GDPR och säkerhetsskyddslagen

Alla organisationer, privata såväl som offentliga/myndigheter, i Sverige måste förhålla sig till den lagstiftning som hanterar behandling av personuppgifter, GDPR, vars syfte är att skydda individens rätt till personlig integritet. Säkerhetsskyddslagen ska å sin sida förhindra terrorbrott, spionage och andra hot mot rikets säkerhet. Egentligen hade medlemsstaterna, t.ex. Sverige, enligt GDPR kunnat hålla verksamhet rörande nationell säkerhet, t.ex. verksamhet där säkerhetsskyddslagen ska tillämpas, utanför GDPR:s tillämpningsområde men vi valde, med några få undantag, genom svenska kompletteringslagen till GDPR att låta GDPR omfatta även dessa verksamheter. Många myndigheter, statliga såväl som kommunala myndigheter, men även företag, har därför ett stort krav på sig att hantera sin verksamhet i enlighet med såväl GDPR som säkerhetsskyddslagen. Hur förenar man dessa regelverk i den praktiska tillämpningen?

Under kursdagen går vi igenom regelverket i GDPR, och även de svenska kompletteringsreglerna till GDPR. Vi går också igenom rättsfall från svenska domstolar och EU-domstolen samt uttalanden, beslut, från svenska Integritetsskyddsmyndigheten, IMY, och EU:s tillsynsmyndighet, EDPB, som tillkommit efter att GDPR började tillämpas. Under dagen belyser vi även regelverket i säkerhetsskyddslagen och hur detta regelverk samspelar med GDPR. Även om kursdagen innehåller en översiktlig genomgång av regelverket i säkerhetsskyddslagen ligger fokus på hur GDPR, frågan om personuppgiftsbehandlingen, ska hanteras när organisationer måste följa säkerhetsskyddslagen, och inte samtliga övriga aspekter av det sistnämnda regelverket.

Ur kursen:
• Kraven på att uppfylla de allmänna principerna i GDPR och ha en rättslig grund enligt GDPR när personuppgifter behandlas inom en säkerhetsprövning.
• Genomgång av de bitvis krångliga kraven i GDPR på information till de registrerade. Hur ska informationsgivning till de registrerade hanteras inom ramen för säkerhetsprövning av individer enligt säkerhetsskyddslagen?
• Genomgång av reglerna om IT-säkerhet och frågan om konsekvensbedömningar. Informationssäkerhet och hantering av hemliga handlingar enligt GDPR och säkerhetsskyddsregelverket.
• Genomgång av regelverket för organisationer som drabbas av incidenter, t.ex. där personuppgifter läcker till obehöriga, frågan om dessa incidenter ska anmälas till Integritetsskyddsmyndigheten, IMY, och måste/får de registrerade informeras om incidenten? Vissa säkerhetshotande händelser ska anmälas till Säkerhetspolisen och ibland till Försvarsmakten. Vidare ska vissa it-incidenter i statliga myndigheters informationssystem anmälas till MSB. Slutligen även kort om incidentrapportering enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster ”NIS-lagen”
• Rätten att bli glömd och rätten att få sina uppgifter raderade – hur står sig dessa regler i GDPR mot reglerna i säkerhetsskyddslagen?
• Hur ska enligt GDPR frågan om överföring av personuppgifter till tredje land hanteras i ljuset av EU-domstolens dom i Schrems II? Kan uppgifter som förekommer i en säkerhetsprövning enligt säkerhetsskyddslagen någonsin hanteras i t.ex. en molntjänst utanför Sverige eller utanför EU?
• Tystnadsplikter i säkerhetsskyddslagen samt i offentlighets- och sekretesslagen inom ramen för en säkerhetsprövning enligt säkerhetsskyddslagen.
• Olika roller, workshop, praktiska exempel. T.ex. en myndighet vars verksamhet omfattas av säkerhetsskyddslagen som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt säkerhetsskyddslagen ska tillgodoses av leverantören. Myndigheten är vidare hyresgäst hos en hyresvärd. Hyresvärden är den som upphandlar tjänsterna av leverantören åt sin hyresgäst. Vem är personuppgiftsansvarig och vem är personuppgiftsbiträde av myndigheten, hyresvärden och den leverantör som upphandlas för att utföra arbete i myndighetens lokaler när regelverket i säkerhetsskyddslagen ska tillämpas? Ska personuppgiftsbiträdesavtal skrivas och mellan vilka aktörer? Vad ska det avtalet innehålla?
• Hur ser sanktionsavgifterna ut i GDPR och hur har de tillämpats sedan GDPR började gälla? Kommer det komma sanktioner i framtiden även mot överträdelser av säkerhetsskyddsregelverket?
• Det praktiska arbetet med att i er organisation implementera reglerna i GDPR och i säkerhetsskyddslagen. Hur försäkrar du dig om att organisationen uppfyller regelverken? Hur hanterar du dina arbetsuppgifter ur ett rent praktiskt perspektiv?
• Praktiska exempel på avtal och annan dokumentation kommer gås igenom på kursen.