Många tar semesterledigt och slappnar av under sommaren men juridikens utveckling stannar aldrig av. GDPR Hero har sammanställt tre av de viktigaste händelserna under sommaren som ni bör ha koll på gällande Integritetsskyddsmyndighetens arbete med GDPR och den utveckling som skett gällande personuppgiftshantering.
1. Integritetsskyddsmyndigheten fortsätter med sina granskningar.
Under 2019 har Integritetsskyddsmyndigheten inlett ett flertal granskningar. En granskning inleds genom att Integritetsskyddsmyndigheten skickar en skrivelse om tillsyn till en aktör som omfattas av GDPR. Framförallt har offentlig verksamhet varit av intresse för Integritetsskyddsmyndigheten, som nyligen inlett granskningar av bland andra Region Uppsala och Umeå universitet. Region Uppsala har själv anmält två incidenter till Integritetsskyddsmyndigheten. Integritetsskyddsmyndigheten har efter anmälningarna valt att inleda en granskning av incidenterna och om regionen har haft rätt att behandla personuppgifterna på det sätt de gjort. Integritetsskyddsmyndigheten har även inlett en granskning av hur Umeå universitet behandlar känsliga personuppgifter efter klagomål från Polismyndigheten.
Det är dock inte enbart offentlig verksamhet som är av intresse för Integritetsskyddsmyndighetens granskningar, utan ytterligare granskning har inletts. Bland annat har Integritetsskyddsmyndigheten inlett en granskning som syftar till att kontrollera hur samtycke används för att samla in kunduppgifter. Samtycke är ett av sex stöd för personuppgiftsbehandling. Ni kan läsa mer om lagstöden här. Syftet med granskningen är dock inte enbart att granska företagen utan även att ge vägledning kring hur samtycke kan användas. Samtycke är ett lagstöd som ofta används felaktigt och det är en del av Integritetsskyddsmyndigheten tillsynsplan för 2019/2020 att granska just samtycke.
2. Den första sanktionsavgiften i Sverige har utdelats!
Många har frågat oss om och när sanktionsavgifter kommer delas ut. Vi kan nu meddela att den första sanktionsavgiften har utfärdats. Storleken på beloppet? 200 000 kronor.
Det är Integritetsskyddsmyndigheten som är tillsynsmyndighet för personuppgiftshantering och utfärdar sanktionsavgifter. En sanktionsavgift utfärdas när en aktör som omfattas av GDPR som personuppgiftsansvarig eller personuppgiftsbiträde bryter mot reglerna i GDPR. Storleken på sanktionsavgiften kan variera beroende på om det är en offentlig eller privat aktör samt hur allvarlig överträdelsen är.
Den första sanktionsavgiften har Integritetsskyddsmyndigheten utdelat till en skola som behandlat biometrisk data i form av ansiktsigenkänning på elever för att registrera närvaro. Skolan har använt samtycke som lagstöd men detta lagstöd är enligt Integritetsskyddsmyndigheten inte användbart i denna situation eftersom eleverna är i beroendeställning i förhållande till gymnasienämnden. Läs mer om lagstödet samtycke här.
Integritetsskyddsmyndigheten har fler befogenheter att välja på än sanktionsavgift. Integritetsskyddsmyndigheten kan exempelvis ge en varning eller begränsa aktörens behandling av personuppgifter. Hänsyn ska tas till omständigheter som överträdelsens karaktär, svårighetsgrad och varaktighet. I fallet med kameraövervakning av eleverna behandlades känsliga personuppgifter om barn. Integritetsskyddsmyndigheten anser inte att det rör sig om en mindre överträdelse. Sanktionsavgift är därför den relevanta åtgärden.
Integritetsskyddsmyndighetens beslut har dock överklagats av gymnasienämnden. Det återstår att se vad slutresultatet blir.
3. Arbetet med harmonisering av sanktionsavgifter inom EU fortsätter – och Sverige är ett av ordförandeländerna.
Ett av syftena med GDPR är att harmonisera hur personuppgifter behandlas inom EU och vilka påföljder som kan komma ifråga vid regelöverträdelser. Det har startats upp en arbetsgrupp inom EU vars syfte är att harmonisera sanktionsavgifter. Meningen är att lika fall ska behandlas lika inom EU. Sverige är ett av ordförandeländerna inom denna arbetsgrupp. De andra ordförandeländerna är Storbritannien och Nederländerna.
Riktlinjerna beräknas vara klara under nästa år. Verksamheter som omfattas av GDPR kommer då få mer insyn i vilken sanktionsavgift som kan komma ifråga för en viss regelöverträdelse.
Har du några frågor?
Vi hoppas att du fick vägledning av detta blogginlägg! Om du har några frågor gällande GDPR eller GDPR Hero är du välkommen att kontakta oss på 046-2731717 eller via info@gdprhero.se