Skräddarsy er egen utbildning!

Du måste inte vara jurist eller expert på reglerna i dataskyddslagstiftningen när du ska börja arbeta med dataskyddsfrågor. Det finns hjälpmedel som du kan använda och experthjälp att tillkalla när du behöver det. Men du behöver veta grunderna i lagstiftningen och förstå bakgrunden till varför den finns. Vi går igenom de grundläggande begreppen såsom exempelvis vad en personuppgift är för något, vad som menas med en känslig personuppgift och när det uppstår en biträdessituation. Vi fokuserar sedan på de grundläggande dataskyddsprinciperna såsom att det ska finnas en rättslig grund för hanteringen av personuppgifter, kravet på gallring och behörighetstilldelning, principen att inte registrera fler uppgifter än vad man behöver och att hålla sig till ändamålet. Det hinner vi med på en halvdag.

Fortsätter vi under en heldag, kan vi exempelvis fokusera på informationsplikten, de registrerades rättigheter, fritextfält, lagring i molnet eller på mobila enheter, personnummer, överföring av personuppgifter utanför EU/EES eller liknande frågor efter ert eget val.

När ni börjar jobba med dataskyddsfrågor måste ni ha en plan. Det är mycket ni ska sätta er in i, ta reda på, ta ställning till, skriva och genomföra.

Den här kursen hjälper er att komma igång snabbt och säkert. Det är inte lätt att lägga upp taktiken för att t.ex. göra en effektiv inventering av de behandlingar av personuppgifter som organisationen gör, det gäller att göra ett bra förarbete. Hur går man tillväga i praktiken när man ska lämna information till flera hundra anställda eller kunder, vilka policys behöver man ta fram, hur lägger man upp ett projekt för en nulägesanalys, hur bör er interna organisation se ut? Detta och mycket mer pratar vi om och ni får konkreta tips och mallar att arbeta med.

Datainspektionen har under det senaste decenniet fattat en rad ganska tuffa beslut angående behandlingen av personuppgifter inom skolans värld. Inspektionen har också genomfört tillsyn i skolor och konstaterat att många skolor inte uppfyller dataskyddslagstiftningens krav i flera hänseenden. Det gäller bl.a. - registrering av känsliga personuppgifter, - inloggning på lärplattformar, - publicering av foton och filmer, - behörighetstilldelning, - riktlinjer för fritext, - lagring på mobila enheter, - användningen av e-post, - användningen av molntjänster.

För att förstå vad man får registrera om sina elever och hur länge man får ha kvar informationen, behöver man gå till den lagstiftning som styr skolans verksamhet och se vad den kräver att skolan dokumenterar och ska kunna bevisa långt efteråt. Därför behöver dataskyddsjurister samarbeta med jurister som kan skolans speciella förutsättningar för att komma fram till ett bra resultat. Det är precis vad den här kursen går ut på, ett samarbete mellan skoljuridik och dataskyddsjuridik.

Under en heldag går vi igenom vad ni behöver göra för att möta dataskyddslagstiftningen krav. Vi kommer att utgå från en elevs hela livscykel, från ansökan till avslutad skolgång via elevadministration, elevsamtal, kommunikation via lärplattformar, skriftliga omdömen, övervakningsåtgärder, skyddade personuppgifter, publicering på hemsidan och mycket mera. Vad får skolan registrera? Hur länge ska man ha kvar informationen? Hur får man kommunicera informationen internt och externt? Vilken information ska elever och vårdnadshavare få? Det är några av de frågeställningar vi kommer att ta upp i denna specialdesignade kurs för er som arbetar i den kommunala skolan och inom friskolan.

Det är inte ovanligt att både företag och myndigheter ser på integritetsskyddet som en extern fråga, alltså något som primärt rör exempelvis kunder och kommuninvånare. Då glömmer man en stor del av sitt ansvar, nämligen de dataskyddsfrågor som rör den egna personalen. Det är ofta där de verkligt känsliga personuppgifterna kommer in. Hälsoinformation, olika former av övervakning och prestationsmätning, misstankar om brott osv. är ingenting ovanligt inom HR-sektorn, för att inte tala om omdömen och värderande information som kan upplevas som mycket känslig från ett personligt perspektiv.

För att förstå vad man får registrera om sina anställda och hur länge man får ha kvar informationen, behöver man gå till den arbetsrättsliga lagstiftningen och se vad den kräver att arbetsgivaren dokumenterar och ska kunna bevisa långt efteråt. Därför behöver dataskyddsjurister samarbeta med arbetsrättsjurister för att komma fram till ett bra resultat. Det är precis vad den här kursen går ut på, ett samarbete mellan arbetsrätt och dataskyddsjuridik. Under en heldag går vi igenom vad ni behöver göra för att möta dataskyddslagstiftningen krav. Vi kommer att utgå från en anställds hela livscykel, från rekrytering till avslutad anställning via löneadministration, medarbetarsamtal, övervakningsåtgärder, skyddade personuppgifter, publicering på hemsidan och mycket mera. Vad får arbetsgivaren registrera? Hur länge ska man ha kvar informationen? Hur får man kommunicera informationen internt och externt? Vilken information ska de anställda få? Det är några av de frågeställningar vi kommer att ta upp i denna specialdesignade kurs för HR-specialister inom både privat och offentlig sektor.

Allt sedan Datainspektionen startade sina tillsynsaktiviteter på 1970-talet har den kommunala sektorn varit ett flitigt återkommande inspektionsobjekt. Det beror naturligtvis på att den kommunala verksamheten omfattar många integritetskänsliga områden och föranleder en hel del behandlingar av personuppgifter som kan upplevas som känsliga från ett personligt perspektiv. Under de senare åren har Datainspektionen fattat en rad ganska tuffa beslut angående behandlingen av personuppgifter bl.a. i boendesituationer, inom skolans värld, för publicering på hemsidan och för molntjänster. Det gäller bl.a. kameraövervakning vid bostäder och i skolan, IT-säkerhetsfrågor inom bl.a. äldreomsorg och socialtjänst, samarbete över nämnd- och kommungränser, diarieföring, ärende- och dokumenthantering, e-förvaltning/e-tjänster/hemsidan, skyddade adresser, känsliga personuppgifter och användning av sociala medier inom skolan. Det är några av de frågeställningar vi kommer att ta upp i denna specialdesignade kurs för kommunala chefer och tjänstepersoner.

Under en heldag går vi igenom de grundläggande principerna i de aktuella lagstiftningarna och förklarar hur de hänger ihop. Vi kommer även prata om struktur, metod och processer och dess samordning vid tillämpningen av dessa tre lagstiftningar. Det finns självklart en del utmaningar men främst mycket att vinna på att ha ett samordnat synsätt och samordnade processer i detta eftersom det många gånger bygger på samma strukturtänk, dvs god offentlighetsstruktur eller god personuppgiftsstruktur. Vi kommer också att t.ex. behandla frågor såsom hur man ska tänka när någon begär ut information enligt offentlighetsprincipen? Vad dataskyddslagstiftningen har för betydelse när man ska ta fram dokumenthanteringsplaner enligt arkivlagen? Det är bara några av de frågeställningar vi kommer att ta upp inom det här ämnet, som vi av erfarenhet vet att väldigt många funderar på. Dagen ger också mycket utrymme för frågor och diskussioner.

Datainspektionen har många gånger påpekat att registrering och övervakning av människor i eller i närheten av deras boendemiljö anses som extra integritetskänslig. I sitt eget hem måste man kunna känna att man inte är övervakad på ett kränkande sätt och att ens privatliv inte kontrolleras eller kartläggs på ett otillbörligt sätt av fastighetsägaren eller bostadsrättsföreningen. Datainspektionen har meddelat en hel del beslut när det gäller bl a kamerabevakning i boendemiljöer, användning av elektroniska nycklar/passageloggar och noteringar i störningsärenden om misstänkta lagöverträdelser, nationalitet, hälsoinformation m.m.

Det finns också en vägledning om behandlingen av personuppgifter vid uthyrning av bostäder som har tagits fram av SABO och Fastighetsägarna med anledning av GDPR. Känner ni till vad den innehåller? Datainspek¬tionen har inte sällan gett svidande kritik till både bostadsföretag och bostadsrättsföreningar vars medarbetare inte riktigt har varit insatta i dataskyddslagstiftningen, vilket kan innebära både sanktionsavgifter och uppmärksamhet från media.

Vi lever i en värld där en individ utsätts för nästan 4000 marknadsföringsbudskap under en och samma dag, vilket bidrar till att ordet reklam nästan har blivit ett skällsord. Alltfler individer orkar inte ta emot mer marknadsföring vilket leder till att fler och fler företag och organisationer vill anpassa sina budskap utefter mottagarens preferenser. Under hela 2000-talet har man alltmer använt sig av data som återfinns på nätet för att därigenom anpassa sin marknadsföring till den senaste trenden – minns du Big Data? Men i grund och botten är det en fråga om att lära känna sin målgrupp bättre och därigenom även en större användning av information om individen, det vill säga personuppgifter.

Genom GDPR har vi fått nya regler för hur personuppgifter får användas. I marknadsföringssammanhang räckte det tidigare med att pliktskyldigt informera lite lagom, ofta i kombination med att hävda ett underförstått samtycke från mottagarens sida. Idag gäller istället att individen har mycket större kontroll på hur hans eller hennes personuppgifter används. Kraven på hur ett samtycke ska inhämtas har också ändrats, samtidigt som de marknadsrättsliga kraven på samtycke finns kvar. Parallellt med att vi som bäst försöker anpassa oss till GDPR är en ny förordning på gång inom EU. Den nya förordningen, förordningen om integritet och kommunikation (e-Privacy Regulation), kommer att ha stor påverkan på marknadsföring som sker via digitala medier. Under en halvdag går vi igenom vad ni behöver göra för att möta dagens krav i dataskyddslagstiftningens och vad ni bör tänka på i framtiden. Vi kommer att utgå från en marknadsföringskampanjs hela livscykel, från prospektering till ansluten kund, känsliga personuppgifter och mycket mera. Hur länge kan man ha kvar data? Vilken information ska individen få och när? Det är några av de frågeställningar vi kommer att ta upp i denna specialdesignade kurs för dig som arbetar med marknadsföring.

Alla vårdgivare måste följa patientdatalagen, som är en speciallagstiftning gällande behandlingen av personuppgifter inom hälso- och sjukvården. Trots att lagen har funnits i någon form i över 10 år, är den relativt okänd både inom landstingen och inom den privata vårdsektorn. Lagen gäller även på exempelvis äldreboenden. Förutom lagtexten finns det även allmänna råd och föreskrifter samt en handbok utfärdade av Socialstyrelsen som är viktigt att känna till. Viktiga regler är exempelvis systematisk logguppföljning, behörighetstilldelning, möjlighet för patienten att spärra uppgifter, hur man får dela information om patienten och med patienten. Observera att verksamhetschefen har särskilda skyldigheter i Socialstyrelsens allmänna råd och föreskrifter.

Det borde vara en självklarhet för alla vårdgivare att vara duktiga på integritetsskyddsfrågor, inte bara för att Datainspektionen eller Socialstyrelsen kan dyka upp när som helst utan för att kunna besvara frågor från patienter, anhöriga, media osv. och se till att alla behandlas med respekt. Är ni beredda?

Som jurist får man inte sällan den otacksamma uppgiften att driva igenom nya direktiv och rutiner i projekt som organisationen kanske inte helt uppskattar. Vi har sett det inom compliance-området under några år, och under de kommande åren kommer det att vara fokus på anpassningen till den nya dataskyddsförordningen. Under en halvdag delar våra erfarna jurister med sig av sitt arbete med change management med utgångspunkt från privacy-området och John P Kotters 8-stegsprogram för Leading Change. De pratar också om ledarskap som en viktigt egenskap för dagens jurister. Självklart kan de även prata om detta aktuella ämne med andra infallsvinklar än dataskydd.