Nyheter, vanliga frågor och guider om GDPR

Integritetsskyddsmyndigheten hette tidigare Datainspektionen 

IMY (Integritetsskyddsmyndigheten) hette tidigare Datainspektionen. Myndigheten bytte namn i januari 2021, eftersom de bland annat utvecklar verksamheten då GDPR ställer högre krav. IMY är tillsynsmyndighet i Sverige och arbetar med bland annat GDPR-ärenden, kameraövervakning, inkassoverksamheter och kreditupplysningsföretag. Myndigheten har befogenhet att tilldela sanktionsavgifter till företag, myndigheter och organisationer. Däremot har man rätt att överklaga beslutet till domstol. I vissa fall delar de ut sanktionsavgifter vid brott mot GDPR och i andra fall reprimand (en anmärkning/tillrättavisning). 

140 miljoner i sanktionsavgifter 2020 

Under 2020 gav IMY ut sanktionsavgifter på över 140 miljoner kronor. IMY tog emot över 4500 anmälningar som handlade om olika personuppgiftsincidenter och dessutom fattat beslut i över 1000 ärenden gällande kameraövervakning. (läs orginalet på vår sida angående 140 eller 150 miljoner) 

Vanligaste klagomålet till IMY 

IMY får in många klagomål och det vanligaste är klagomål avseende personsöktjänster. Myndigheten publicerade därför en rapport som handlar om det. Personsöktjänster är hemsidor som publicerar massa personuppgifter från personer och hämtar uppgifterna från olika svenska myndigheter. Eftersom det är offentliga uppgifter i Sverige, har de tillåtelse. Många som lämnar in klagomål om detta, anser att det gör det väldigt enkelt för personer att få fram uppgifter.

Vanligaste personuppgiftsincidenten de första åren 

Den vanligaste personuppgiftsincidenten de två första åren sedan GDPR började gälla var felskickade mejl. Om en säkerhetsincident kan resultera i att det blir en risk för rättigheterna och friheterna hos en person, är det en personuppgiftsincident. Ett sätt att arbeta för att förhindra felskickade mejl, är att införa rutiner för hur en medarbetare ska kontrollera mottagaradressen innan ett mejl blir skickat. 

Stockholm stad får sanktionsavgift på 4 miljoner kronor 

Efter IMY utfört en granskning av Stockholms Stad och deras skolplattform, har de beslutat att ge de en sanktionsavgift på fyra miljoner kronor. Detta eftersom plattformen innehåller allvarliga brister i säkerheten. I plattformen fanns det lagrade personuppgifter tillhörande lärare, elever och vårdnadshavare och vissa av uppgifterna var känsliga eller sekretessmarkerade. Exempelvis hade fler personer än nödvändigt haft tillgång till uppgifter om elever vars identitet är skyddad. 

Statens servicecenter fick 200 000 kr i sanktionsavgift 

IMY gav Statens servicecenter 150 000 kr i sanktionsavgift, eftersom de var sena med att anmäla en personuppgiftsincident och 50 000 kr för överträdelse av artikel 33.1 i GDPR. Dessutom hade inte Statens servicecenter någon dokumentation internt, där de skriver ner incidenter samt vilka åtgärder de tagit. Enligt GDPR måste företag anmäla en personuppgiftsincident inom 72 timmar från och med att det blev upptäckt, när det krävs enligt lagen. Däremot ska inte företag anmäla alla personuppgiftsincidenter.  

Behandling av känsliga personuppgifter i strid med GDPR

Hälso- och sjukvårdsnämnden i Örebro län har fått en sanktionsavgift på grund av behandling av känsliga personuppgifter i strid med GDPR. Konsekvensen blev en sanktionsavgift på 120 000 kr. De hade bland annat publicerat personuppgifter på en hemsida som var tillgänglig för allmänheten och det innehåll till och med känsliga personuppgifter. 

Inte tillåtet med närvaroregistrering genom ansiktsigenkänning 

Gymnasienämnden beviljade ett gymnasium ett tillstånd om närvaroregistrering genom ansiktsigenkänning. IMY kom fram till att det inte är tillåtet enligt GDPR eftersom det utgör ett intrång i integriteten hos eleverna. Gymnasienämnden fick en sanktionsavgift på 200 000 kr av IMY vilket även förvaltningsrätten slog fast. I detta fall påpekade IMY att gymnasienämnden borde ha meddelat myndigheten och diskutera metoden. Dessutom borde de ha gjort en konsekvensbedömning innan. 

300 000 kr i sanktionsavgift till bostadsbolag 

IMY har givit ett bostadsbolag 300 000 kr i sanktionsavgift. Detta då företaget har haft olaglig kameraövervakning i ett bostadshus. En person har haft en kamera som var riktad mot sin ytterdörr och lämnade därför in ett klagomål till IMY. Eftersom kameraövervakning var riktad mot en boende i sin hemmiljö, var det inte en fråga om en liten överträdelse av GDPR. 

Över 2 miljarder kronor i sanktionsavgift till British Airways

British Airways fick år 2019 betala en sanktionsavgift på ungefär 2,2 miljarder kronor (183 miljoner pund) på grund av brott mot GDPR. Hackare kom åt information som är integritetskänsliga enligt GDPR, såsom kreditkortsuppgifter och andra personuppgifter tillhörande över 350 000 personer. Enligt den brittiska motsvarigheten till IMY, hade inte företaget tillräckligt hög säkerhet. Ju känsligare personuppgifter, desto högre säkerhet kräver GDPR. 

Inkassobolag har gjort sig skyldig till brott mot god inkassosed 

Ett inkassobolag har gjort sig skyldig till brott mot god inkassosed enligt en granskning från IMY. Inkassobolaget ska vara tillgängliga för gäldenärerna (personerna som har en skuld) enligt god inkassoed. Detta hade inkassobolaget inte gjort enligt granskningen. Bolaget hade bland annat tagit bort sitt nummer till kundtjänsten på sin hemsida. De hade inte heller hanterat invändningar eller frågor som inkommit via mejl.

Person har begärt att få personuppgifter raderade från Spotify 

IMY granskade Spotify efter att de fått in klagomål. Klagomålet handlande om att en person hade begärt att Spotify skulle radera dennes personuppgifter, efter att denne raderat sitt användarkonto. Företaget hade bland annat inte förklarat vilka personuppgifter de behandlar eller med vilken rättslig grund det skett genom. De hade inte heller informerat personen om att denne kunde lämna klagomål till tillsynsmyndigheten. Däremot blev påföljden ingen sanktionsavgift. Istället blev det en reprimand (tillrättavisning/anmärkning).