuppgifter som hanteras inom bolagets system. Hos oss ligger ansvaret därför inom juridikavdelningen.”
  • 12. ”Vår erfarenhet är att PuL-ansvaret bör ligga hos compliance och inte hos legal. Det ingår i compliancefunktionens ansvar att förebygga, monitorera och rapportera regelefterlevnadsrisker. Legal kan ha en roll där de vid behov kan bistå vid regeltolkning men de arbetar inte med risker på samma sätt som vi gör på compliance. Därför anser vi att det är mer lämpligt att ansvaret ligger hos compliance.” © Transcendent Group Sverige AB 2013 Röst från branschen
  • 13. PuL-ansvaret idag och framöver? • Ändringar väntas avseende frivilligheten att utse personuppgiftsombud © Transcendent Group Sverige AB 2013 • Enligt de nuvarande reglerna är det frivilligt att ha ett personuppgiftsombud. • Enligt Datainspektionen finns det idag 3800 personuppgiftsombud i Sverige. • Olika funktioner kan vara ansvariga för PuL – lägg ansvaret där det bäst kan tas om hand.
  • 14. © Transcendent Group Sverige AB 2013 Höjd ribba för finansiella företag?
  • 15. Integritetskänsliga uppgifter © Transcendent Group Sverige AB 2013 • Uppgifter om personliga förhållanden är inom bank- och försäkringsväsendet normalt sett att anse som integritetskänsliga när det handlar om säkerhet. • Ett uttryck för att det är fråga om integritetskänsliga uppgifter är att uppgifterna omfattas av tystnadsplikt eller sekretess.
  • 16. © Transcendent Group Sverige AB 2013 Går det att dra några generella slutsatser utifrån Datainspektionens undersökningar hos bolag inom finansiell sektor?
  • 17. • Brister i spårbarhet av åtkomst och bristande behandlingshistorik för att kunna se vem behandlat vilka personuppgifter och när. • Regelbundna och systematiska uppföljningar för att kontrollera vem/vilka som tagit del av vilken information saknas. • Bristande gallringsrutiner. • Rutiner saknas för avskiljande av uppgifter hänförliga till kunder som ej längre är kunder. • Bristande säkerhet vid nya tekniska lösningar såsom appar. • Bristande interna regler för hur personuppgifter ska hanteras. © Transcendent Group Sverige AB 2013 Några exempel på Datainspektionens iakttagelser
  • 18. © Transcendent Group Sverige AB 2013 Status PuL-compliance? Förbättringspotential finns hos de flesta bolag.
  • 19. • Lägg PuL-ansvaret hos den befattningshavare eller funktion som är bäst lämpad för uppgiften. Det kan därmed se olika ut hos olika företag. • God kontroll och säkerhetsrutiner krävs då kunduppgifterna anses vara integritetskänsliga. • Datainspektionens praxis visar att utvecklingspotential finns. • Inför kommande regelskärpning kan det vara en god idé att redan nu göra en PuL-inventering. © Transcendent Group Sverige AB 2013 Sammanfattningsvis
  • 20. Exempel på relevanta frågeställningar och åtgärder: • förteckning över samtliga personuppgiftsbehandlingar? systeminventering? • redogörelse för vilka ändamål personuppgiftsbehandlingar genomförs? • redogörelse för varifrån personuppgifter inhämtas? • information som har lämnats vid insamling av personuppgifter? • samtycken som hämtats vid insamling av personuppgifter? • hur länge sparas uppgifterna? • rutiner för gallring av personuppgifter? • rutiner för att lämna registerutdrag? • rutiner för att ta emot anmälningar om att inte behandla någons personuppgifter? • förekommer det att personuppgifter säljs eller överlämnas till tredje part? I vilket syfte? • informationen om de anställda, vad har HR för rutiner? • interna regler och rutinbeskrivningar uppdaterade? © Transcendent Group Sverige AB 2013 Checklista för PuL-inventering
  • 21. Förslag till EU-förordning för skydd av personuppgifter Per Lundevall
  • 22. • Vad innebär förordningen? • Hur påverkar den oss? • När tror vi att den kommer träda i kraft?
  • 23. Attityder hos medborgarna i EU 70 procent är oroliga 67 procent vet inte var man ska klaga
  • 24. Varför ny förordning? © Transcendent Group Sverige AB 2013 • Det finns 250 miljoner EUmedborgare på nätet. • Skydd är en grundläggande rättighet. • Personuppgifter är big business. • Avslöjanden från Edward Snowden snabbar upp processen.
  • 25. • • • • • • En enda uppsättning regler Dataportabilitet och rätten att bli glömd Privacy by design Privacy by default Anmälningsplikt – inom 24 timmar Endast en part © Transcendent Group Sverige AB 2013 Vad föreslår kommissionen?
  • 26. Om vi inte är compliant då? © Transcendent Group Sverige AB 2013 Böter upp till € 1M eller 2 procent av organisationens totala omsättning.
  • 27. När börjar förordningen gälla? © Transcendent Group Sverige AB 2013 • beslut beräknas fattas i slutet av 2014 • träder i kraft två år senare
  • 28. Sammanfattningsvis 70 procent av EU:s befolkning är orolig EU kommer stärka upp med en förordning Påverkar alla organisationer som hanterar personuppgifter Krav på förändringar i nya och befintliga system och processer • Utökade sanktionsmöjligheter • Beslut förväntas tas i slutet av 2014 och träda i kraft 2016/2017 • Så, vad ska ni få med er? © Transcendent Group Sverige AB 2013 • • • •