Många av våra läsare har säkert uppmärksammat att Datainspektionens arbete verkar vara i full gång. Just nu kommunicerar Datainspektionen många nyheter i form av genomförda tillsyner. Men vad är en tillsyn och vad kan en tillsyn leda till?

 

Vad är en tillsyn?

Som bekant är Datainspektionen tillsynsmyndighet för bland annat efterlevnaden av GDPR. Det innebär att Datainspektionen är den myndighet som genom tillsyner säkerställer att människor fri- och rättigheter skyddas när personuppgifter behandlas och att bland annat GDPR efterlevs. Det finns två typer av tillsyner: 1) Inspektion = Datainspektionen gör besök hos verksamheten som är föremål för tillsynen och 2) Skrivbordstillsyn = Datainspektionen skickar dokument med frågor till verksamheten, verksamheten ska sedan svara på dessa frågor skriftligen.

Datainspektionen kan välja att inleda en tillsyn mot en personuppgiftsansvarig eller ett personuppgiftsbiträde. Om tillsynen sker i form av en inspektion, får verksamheten i de flesta fall information om att en tillsyn kommer att genomföras i förväg. En viktig del av en tillsyn är att Datainspektionen publicerar resultatet av vad de kom fram till. Genom detta kan alla ta del av den vägledning som framkommer i tillsynerna.

Datainspektionen har upprättat en tillsynsplan för 2019 och 2020. Av tillsynsplanen framkommer vilka områden eller branscher som kommer vara i fokus för tillsyner under detta och kommande år. Ni kan läsa mer om tillsynsplanen här.

Vad kan en tillsyn leda till?

En tillsyn avslutas genom ett tillsynsbeslut. I beslutet framkommer det vilken påföljd som eventuellt aktualiseras. Datainspektionen har ett antal möjliga påföljder att välja på om Datainspektionen gör bedömningen att någon åtgärd behöver vidtas. Dessa påföljder kallas korrigerande åtgärder. Datainspektionen kan besluta om en korrigerande åtgärd om en verksamhet bryter eller riskerar att bryta mot GDPR och övriga regler kring personuppgiftshantering.

De korrigerande åtgärderna är:

  • Varning
  • Reprimand
  • Föreläggande
  • Sanktionsavgift

Varning kan enbart utfärdas innan en överträdelse ägt rum. Det kan vara fallet om behandlingen inte inletts men är planerad.

Reprimand kan utfärdas efter att en verksamhet brutit mot GDPR eller övriga regler gällande dataskydd.

Föreläggande innebär att Datainspektionen kan förelägga verksamheten att göra en viss sak. Det kan vara till exempel om en registrerad begärt ett registerutdrag utan att få ett sådant (rätten till tillgång). Ni kan läsa mer om rätten till tillgång här. Datainspektionen har till exempel nyligen avslutat en tillsyn av brottsbekämpande myndigheter, där Datainspektionen förelade bland annat Tullverket att komplettera deras förteckningar med vissa uppgifter. Datainspektionen har även en möjlighet att genom ett föreläggande införa en begränsning eller ett förbud av verksamhetens behandling av personuppgifter.

Sanktionsavgift kan antingen utfärdas för sig själv eller tillsammans med någon av de andra korrigerande åtgärderna. Sanktionsavgifter kan bli aktuellt för överträdelser av nästan alla bestämmelser i GDPR.

Hur kan vi förbereda oss på en tillsyn?

Det behöver inte vara svårt att vara förberedd om en tillsyn skulle inledas mot er. Nedan följer några enkla steg på hur ni kan börja för att en tillsyn ska flyta på:

  1. Säkerställ att ni har ett giltigt lagstöd och ett ändamål med de personuppgiftsbehandlingar ni har.
  2. Begränsa tillgång inom er organisation och säkerställ att ni har tillräckliga säkerhetsåtgärder för de personuppgifter ni behandlar.
  3. Se till att ha avtal och styrdokument som är uppdaterade och speglar verksamheten.
  4. Arbeta fram rutiner för hur ni hanterar de registrerades rättigheter, bland annat rätten till information och rätten till tillgång.
  5. För ett register över er personuppgiftsbehandling. I ett register kan ni dokumentera era åtgärder och har därmed enklare att visa på att ni följer GDPR. Det går även snabbare att svara på Datainspektionens frågor eftersom det redan finns nedskrivet. GDPR Hero är ett register för att bland annat dokumentera era personuppgiftsbehandlingar och mottagare av personuppgifter. Boka gärna en demo här.

Vill ni veta mer?

Vi hjälper er självklart att uppfylla kraven som uppställs i GDPR och kompletterande lagstiftning! Om ni redan nu påbörjar ert arbete med att uppfylla GDPR kan ni känna er förberedda om Datainspektionen skulle inleda en tillsyn mot er verksamhet. Kontakta oss på 046 – 273 17 17 eller mejla till support@gdprhero.

Josefin Karlström

josefin.karlstrom@sallbergco.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.
Share This