I början av 2021 uppmärksammade vi den stora sanktionsavgift som Integritetsskyddsmyndigheten (IMY) utfärdade mot Google på hisnande 75 000 000 kr. Det var dock inte den enda sanktionsavgift som myndigheten utfärdade under 2020. IMY, Sveriges tillsynsmyndighet för efterlevnad av GDPR avslutade förra året 53 tillsynsärenden som föranledde sanktionsuppgifter på totalt 150 000 000 kr. IMY har nu tagit fram en ny tillsynsplan och tillsynspolicy. Dessa dokument är vägledande för myndighetens tillsynsarbete under de kommande två åren (2021-2022). Detta blogginlägg förklarar vad tillsyn innebär och vem som kan bli föremål för det.
Vad är tillsyn?
Tillsyn är IMY:s verktyg för att säkerställa efterlevnad av GDPR i enlighet med artikel 58 GDPR. Tillsyn sker i regel på ett av två olika sätt – inspektion eller skrivbordstillsyn. Inspektion Inspektion innebär att tillsynsobjektets personuppgiftsbehandlingar granskas på plats av IMY. Innan granskningen skickas ett meddelande till berörda parter om tiden för, syftet med, och vilka typer av uppgifter som ska kunna redovisas för under inspektionen. Den faktiska granskningen består sedan i att personer från myndigheten kontrollerar dokumentation och system samt ställer frågor till relevanta personer inom organisationen. Inspektionen följs upp med att IMY tillhandahåller ett protokoll med utvärdering av granskningen där det anges om ni uppvisar några brister och vilka åtgärder som de har beslutat. Skrivbordstillsyn Skrivbordstillsyn är en mindre ingripande form av utredning som innebär att IMY skickar ett antal frågor till det aktuella tillsynsobjektet via brev. Efter frågorna besvarats återkommer antingen myndigheten med begäran om kompletterande uppgifter, eller beslutar om åtgärd på samma sätt som vid en inspektion.
Vilka blir föremål för tillsyn?
IMY kan inleda tillsynsärenden mot personuppgiftsansvariga och personuppgiftsbiträden. IMY meddelade i samband med sin årsredovisning för 2020 att tillsynsärenden kommer inledas i betydligt högre grad än tidigare. Fokusområdet för IMY:S tillsyn under 2021-2022 kommer vara klagomålsbaserat. Detta betyder helt enkelt att tillsynsärendena kommer vara inriktade på de branscher och verksamheter som flest riktat klagomål mot. IMY, gör utifrån inkomna klagomål, en självständig bedömning gällande vilka parter de inleder tillsyn mot.
Tillsyn baserad på klagomål
Enskilda har enligt GDPR rätt att lämna klagomål om verksamheters personuppgiftshantering till en tillsynsmyndighet. I den nya tillsynsplanen fastslås att huvudfokus för tillsyn kommer ligga på klagomål från enskilda som rör GDPR. Bland annat kommer alla relevanta klagomål som uppfyller de formella kraven som inkommer till myndigheten behandlas och de som klagomålet berör informeras. För inkomna klagomål som avser GDPR har IMY i många fall en rättslig skyldighet att undersöka den sakfråga som klagomålet gäller.
Riskbaserad tillsyn
Vidare kan tillsyn inledas genom s.k. riskbaserad tillsyn som innebär att IMY på eget initiativ inleder tillsyn med anledning av att det finns särskilda risker med en viss typ av personuppgiftsbehandling. Här prioriteras områden där det rör sig om ny teknik, där det finns ett särskilt behov av praxis eller där tillsynen beräknas få störst effekt vad gäller regelefterlevnad och lärande. Riskbaserad tillsyn kan också föranledas av klagomål. Om myndigheten bedömer att det finns uppgifter i ett klagomål som bör föranleda en större granskning kan IMY inleda en så kallad utvidgad klagomålstillsyn. Tillsynen kan då bli mer omfattande och behandla mer än sakfrågan som klagomålet avsett. Som huvudregel för att riskbaserad tillsyn ska aktualiseras krävs att minst två av följande kriterier är uppfyllda:
- Allvarlig kränkning eller risk för allvarlig kränkning av den enskildes rätt till privatliv
- Behandlingen berör många enskilda individer eller kan ge konsekvenser för många enskilda individer
- Ny teknik eller ny användning av teknik som kan påverka den enskildes rätt till privatliv väsentligt
- Ett väsentligt behov av vägledande praxis; eller
- Grovt åsidosättande av god sed inom inkassoverksamhet eller olaglig inkasso-eller kreditupplysningsverksamhet.
Misstänks något kriterium kunna utgöra en allvarlig risk eller att det finns stort behov av vägledning kan det räcka att endast ett är uppfyllt.
Årlig planerad tillsyn
IMY bedriver även regelbunden s.k. årlig planerad tillsyn som avser vissa verksamheter utan att det behöver finnas indikationer på brister eller risk för brister. Under den kommande perioden kommer den årliga planerade tillsynen dock att genomföras i mer begränsad omfattning till förmån för klagomålsinriktad tillsyn. För 2021-2022 kommer den årligen planerade tillsynen gälla: – Myndigheters användning av samtycke som laglig grund – Granskning av det rättsliga stödet för personuppgiftsbehandlingen vid forskning rörande barn – Granskning av myndigheters tillämpning av artikel 35 och 36 i GDPR som gäller konsekvensbedömning och förhandssamråd.
Hur stora kan sanktionsavgifterna bli?
Det korta svaret är att sanktionsavgiften kan uppgå till 20 miljoner euro eller 4 % av årsomsättningen om avgiften utfärdas mot ett företag och kan alltså i teorin uppgå till mångmiljardbelopp. Det mer realistiska svaret är att det beror på. De riktigt stora avgifterna är avsedda för de grövsta överträdelserna av de största organisationerna. När beloppet för en sanktionsavgift ska bedömas tar IMY hänsyn till en mängd omständigheter. Framförallt företagets omsättning och överträdelsens art. Dessutom tar de organisationens förebyggande GDPR-arbete med i bedömningen, så kika gärna in på vår roadmap där vi har specificerat GDPR-arbetes olika delar.
Vad kan ni göra för att förbereda er?
Ett bra, och väldigt viktigt, första steg är att ha en registerförteckning över era personuppgiftsbehandlingar på plats. Detta hjälper er få översikt av behandlingarna ni utför och att identifiera vilka eventuella risker som kan finnas. Behöver ni hjälp med er registerförteckning eller GDPR i övrigt, tveka inte att kontakta oss. Skulle ni bli föremål för en tillsyn kan ni vända er till oss för stöd och rådgivning. Vill du läsa IMY:s tillsynspolicy och tillsynsplan i sin helhet kan du göra det via länkarna nedan. Tillsynspolicy Tillsynsplan