GDPR och säkerhetsskyddslagen

Alla organisationer, privata såväl som offentliga/myndigheter, i Sverige måste förhålla sig till den lagstiftning som hanterar behandling av personuppgifter, GDPR, vars syfte är att skydda individens rätt till personlig integritet. Säkerhetsskyddslagen ska å sin sida förhindra terrorbrott, spionage och andra hot mot rikets säkerhet. Egentligen hade medlemsstaterna, t.ex. Sverige, enligt GDPR kunnat hålla verksamhet rörande nationell säkerhet, t.ex. verksamhet där säkerhetsskyddslagen ska tillämpas, utanför GDPR:s tillämpningsområde men vi valde, med några få undantag, genom svenska kompletteringslagen till GDPR att låta GDPR omfatta även dessa verksamheter. Många myndigheter, statliga såväl som kommunala myndigheter, men även företag, har därför ett stort krav på sig att hantera sin verksamhet i enlighet med såväl GDPR som säkerhetsskyddslagen. Hur förenar man dessa regelverk i den praktiska tillämpningen?

Säkerhetsskyddslagen är en förhållandevis gammal företeelse i svensk lagstiftning. Den tidigare säkerhetsskyddslagen gällde från och med 1996 till och med 2019, då den nya säkerhetsskyddslagen (SskL) trädde i kraft. Redan innan lagens ikraftträdande konstaterades att ytterligare uppdateringar behövdes. En första uppdatering trädde i kraft den 1 januari 2021 och nästa kom den 1 december 2021.
När en verksamhet är av sådan art och omfattning att den angår Sveriges nationella säkerhet (tidigare kallt rikets säkerhet) är ingalunda glasklart. Vi går igenom säkerhetsskyddslagens innehåll och försöker besvara olika frågor kring lagen och dess tillämpning.

Under kursdagen går vi igenom säkerhetsskyddslagen samt regelverket i GDPR, och även de svenska kompletteringsreglerna till GDPR. Vi går också igenom rättsfall från svenska domstolar och EU-domstolen samt uttalanden, beslut, från svenska Integritetsskyddsmyndigheten, IMY, och EU:s tillsynsmyndighet, EDPB, som tillkommit efter att GDPR började tillämpas.

Ur kursen:
• Kraven på att uppfylla de allmänna principerna i GDPR och ha en rättslig grund enligt GDPR när personuppgifter behandlas inom en säkerhetsprövning.
• Genomgång av de bitvis krångliga kraven i GDPR på information till de registrerade. Hur ska informationsgivning till de registrerade hanteras inom ramen för säkerhetsprövning av individer enligt säkerhetsskyddslagen?
• Genomgång av reglerna om IT-säkerhet och frågan om konsekvensbedömningar. Informationssäkerhet och hantering av hemliga handlingar enligt GDPR och säkerhetsskyddsregelverket.
• Genomgång av regelverket för organisationer som drabbas av incidenter, t.ex. där personuppgifter läcker till obehöriga, frågan om dessa incidenter ska anmälas till Integritetsskyddsmyndigheten, IMY, och måste/får de registrerade informeras om incidenten? Vissa säkerhetshotande händelser ska anmälas till Säkerhetspolisen och ibland till Försvarsmakten. Vidare ska vissa it-incidenter i statliga myndigheters informationssystem anmälas till MSB. Slutligen även kort om incidentrapportering enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster ”NIS-lagen”
• Rätten att bli glömd och rätten att få sina uppgifter raderade – hur står sig dessa regler i GDPR mot reglerna i säkerhetsskyddslagen?
• Tystnadsplikter i säkerhetsskyddslagen samt i offentlighets- och sekretesslagen inom ramen för en säkerhetsprövning enligt säkerhetsskyddslagen.
• Olika roller, workshop, praktiska exempel. T.ex. en myndighet vars verksamhet omfattas av säkerhetsskyddslagen som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt säkerhetsskyddslagen ska tillgodoses av leverantören. Myndigheten är vidare hyresgäst hos en hyresvärd. Hyresvärden är den som upphandlar tjänsterna av leverantören åt sin hyresgäst. Vem är personuppgiftsansvarig och vem är personuppgiftsbiträde av myndigheten, hyresvärden och den leverantör som upphandlas för att utföra arbete i myndighetens lokaler när regelverket i säkerhetsskyddslagen ska tillämpas? Ska personuppgiftsbiträdesavtal skrivas och mellan vilka aktörer? Vad ska det avtalet innehålla?
• Hur ser sanktionsavgifterna ut i GDPR och hur har de tillämpats sedan GDPR började gälla? Kommer det komma sanktioner i framtiden även mot överträdelser av säkerhetsskyddsregelverket?
• Det praktiska arbetet med att i er organisation implementera reglerna i GDPR och i säkerhetsskyddslagen. Hur försäkrar du dig om att organisationen uppfyller regelverken? Hur hanterar du dina arbetsuppgifter ur ett rent praktiskt perspektiv?
• Praktiska exempel på avtal och annan dokumentation kommer gås igenom på kursen.