Dataskyddsförordningens organisatoriska påverkan på privata bolag / The General Data Protection Regulation organizational impact on private companies

Pettersson, Li

January 2017

Idag regleras personuppgiftsbehandlingar i Sverige främst genom Dataskyddsdirektivet och personuppgiftslagen. I takt med den omfattande användningen och utvecklingen av internet, av såväl privatpersoner som företag, krävs en uppdatering kring dataskydd för personuppgifter.Personuppgifter lagras hos företag i enorma mängder och skyddet för den personliga integriteten anses inte längre vara lika stort, varför en Dataskyddsförordning har utformats som en gemensam reglering i EU. Uppsatsen är en framläggning av hur privata bolag påverkas av de kommande förändringarna med huvudfokus på ansvar, roller, förberedelser, planering samt vilka sanktioner bolag står inför om reglerna inte efterlevs. I Dataskyddsförordningen utnämns ett flertal befattningar med skilda roller inomorganisationen. Dessa är personuppgiftsansvarig, personuppgiftsbiträde samtdataskyddsombud. I och med den nya regleringen har varje befattning ett utökat ansvareftersom att reglerna skärps. Med Dataskyddsförordningen kommer nya regler som kräver förberedelser samt planering för att artiklarna ska kunna efterlevas den dag ikraftträdandet sker. Exempel här är incidentrapportering som kräver tydliga rutiner för att verksamheten ska fungera. För att organisationer ska förstå allvaret, i och med de höga sanktionsavgifterna bolaget kan påföras, krävs att ledningen tar implementeringen på allvar och upprättar en analys samt en genomtänkt plan för arbetet. Det kan konstateras att Dataskyddsförordningen leder till ett omfattande arbete för varje organisation där rollerna behöver tydliggöras, i vissa fall behöver nya roller utses. Samtidigtbehöver kompetens finnas och det krävs stor planering i varje verksamhet för att reglerna ska efterlevas. Implementeringsarbetet behöver sättas igång direkt för att allt ska vara i sin ordning till den dag Dataskyddsförordningen träder i kraft. Dataskyddsförordningen är ett komplext regelverk. Osäkerheter kring Dataskyddsförordningens reglering kommer dock troligtvis att minska när Europeiska dataskyddsstyrelsen och Datainspektionen utfärdar fler tydliggöranden samt genom svensk utredning. Övergripande i hela bolaget gäller samma regler med vissa undantag, men viktigt är att anpassa och föra implementeringsarbetet utifrån den egna specifika verksamheten.

Dataskyddsförordning

PuL

General Data Protection Regulation

Law

Juridik

ORGANISATIONSFÖRÄNDRING -ELLER BARA FÖRÄNDRADE ARBETSSÄTT : En kvalitativ studie om dataskyddsförordningens påverkan på verksamma inom rekrytering- och bemanningsbranschen

Engström, Carl, Eriksson, Emma

January 2018

Från och med den 25:e maj 2018 kommer hanteringen av personuppgifter regleras på samma sätt i alla EU-länder. Tidigare har det varit upp till varje land att tolka direktivet om skydd av personuppgifter,vilket resulterat i att Sverige efterlevt personuppgiftslagen (PuL). I samband med den snabba teknikutvecklingen uppkommer ett behov av ett tydligare och mer enhetligt ramverk.Dataskyddsförordningen, förkortat GDPR, syftar till att stärka skyddet för privatpersoner vid hantering av personuppgifter. Den främsta skillnaden i jämförelse mot personuppgiftslagen är att företag inte längre kan äga uppgifter - utan bara låna dem.Studien riktar sig mot en organisation som är verksam inom rekrytering- och bemanningsbranschen.Syftet med studien är att undersöka medarbetarnas upplevelser inför införandet av dataskyddsförordningen samt förklara dessa upplevelser ur ett organisatoriskt förändringsperspektiv.Insamling av data skedde med hjälp av sex semistrukturerade intervjuer på Rekryteringsföretaget AB.De intervjuade har olika befattningar inom omställning, rekrytering och bemanning. Materialet bearbetades därefter med stöd i en innehållsanalys.Vad som framkom under intervjuerna var en gemensam uppfattning om att den information som förmedlats ut vid tidpunkten för studien var undermålig. Det fanns en medvetenhet och allmän uppfattning hos medarbetarna om vad dataskyddsförordningen innebär, men huruvida studiens deltagare ansåg sig som förberedda var något som  varierade. Resultatet visar att i vilken omfattning och på vilket sätt dataskyddsförordningen kommer påverka deltagarna i det dagliga arbetet ännu inte var explicit. Ur ett organisatoriskt förändringsperspektiv har motstånd mot kommande förändring inte identifieras bland de tillfrågade. Det står dock klart att upplevelsen av organisationsförändringen skiljer sig bland studiens deltagare. Detta kan delvis förklaras med anledning av att de innehar varierande mängd information kring förändringen. En ömsesidig upplevelse av tillit till organisationen och ett förtroende till beslutsfattarna konstaterades. Slutsatsen som uppdagas är att sannolikheten till uppslutning bakom förändringen ökar. Vidare skulle fortsatta studier inom området för sociala relationers inverkan på arbetsplatser uppmuntras. Med fokus på förtroendet och tillitens betydelse inom organisationsförändring finns spännande aspekter att belysa.

GDPR

dataskyddsförordning

organizational change

organisationsförändring

motstånd till förändring

Sociology

Sociologi

Meningsskapande vid externt drivna förändringsprocesser : Övergången från PUL till GDPR

Alenius, Linus, Svensson, Oscar

January 2018

Syftet med den här studien är att undersöka hur försäkringsbolag har, utifrån meningsskapandets sju egenskaper, arbetat med organisatoriskt meningsskapande vid en externt driven förändringsprocess med stort tolkningsutrymme. Studien utgår från att den nya dataskyddsförordningen GDPR, som börjar gälla inom EU den 25 maj 2018, används som ett instrument för att undersöka hur försäkringsbolag har arbetat med att skapa förståelse för en externt driven förändringsprocess med stort tolkningsutrymme. Hur den meningsskapande processen sett ut besvarades genom två intervjuer med totalt fyra respondenter på två olika försäkringsbolag inom samma bolagsgrupp. Detta analyserades sedan med hjälp av meningsskapandeteorins sju egenskaper: identitet, retrospektivt, medskapande, socialt, pågående, ledtrådar och rimlighet. Resultatet visar på att det i de två försäkringsbolagens förändringsprocess gick att identifiera aktiviteter som går att dra paralleller till var och en av meningsskapandets sju egenskaper och att vissa av de sju egenskaperna samverkar olika mycket med varandra.

Dataskyddsförordning

förändringsprocess

GDPR

meningsskapande

sensemaking

Business Administration

Företagsekonomi

Genom medicinska sekreterares ögon : - Implementeringen av GDPR i Region Västernorrland / Through the eyes of medical secretaries : - The implementation of the GDPR in Region Västernorrland

Lindström, Ellinor

January 2023

Respekt och ett starkt skydd för individens integritet i en tid av snabbdigital utveckling var syftet med Dataskyddsförordningen (GDPR).Förordningen berör all verksamhet som behandlar personuppgifter, attden implementeras och följs är således av största vikt för att den alltmer digitaliserade hälso- och sjukvården ska utgöra en trygg plats föross som individer. Medicinska sekreterares arbetsuppgifter är, genomhantering av patientjournaler, remisser och vissa fall uppgifter somrör personal, tätt kopplade till GDPR. Syftet med studien var attundersöka hur Dataskyddsförordningen (GDPR) har implementeratspå en klinik i Region Västernorrland med frågeställningen, hur har demedicinska sekreterarna upplevt implementeringen av GDPR och hurpåverkar förordningen deras dagliga arbete? Empiri till studieninhämtades genom en semistrukturerad gruppintervju med tremedicinska sekreterare och som teoretisk utgångspunkt användesimplementeringsteori benämnd som förstå, vilja och kunna. Studiensresultat visar att de medicinska sekreterarna upplevt en viss otydlighetkring GDPR kopplat till övergripande och allmän information ochutbildning. De har inte fått någon uppföljande utbildning kringGDPR men uppger att de kan vända sig till regionens jurister ocharbetsplatsens intranät vid frågor. Yrkesstolthet och att göra ett braarbete uttrycks utgöra motivationen att arbeta enligt GDPR. Till vissdel baserat på den information och utbildning som tillhandahållits,men framförallt baserat på vana att arbeta med sekretess i fokus,uppger de medicinska sekreterarna att de känner sig trygga i sinakunskaper om GDPR. Inga slutsatser eller generaliseringar är möjligadå urvalet inte är representativt.

GDPR

Dataskyddsförordning

implementering

medicinska sekreterare

Political Science

Statsvetenskap

Fjärde penningtvättsdirektivet och reglerna om kundkännedom : Särskilt med beaktande av reglerna om personuppgifter i den nya dataskyddsförordningen / The Fourth Anti-Money Laundering Directive and the ”Know Your Customer” Rules : Especially with Regard to the New General Data Protection Regulation

Franzén Magnusson, Linnea

January 2017

Penningtvätt är ett ständigt växande problem som kräver effektiva gränsöverskridande åtgärder för att upprätthålla en god finansiell stabilitet. Ett av de mest handfasta och effektiva redskap för banker att tillgå för att förhindra penningtvätt är kundkännedomsprocessen. Under våren 2015 antog EU ett fjärde penningtvättsdirektiv, vilket innehåller förenklade men skärpta krav på när kundkännedomsåtgärder ska vidtas. Direktivet har en ökad betoning på det riskbaserade förhållningssättet, vilket innebär att bankerna ska genomföra riskbedömningar och anpassa kundkännedomsåtgärderna därefter. Under våren 2016 antog EU även en ny dataskyddsförordning, vilken ska ge ett ökat skydd för personlig integritet. Samtidigt som kraven på kundkännedom skärps ska således enskilda personer ges större kontroll över sina personuppgifter. I framställningen behandlas kundkännedomsreglerna och huruvida bankerna kan tillämpa dessa för att arbetet mot penningtvätt ska kunna företas på ett effektivt sätt. Kärnan i kundkännedomsprocessen kan vidare sägas vara insamling och hantering av, ofta känsliga, personuppgifter. Det krävs därmed att bankerna kan utföra kundkännedomsprocessen på ett sätt som inte bryter mot reglerna om personuppgifter. Till följd av detta har systemkonflikten som finns mellan kundkännedomsreglerna och reglerna om personuppgifter analyserats och diskuterats. Av resultatet framgår att kundkännedomsreglerna, särskilt med beaktade av de nya kraven i fjärde penningtvättsdirektivet, innebär ett långtgående krav på bankerna att genomföra korrekta riskbedömningar. En misslyckad övergripande riskbedömning leder till genomgående brister i verksamhetens arbete mot penningtvätt, inte minst vad avser kundkännedomsåtgärderna. Detta innebär en negativ påverkan på regelverkets effektivitet. Vidare förutsätter kundkännedomsreglerna korrekta och kvalitativa riskbedömningar för att säkerställa väl förankrade riskklassificeringar av kunderna, vilka styrker rätten att inhämta personuppgifter i viss omfattning. Systemkonflikten mellan regelverkens motstående intressen försätter bankerna i en svår bedömningssituation där intresset av att bekämpa penningtvätt måste vägas mot intresset av att värna om den personliga integriteten.

Penningtvätt

finansiering av terrorism

fjärde penningtvättsdirektivet

dataskydd

personuppgiftsbehandling

dataskyddsförordning

kundkännedom

PTL

PUL

Law

Juridik

Dataskyddsförordningens påverkan ur ett budgivningsperspektiv

Bergkvist, Caroline, Klevstig, Malin

January 2018

Denna rättsvetenskapliga uppsats reder ut hur fastighetsmäklarens skyldigheter förändras ur ett budgivningsperspektiv efter införandet av dataskyddsförordningen (GDPR) den 25e maj 2018. Budgivningen är inte i någon större utsträckning reglerad i lag vilket har gjort att bedrägeri i form av falska bud har uppkommit i praxis. Som ett resultat av detta har krav på upprättande av anbudsförteckning införts för mäklaren. Eftersom GDPR är en rättsakt som ännu inte har trätt i kraft är detta en explorativ studie där vi undersöker hur införandet kommer att påverka fastighetsmäklaren. Syftet med GDPR är att skydda och reglera flödet av personuppgifter för EU-medborgarna, ett flöde som ökar kraftigt på grund av globaliseringen och den teknologiska utvecklingen. GDPR är en EU-förordning och dess bestämmelser ska tillämpas direkt av respektive medlemsstat. Förordningen ställer höga krav på samtliga aktörer inom unionen som behandlar personuppgifter, däribland fastighetsmäklare och mäklarföretag. Huvudbegreppet inom förordningen som är av störst betydelse för hur mäklarens arbete förändras är personuppgiftsansvarig. Det råder skiljaktigheter huruvida det är mäklaren eller mäklarföretaget som är personuppgiftsansvarig och vår slutsats är därför att det finns två svar på syftet. Om det är den enskilda mäklaren som är personuppgiftsansvarig finns en rättslig skyldighet för mäklaren enligt fastighetsmäklarlagen som gör att mäklaren inte behöver ta in samtycke från budgivarna för att få behandla deras kontaktuppgifter i en anbudsförteckning. Är det istället mäklarföretaget som är personuppgiftsansvarig finns det ingen rättslig skyldighet som gör att budgivarnas personuppgifter får behandlas. Detta gör att ett entydigt samtycke måste tas in från budgivarna där det på ett lättförståeligt sätt framgår vad uppgifterna kommer att användas till och där de även ska få information av personuppgiftsansvarige hur samtycket kan återkallas. Eftersom denna tolkningssvårighet råder uppmanar vi den enskilde fastighetsmäklaren och mäklarföretaget att inhämta samtycke vid hantering av budgivares personuppgifter. / This legal paper studies the impact of the new EU regulation GDPR on Swedish real estate brokers responsibility when it comes to the bidding. GDPR is an attempt to protect the integrity of the EU residents due to the increasing flow of personal data within and outside the union. The bidding process in Sweden is associated with problems since the bidders often feel that false bidders occur. In order to minimize the risk of false bidding, national law forces the broker to create a list of all bids that are put on a house or apartment along with name of the bidder, information on how to contact him or her, when the bid was made and if there are any conditions attached to the bid. This list is then given to the seller and the buyer. National law on processing personal data has not been an obstacle for the broker to fulfil this duty but we have learnt that GDPR might be. There are different points of view on whether it is the broker or the broker firm that is responsible for the personal data that is processed within the company. If the broker is responsible its legal responsibility will enable him or her to process personal data without consent from the bidders but if the broker firm is responsible, consent must be given by the bidders in order for the broker to create the bidding list and in that way fulfil their duties associated with the bidding. Since there are different ways to interpret this our conclusion is that consent from the bidders should be acquired.

Anbudsförteckning

Budgivning

Dataskyddsförordning

fastighetsmäklare

fastighetsmäklarlagen

GDPR

personuppgifter

personuppgiftsansvarig

Social Sciences

Samhällsvetenskap

En jämförelse mellan företagens hantering av personuppgifter och allmänhetens syn på denna - I ljuset av GDPR

Billberg, Sara

January 2018

I ljuset av Europaparlamentets nya förordning Allmän dataskyddsförordning (GDPR) och i samband med utveckling av teknik som Big Data och Internet of Things, undersöker denna studie hur användarnas digitala personuppgifter hanteras och allmänhetens åsikter kring detta. De metoder som används för att svara på studiens forskningsfråga är en systematisk litteraturstudie och en webbaserad enkätundersökning. Syftet med enkätundersökningen är att komplettera litteraturstudien med svar från allmänheten i närområdet, i detta fall Sverige. Med hjälp av dessa metoder jämförs det hur företagen hanterar användarnas personuppgifter och allmänhetens syn på denna, för att slutligen komma fram till om företagen uppfyller användarnas behov och önskemål. / In light of the European Parliament's new regulation the General Data Protection Regulation (GDPR) and the development of technologies such as Big Data and the Internet of Things, this study investigates how users' personal data are handled and public opinion about this. The methods used to answer the study's research question are a systematic literature study and a web-based survey. The purpose of the survey is to supplement the literature study with answers from the public in the immediate area, in this case Sweden. Using these methods, the study aims at comparing how companies handle the users' personal data and the public's view on it, to see if companies meet the users’ needs and wishes.

Personuppgifter

Attityd

Åsikt

Förtroende

Kontroll

Allmänheten

GDPR

Allmän dataskyddsförordning

Engineering and Technology

Teknik och teknologier

Kommersiella aktörers tredjelandsöverföring av personuppgifter efter Schrems II : GDPR-efterlevnad efter EU-domstolens ogiltigförklarande av Privacy Shield, och EU-domstolens uttalanden om acceptabel lägsta nivå för skyddet av personuppgifter / Transfers of personal data to third countries for commercial purposes, post Schrems II : – GDPR compliance after EU-US Privacy Shield invalidation by the Court of Justice of the European Union, and the courts statements regarding fundamental rights for the protection of personal data

Bolin, Josef, Svensson, Jimmy

January 2021

Sedan GDPR trädde i kraft har skyddet för personuppgifter stärkts och harmoniserats inom EU. GDPR tillförsäkrar fysiska personer en grundläggande rättighet till skydd för personuppgifter. Den som behandlar personuppgifter åläggs ett särskilt ansvar. Enligt huvudregeln är det förbjudet att överföra personuppgifter till tredjeland. För att tredjelandsöverföring ska vara tillåten, krävs att flera undantagsvillkor är uppfyllda. Den som ansvarar för behandling av personuppgifter, och inte uppfyller villkoren, riskerar dels skadeståndsansvar, dels administrativa sanktionsavgifter upp till så mycket som 20 000 000 euro, eller 4 % av den årliga omsättningen. Syftet med uppsatsen är att redogöra för de handlingsalternativ en kommersiell aktör har, för att tredjelandsöverföring av personuppgifter ska vara tillåten, vid lagring av personuppgifter hos molntjänstleverantör. För att besvara syftet har vi analyserat relevant svensk och EU-rättslig reglering, doktrin, praxis samt rekommendationer och riktlinjer utgivna av EDPB. Vi tillämpar en rättsdogmatisk och en EU-rättslig metod, vilket innebär att vi använder de allmänna rättskällorna, som för svensk rätt utgörs av lagar, förarbeten, praxis och doktrin. EU-rättslig praxis på området är begränsat och en betydelsefull dom avkunnades i närtid. Rättsläget efter domen är relativt oprövat. Den som behandlar personuppgifter är personuppgiftsansvarig. För denne föreligger ansvar att säkerställa att skyddet för personuppgifterna upprätthålls om uppgifterna överförs till tredjeland. Vid behandling av personuppgifter via molntjänst finns risk att personuppgifterna överförs till ett tredjeland, utanför den personuppgiftsansvariges kontroll. Om molntjänstleverantören faller under amerikansk jurisdiktion, kan amerikanska myndigheter med stöd av sin interna rätt, under vissa omständigheter, begära ut uppgifter från molntjänstleverantören. Kapitel V i GDPR reglerar ett antal undantag, som en personuppgiftsansvarig kan åberopa vid tredjelandsöverföring. Oavsett vilket verktyg som väljs, och oavsett om alla villkoren uppfylls, så har EU-domstolen genom Schrems II fastställt, att det i mottagarlandet måste finnas en adekvat skyddsnivå för personuppgifter, och att mottagarlandets interna rätt inte får urholka eller undanröja det skydd som säkerställs genom GDPR. Med adekvat skyddsnivå menas ett väsentligt likvärdigt skydd som tillförsäkras av EU-rätten.

GDPR

personuppgifter

tredjelandsöverföring

cloud act

schrems

integritet

personuppgiftsskydd

affärsrätt

EU

EU-rätt

dataskydd

dataskyddsförordning

privacy shield

Law and Society

Juridik och samhälle

Personuppgifter i EU:s dataskyddsrätt : En rättslig analys av personuppgiftsrekvisitet i EU:s dataskyddsförordning / Personal Data in EU Data Protection Law : A legal analysis of the meaning of personal data in the European General Data Protection Regulation

Granskog, David

January 2021

No description available.

Dataskyddsförordning

DFS

GDPR

DPD

personuppgifter

identifierad identifierbar fysisk person

dataskydd

data

upplysning

Nowak

Breyer

definitionen av personuppgifter

varje upplysning

Law (excluding Law and Society)

Hur kommunala organisationer arbetar inför GDPR : En fallstudie med fokus på förberedelse och genomförande av organisationsförändringar / How municipal organizations prepare for GDPR : A study focusing on the preparationand implementation of organizational changes

Osbakk, Sofie, Wennström, Petra

January 2018

The purpose of this paper is to provide information on how organizations prepare for organizational change by examining how they work for the EU General Data Protection Regulation (GDPR) which comes into action in May 2018. The following questions have been used in order to approach this action: How do municipal organizations prepare effectively for the changes that the EU Data Protection Regulation (GDPR) implies? What steps are particularly problematic in the change work? How can change leaders handle these steps? During the study, a qualitative method has been used through semi-structured interviews. Respondents have key positions in the preparatory work for GDPR within three municipal organizations. One respondent for each organization. As a theoretical reason, Kotter's eight- step change model and previous research on the importance of an individual perspective in change work have been used and the empirical material has been analyzed using content analysis and opinion concentration. The results show that the preparation work for the change looks different in different organizations. You then have a problem of communicating the vision of change when instructions from the EU and the Data Inspectorate for the new regulation are not fully met. Furthermore, the study demonstrates the importance of organizational understanding and knowledge of change, by the change leader, to introduce a new way of working in a municipal organization.

Organizational Change

Change Readiness

GDPR

General Data Protection Regulation

Kotter's eight-step change model

Organisationsförändring

GDPR

Dataskyddsförordning

Kotters åttastegsmodell

Övrig annan samhällsvetenskap