Datainspektionen publicerade nyligen sin tillsynsplan, där de meddelade vad deras arbete huvudsakligen kommer fokusera på under de närmaste två åren (2019 och 2020). Några av de verksamhetsområden eller branscher som är prioriterade inför granskningen är hälso- och sjukvård, arbetsgivares behandling av anställdas personuppgifter, skolverksamhet och detaljhandeln. I detta blogginlägg kommer vi gå igenom de olika områdena, med fokus på vad som kommer granskas och några punkter som är viktiga att tänka på.

Hälso- och sjukvården

Hälso- och sjukvården behandlar ofta många känsliga personuppgifter. I sina tillsyner kommer Datainspektionen lägga fokus på:

  • Ansvar
  • Transparens mot patienter
  • Tekniska och organisatoriska säkerhetsåtgärder (särskilt obehörig åtkomst och obefogad spridning)
  • Rättslig grund för behandling

Särskild information om hälso- och sjukvård
Offentliga organ och myndigheter har en skyldighet att utse dataskyddsombud. Inom hälso- och sjukvården behandlas ofta många känsliga personuppgifter och ofta behandlas känsliga personuppgifter i stor omfattning. Detta gör att även många privata verksamheter inom hälso- och sjukvårdsområdet har en skyldighet att utse ett dataskyddsombud. Läs mer om dataskyddsombud här.

Sjukvården är en av de branscher där lagstödet ”grundläggande intresse” kan komma att tillämpas. Detta lagstöd är främst tillämpbart i situationer där den enskilde personen inte kan ge samtycke till behandlingen, exempelvis om personen är medvetslös. Inom hälso- och sjukvården tillkommer, förutom GDPR, dessutom speciallagstiftning i form av patientdatalagen.

Arbetsgivares behandling av anställdas personuppgifter

Anställa står ofta i beroendeställning till arbetsgivaren och behandling av känsliga personuppgifter är vanligt. Datainspektionen kommer särskilt granska:

  • Arbetsgivarens övervakning av anställda, med fokus på rättsliga grunder för behandlingen och hur arbetsgivaren informerar om behandlingar

Särskild information om arbetsgivares behandling:
En arbetsgivare (ofta den personuppgiftsansvarige för personuppgiftsbehandling om anställda) har troligtvis mycket information om anställda. Inom många branscher är det här den främsta personuppgiftsbehandlingen sker.

Ett vanligt misstag många gör är att använda lagstödet ”samtycke” för att behandla personuppgifter om anställda. I vissa situationer kan detta fungera, men samtycke är ofta ett lagstöd som är svårt. Det ställs en hel del krav på ett samtycke för att det ska vara giltigt. I anställningsförhållande är det ofta frivilligheten som kan skapa problem. En anställd står ofta i beroendeförhållande till en arbetsgivare, vilket gör det svårt att säkerställa att samtycket verkligen är frivilligt. Det är även så att ett samtycke alltid ska vara möjligt att ta tillbaka. Det är därför viktigt att man som arbetsgivare inte sparar uppgifter med lagstödet samtycke när uppgifterna faktiskt behövs för något. Om det till exempel finns en rättslig förpliktelse att spara en uppgift, men uppgiften sparas med stöd av lagstödet samtycke, och den anställde tar tillbaka sitt samtycke, ska arbetsgivaren ta bort personuppgifterna. Detta kan då vara en personuppgiftsincident. Läs mer om samtycke här.

Skolverksamhet

Uppgifter om barn är inte känsliga personuppgifter, men särskilt skyddsvärda. De flesta skolverksamheter behandlar dock även uppgifter som är känsliga, exempelvis uppgifter om hälsa. Datainspektionens tillsyn kommer framförallt bestå i en granskning av:

  • Rättslig grund för behandling
  • Teknisk och organisatorisk säkerhet (särskilt obehörig åtkomst och obefogad spridning)
  • Teknikanvändning i form av kamerabevakning och ansiktsigenkänning

Särskild information om skolverksamhet:
Organisationer som bedriver skolverksamhet, oavsett om det sker i privat eller offentlig verksamhet, behandlar även de en del känsliga personuppgifter och ofta personuppgifter i stor omfattning. Det kan därför vara relevant att göra en bedömning av om ett dataskyddsombud behövs, se ovan under ”Hälso- och sjukvård”. Gällande lagstöd har privata skolverksamheter möjlighet att använda lagstödet ”allmänt intresse eller myndighetsutövning”. Däremot ska skolverksamheter se upp för lagstöden intresseavvägning och samtycke.

Även här kommer en speciallag in – skollagen.

Detaljhandel

Uppgifter i medlemsklubbar berör många människor och kan eventuellt vara integritetskänslig. Tillsynen ska särskilt inriktas på:

  • Rättslig grund för behandling, särskilt vid profilering

Särskild information om detaljhandeln:
Inom detaljhandel är det vanligt att profilering sker för olika syften. Läs gärna vårt blogginlägg om automatiserat beslutsfattande och profilering för mer information. Inlägget hittar ni här.

Det finns även verksamheter inom detaljhandeln som behandlar biometrisk data. Detta är känsliga personuppgifter enligt GDPR, vilket innebär att det som huvudregel är förbjudet att behandla. För att få behandla biometrisk data måste ni därför hitta ett undantag i förordningen. Känsliga personuppgifter kräver även extra skyddsåtgärder.

Omfattning av granskningen

Datainspektionen kommer särskilt utöva tillsyn över vissa prioriterade rättsområden. Två av dessa är:

  • Personuppgiftsansvarig eller personuppgiftsbiträde – bedömningen av vilken part som är personuppgiftsansvarig och personuppgiftsbiträde kan vara svår att göra. Detta är därför ett av de område Datainspektionen kommer utöva särskild tillsyn över.
  • Samtycke som rättslig grund – samtycke är en rättslig grund som förändrats en del i och med GDPR:s ikraftträdande. Samtycke kan vara bra i vissa situationer, men det ställs många krav för att ett giltigt samtycke ska föreligga. Datainspektionen avser att utveckla praxis för att tydliggöra bestämmelserna kring samtycke.

Är ni en av de verksamheter som omfattas av Datainspektionens tillsynsplan?

Vi hjälper er gärna med mer information om vad det kan innebära att ni är en av de verksamheter som omfattas av Datainspektionens tillsynsplan. Ni är välkomna att kontakta oss på support@gdprhero.se eller 046 – 273 17 17!

Vi vill även passa på att rekommendera vår samarbetspartner Sällberg & Co, som gärna hjälper er med era juridiska frågeställningar. Ni når de på info@sallbergco.se eller 046 – 273 17 10.

Josefin Karlström

josefin.karlstrom@sallbergco.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.

 

Share This