Digitalisering och GDPR – fördjupning

Under kursdagen går vi igenom hur digitaliseringsprojekt påverkas av GDPR från ax till limpa. Från förstudie till att systemet/processen utfasas. De särskilda förutsättningarna för offentlig och privat sektor kommer också att beröras på kursen.

Ur kursen:
• Hur bör dataskyddskrav hanteras i förstudier?
• Vad gäller för pilotprojekt och GDPR?
• Vad innebär privacy by design och privacy by default vid projektutveckling?
• Hantering av integritetskänsliga och känsliga personuppgifter.
• När bör konsekvensbedömning göras? Blir man någonsin klar med konsekvensbedömningen? Andra nödvändiga riskbedömningar.
• Hur hantera medaktörer och leverantörer – gemensamt personuppgiftsansvar och biträdesförhållanden.
• Fördjupad genomgång av informationsplikten enligt art. 13-14 GDPR.
• Vems risk ska vi beakta; registrerade, organisationens etc.?
• Hur hantera molntjänster och tredjeländer utifrån nya rättsläget med nytt adekvansbeslut USA, EU-US Data Privacy Framework, och möjlig Schrems III?
• Hantering av loggning och andra säkerhetsåtgärder ur integritetsperspektiv.
• Hur bör dataskyddsombudet involveras (minimikrav)?
• AI och robotisering.
• Testning innan drift.
• Hantering av ”legacy”-system.
• Genomgång av för myndigheter och bolag relevanta tillsynsbeslut.
• Vad som gäller när webb/app omfattas av projektet samt hantering av kakor/cookies och andra webb/app-tekniker.

Särskilt intressant för offentlig sektor:
• Vad innebär de offentligrättsliga reglerna för förutsättningarna att genomföra digitalisering?
– Förvaltningsrätt
– Offentlighet och sekretess (hur hantera andra offentliga aktörer och leverantörer i våra miljöer)
– Arkiv (om bevarande av handlingar)

Särskilt för privat sektor:
• Hur kan vi hantera risker kopplat till leverantörer?
• Särskilt fråga om marknadsföring och dataskydd.

Vid kursen kommer även en fördjupad genomgång att äga rum av rättsfall från domstolar och vägledningar från Europeiska dataskyddsstyrelsen, EDBP. Nedan följer ett axplock av dessa.

1. Förvaltningsrätten i Stockholm, mål 20577-19, frågan om användande av ansiktsigenkänning för närvarokontroll i skola.
2. Europeiska dataskyddsstyrelsens riktlinjer för inbyggt dataskydd och dataskydd som standard, Guidelines 4/2019.
3. Regeringsrätten (nuvarande Högsta förvaltningsdomstolen), mål 6588-05, frågan om användande av biometri för att elever ska få ut tallrik i skolmatsal, kontroll att inte obehöriga äter skolmaten.
4. Europeiska dataskyddsstyrelsens vägledning gällande personuppgiftsansvariga och personuppgiftsbiträden, Guidelines 7/2020.
5. EU-domstolens dom i mål C 40/17, Fashion ID, om gemensamt personuppgiftsansvar mellan en e-handelsplats och Facebook.
6. Europeiska dataskyddstyrelsens (godkända av den myndigheten, antagna av tidigare artikel 29-gruppen) riktlinjer om öppenhet (och information) enligt GDPR, WP 260.
7. Kammarrätten i Stockholm, mål 4471-21, fråga om behörighetsstyrning mm även intressant om bevisbördan för att kunna utdöma sanktionsavgift.
8. Förvaltningsrätten i Stockholm, mål 7679-22, fråga om informationstexter