Många tar semesterledigt och slappnar av under sommaren men juridikens utveckling stannar aldrig av. GDPR Hero har sammanställt tre av de viktigaste händelserna under sommaren som ni bör ha koll på gällande Datainspektionens arbete med GDPR och den utveckling som skett gällande personuppgiftshantering.

 

1. Datainspektionen fortsätter med sina granskningar. 
Under året har Datainspektionen inlett ett flertal granskningar. En granskning inleds genom att Datainspektionen skickar en skrivelse om tillsyn till en aktör som omfattas av GDPR. Framförallt har offentlig verksamhet varit av intresse för Datainspektionen, som nyligen inlett granskningar av bland andra Region Uppsala och Umeå universitet. Region Uppsala har själv anmält två incidenter till Datainspektionen. Datainspektionen har efter anmälningarna valt att inleda en granskning av incidenterna och om regionen har haft rätt att behandla personuppgifterna på det sätt de gjort. Datainspektionen har även inlett en granskning av hur Umeå universitet behandlar känsliga personuppgifter efter klagomål från Polismyndigheten.

Det är dock inte enbart offentlig verksamhet som är av intresse för Datainspektionens granskningar, utan ytterligare granskning har inletts. Bland annat har Datainspektionen inlett en granskning som syftar till att kontrollera hur samtycke används för att samla in kunduppgifter. Samtycke är ett av sex stöd för personuppgiftsbehandling. Ni kan läsa mer om lagstöden här. Syftet med granskningen är dock inte enbart att granska företagen utan även att ge vägledning kring hur samtycke kan användas. Samtycke är ett lagstöd som ofta används felaktigt och det är en del av Datainspektionens tillsynsplan för 2019/2020 att granska just samtycke.

 

2. Den första sanktionsavgiften i Sverige har utdelats!
Många har frågat oss om och när sanktionsavgifter kommer delas ut. Vi kan nu meddela att den första sanktionsavgiften har utfärdats. Storleken på beloppet? 200 000 kronor.

Det är Datainspektionen som är tillsynsmyndighet för personuppgiftshantering och utfärdar sanktionsavgifter. En sanktionsavgift utfärdas när en aktör som omfattas av GDPR som personuppgiftsansvarig eller personuppgiftsbiträde bryter mot reglerna i GDPR. Storleken på sanktionsavgiften kan variera beroende på om det är en offentlig eller privat aktör samt hur allvarlig överträdelsen är.

Den första sanktionsavgiften har Datainspektionen utdelat till en skola som behandlat biometrisk data i form av ansiktsigenkänning på elever för att registrera närvaro. Skolan har använt samtycke som lagstöd men detta lagstöd är enligt Datainspektionen inte användbart i denna situation eftersom eleverna är i beroendeställning i förhållande till gymnasienämnden. Läs mer om lagstödet samtycke här.

Datainspektionen har fler befogenheter att välja på än sanktionsavgift. Datainspektionen kan exempelvis ge en varning eller begränsa aktörens behandling av personuppgifter. Hänsyn ska tas till omständigheter som överträdelsens karaktär, svårighetsgrad och varaktighet. I fallet med kameraövervakning av eleverna behandlades känsliga personuppgifter om barn. Datainspektionen anser inte att det rör sig om en mindre överträdelse. Sanktionsavgift är därför den relevanta åtgärden.

Datainspektionens beslut har dock överklagats av gymnasienämnden. Det återstår att se vad slutresultatet blir.

 

3. Arbetet med harmonisering av sanktionsavgifter inom EU fortsätter – och Sverige är ett av ordförandeländerna. 
Ett av syftena med GDPR är att harmonisera hur personuppgifter behandlas inom EU och vilka påföljder som kan komma ifråga vid regelöverträdelser. Det har startats upp en arbetsgrupp inom EU vars syfte är att harmonisera sanktionsavgifter. Meningen är att lika fall ska behandlas lika inom EU. Sverige är ett av ordförandeländerna inom denna arbetsgrupp. De andra ordförandeländerna är Storbritannien och Nederländerna.

Riktlinjerna beräknas vara klara under nästa år. Verksamheter som omfattas av GDPR kommer då få mer insyn i vilken sanktionsavgift som kan komma ifråga för en viss regelöverträdelse.

 

Har du några frågor?
Vi hoppas att du fick vägledning av detta blogginlägg! Om du har några frågor gällande GDPR eller GDPR Hero är du välkommen att kontakta oss på 046-2731717 eller via support@gdprhero.se.

Josefin Karlström

josefin.karlstrom@sallbergco.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.
Share This