Hurra för GDPR - sammanfattning över åren som gått

Dataskyddsförordningen infördes inte bara i Sverige utan i samtliga EU-länder den 25 maj 2018. Det är en lagstiftning som ger oss som medborgare ett förstärkt skydd i samband med att våra personuppgifter hanteras.

2018 var ordet GDPR årets ”buzzword” och frågan ”Vad är GDPR?” var den tionde mest ställda på Google.  Man hade fullt upp med att påbörja anpassningsarbetet till de nya kraven, och vilka var dom egentligen? Hur skulle GDPR tolkas? 

Bara ett år senare upplevde jag ett helt annat lugn hos de flesta organisationer jag var i kontakt med. Man hade vant sig med de nya begreppen och fått en övergripande koll på vad lagstiftningen innebär i det stora hela. Eftersom man ännu inte hade sett några effekter av inledda tillsynsärenden började de flesta undra om denna lagstiftning var lika ”tandlös” som Personuppgiftslagen.

Idag ser jag att frågan fått en helt annan dignitet och tyngd, troligtvis beroende på att vi som medborgare har högre förväntningar på att vår personuppgifter hanteras på ett korrekt och säkert sätt.

I min vardag som informationssäkerhets- och dataskyddsspecialist på Atea ser jag att det finns utmaningar att tolka och tillämpa Dataskyddsförordningens regelverk utifrån kundernas mognadsnivå. Det arbetet som påbörjades 2018 har fortfarande bara påbörjats, och ju mer vi lär oss att förstå hur lagstiftningen ska tillämpas ju mer inser vi att det fortfarande finns mycket arbete och anpassningar kvar att göra. 

Vad har hänt under året som gått?

Den 1 januari 2021 bytte Datainspektionen namn till Integritetsskyddsmyndigheten (IMY).

Myndigheten startade redan den 1 juli 1973, och var då världens första dataskyddsmyndighet. Den 25 maj 2018 och fick man även uppdraget som tillsynsmyndighet för Dataskyddsförordningen.

Man kan tycka att myndighetens namn är långt och krångligt, men namnet har ett viktigt signalvärde. Genom det nya namnet förstärks kopplingen till integritetsaspekterna i uppdraget, som är att verka för en hållbar digital utveckling och ett tryggt informationssamhälle. För att underlätta kommunikationen används kortnamnet IMY i både tal och skrift.

Idag finns en mängd svåra och angelägna frågor på dataskyddsområdet.

Under 2020 har bland annat frågeställningarna kring Schrems II-domen varit särskilt utmanande.
Schrems II domen innebär i korthet att överföringar av personuppgifter till USA inte längre kan
ske med stöd av det så kallade Privacy Shield-avtalet. Rent praktiskt betyder det att det inte längre finns någon rättslig grund för överföring av personuppgiftsbehandlingar till tredje land, vilket får konsekvenser när man använder amerikanska molntjänstleverantörer.

Storleken har betydelse

2020 har också varit året som IMY på allvar kommit igång med kontroller och sanktioner.
Under 2020 fattades beslut om sanktionsavgift i 15 ärenden.
De sammanlagda sanktionsavgifterna uppgick till 150 miljoner kronor.
Om man jämför med de två beslut om sanktionsavgifter som fattades under 2019 så är det en väsentlig ökning. 

Vad beror då sanktionsavgifternas storlek på? De huvudsakliga faktorerna är:

• allvaret och svårighetsgraden av överträdelsen
• verksamhetens storlek
• om det gäller om en offentlig eller privat verksamhet

Om man tittar på fördelningen över de sanktionsavgifter som utfärdats under året, kan man se att ca 10% av det sammanlagda beloppet kommer från offentlig sektor. Om vi i stället tittar på antalet ärenden som resulterat i sanktionsavgift, så utgör offentlig sektor nära 70%.

Kort sammanfattning över sanktionsavgifterna

• 2020-03-10 Google LLC
  Sanktionsavgift: 75 000 000 kronor.
  Vad har hänt: Felaktig hantering av begäranden om borttagande från söktjänst.
  Typ: Otillräcklig uppfyllelse av de registrerades rättigheter och felaktig behandling av känsliga personuppgifter.
  Behandling i strid med artikel: 5.1 a-b, 9, 10,17.
• 2020-04-28 Statens servicecenter (SCC)
  Sanktionsavgift: 200 000 kronor.
  Vad har hänt: Dröjsmål med att underrätta såväl Integritetsskyddsmyndigheten som berörda myndigheter om en personuppgiftsincident.
  Typ: Otillräckligt uppfyllande av skyldigheter gällande anmälan av personuppgiftsincident.
  Behandling i strid med artikel: 33.2.
• 2020-05-11 Hälso- och sjukvårdsnämnden i Region Örebro län
  Sanktionsavgift: 120 000 kronor.
  Vad har hänt: Publicering av känsliga personuppgifter på Region Örebro läns webb.
  Typ: Avsaknad av rättslig grund för behandling, felaktig behandling av känsliga personuppgifter och bristande organisatoriska säkerhetsåtgärder.
  Behandling i strid med artikel: 5, 6, 9 och 32.
• 2020-06-15 Bostadsrättsföreningen BRF Gårdsbjörken 
  Sanktionsavgift: 20 000 kronor.
  Vad har hänt: Otillåten kamerabevakning med ljudinspelning av entré och trapphus
  Typ: Brister i grundläggande principer och avsaknad av rättslig grund Behandling i strid med artikel: 5, 6,13, 32.
• 2020-11-23 Stockholms stad, utbildningsnämnden Utbildningsförvaltningen 
  Sanktionsavgift: 4 000 000 kronor.
  Vad har hänt: Allvarliga brister i Skolplattformen.
  Typ: Otillräckliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten.
  Behandling i strid med artikel: 5.1f och 32.1.
• 2020-11-24 Gnosjö kommun 
  Sanktionsavgift: 200 000 kronor.
  Vad har hänt: Olaglig kamerabevakning på LSS-boende.
  Typ: Avsaknad av rättslig grund och lagligt stöd, felaktig behandling av känsliga personuppgifter.
  Behandling i strid med artikel: 5.1 a, 6, 9.2, 13, 35 och 36.
• 2020-12-02 Åtta vårdgivare
  Sanktionsavgift: totalt 30 miljoner kronor.
  Vad har hänt: Brister i styrning av personalens åtkomst till journaluppgifter.
  Typ: Otillräckliga tekniska och organisatoriska säkerhetsåtgärder som är lämpliga i förhållande till riskerna med behandlingen.
  Behandling i strid med artikel: 5.1 f, 5.2 , 32.1 och 32.2.
  • Vårdgivare: Aleris sjukvård AB Sanktionsavgift på 15 000 000 kronor
  • Aleris Närsjukvård AB Sanktionsavgift på 12 000 000 kronor
  • Capio St Görans sjukhus AB Sanktionsavgift på 30 000 000 kronor.
  • Karolinska universitetssjukhuset Sanktionsavgift på 4 000 000 kronor.
  • Region Västerbotten Sanktionsavgift på 2 500 000 kronor
  • Region Östergötland Sanktionsavgift på 2 500 000 kronor
  • Sahlgrenska Universitetssjukhuset Sanktionsavgift på 3 500 000 kronor
  • Digital Medical Supply Sweden AB (KRY) Föreläggande att komplettera behovs- och riskanalys.
• 2020-12-10 Umeå universitet
  Sanktionsavgift: 550 000 kronor.
  Vad har hänt: Otillräckliga tekniska och organisatoriska säkerhetsåtgärder.
  Typ: Brister i lämpligt vidtagna åtgärder för att förhindra obehörig åtkomst till känsliga personuppgifter som hanterats i en amerikansk molntjänst, samt avsaknad av dokumentation och anmälan av personuppgiftsincident.
  Behandling i strid med artikel: 5.1f, 32.1 och 32.2, 33.1 och 33.5.
• 2020-12-14 - Uppsalahem AB
  Sanktionsavgift: 300 000 kronor.
  Vad har hänt: Olaglig kamerabevakning v gemensamma utrymmen i ett flerbostadshus samt delar av bostäder i samma hus.
  Typ: Avsaknad av rättslig grund för behandling.
  Behandling i strid med artikel: 6.1 f.

Vad kan vi förvänta oss under kommande år?

Under kommande år säger IMY att man kommer utreda alla klagomål och inleda tillsyn i betydligt högre grad än tidigare, vilket innebär att vi kan förvänta oss ytterligare ökning av sanktionsavgifter och andra korrigerande åtgärder.

Tillsynen under 2021-2022 kommer bygga på:

• Inkomna klagomål från enskilda.
• Riskbaserad tillsyn som inledas med anledning av att det finns särskilda risker med en viss personuppgiftsbehandling.
• Eget initiativ- tillsyn med anledning av en anmälan om personuppgiftsincident, ett tips, uppgifter i media eller på grund av annan information.
• I de fall där IMY bedömer att det finns ett väsentligt behov av vägledande praxis.
• Årligt planerad tillsyn
  • Granskning av myndigheters användning av samtycke som rättslig grund.
  • Granskning av det rättsliga stödet för personuppgiftsbehandlingen vid forskning rörande barn.
  • Granskning av myndigheters tillämpning av artikel 35 i Dataskyddsförordningen om konsekvensbedömning och artikel 36 förhandssamråd.

Mina 6 bästa råd över vad du behöver tänka på i ditt dataskyddsarbete

1. Säkerställ att grunderna följs
   All hantering av personuppgifter behöver uppfylla ett antal grundläggande principer. Det är viktigt att man känner till och följer dessa principer. Principerna gäller för alla personuppgiftsbehandlingar och är centrala för efterlevnaden av Dataskyddsförordningen.
   
   För att en behandling av personuppgifter ska vara laglig krävs att en av de sex rättsliga grunderna är uppfyllda. Enligt IMYs tillsynsplan kommer man under 2021-2022 fokusera på den lagliga grunden samtycke. Dataskyddsförordningen ställer vissa krav för hur ett samtycke ska vara utformat och användas för att det ska vara giltigt.
2. Fungerande rutiner och processer
   Fungerande rutiner och processer är en viktig förutsättning i dataskyddsarbetet. Trots att uppskattningsvis tre av fyra organisationer uppger att de har grundläggande dokument och rutiner för att hantera personuppgifter, arbetar endast hälften av organisationerna kontinuerligt och systematiskt med dataskyddsfrågor.
   
   Många inkomna klagomål indikerar att organisationer saknar eller har bristfälliga rutiner och processer vid hanteringen av personuppgifter.
   
   Om man redan har grundläggande dokumentation och rutiner på plats för att hantera personuppgifter, är det lika viktigt att man kontinuerligt och systematiskt arbetar med förbättringar av sitt dataskyddsarbete och ser till att rutinerna hålls levande.
3. Se till att de registrerades rättigheter tillgodoses
   Det finns stora brister i organisationers förmåga att möta medborgarnas rättigheter. Rättigheter innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Som organisation har man ett ansvar för att ha rutiner på plats för att hantera en begäran från en registrerad.
   
   Några rättigheter som det kommer in många klagomål kring är rätten till radering, information och tillgång.
   
   Se till att ha dokumenterade rutiner på plats samt tillgänglig personal för att tillgodose de registrerades rättigheter. Ni som organisation måste också tillhandahålla information till de registrerade hur man gör för att utöva sina rättigheter.
4. Bygg din dataskyddsorganisation
   Man behöver etablera ledning och styrning i organisationen gällande dataskydd och förankra arbetet hos ledningen. En av nyckelfaktorerna i arbetet är att bygga upp en dataskyddsorganisation där alla nödvändiga roller finns representerade.
   
   Roller och ansvar ska finnas tydligt dokumenterade för att säkerställa att alla personer som är delaktig i dataskyddsarbetet har en klar rollfördelning. Det är även viktigt att se till att det finns tid och kompetens för resurserna att genomföra arbetet.
5. Utbilda
   Eftersom dataskyddsarbetet är en pågående process, är det viktigt att dataskyddsfrågorna blir en naturlig del av verksamheten. Det är viktigt att sprida medvetenhet och kunskap om dataskydd i hela organisationen.
   
   Det är viktigt att ha en bra säkerhetskultur då den mänskliga faktorn är den vanligaste orsaken till att personuppgiftsincidenter inträffar.
   
   Kontinuerligt löpande utbildning är viktigt för att öka kunskap och medvetenhet hos medarbetarna, för att möjliggöra att regelverken tillämpas i vardagen och för att hindra uppgifter från att läcka ut, förvanskas eller förstöras.
6. Glöm inte den ostrukturerad datan
   Idag utgör uppskattningsvis ca 80 % av all data inom organisationer ostrukturerad data.
   
   Ostrukturerad data omfattar de allra flesta uppgifter som finns i en organisation, och här gömmer sig även olika typer av personuppgifter.
   
   Alla organisationer behöver ha dokumenterade rutiner för hur ostrukturerad data hanteras och hur länge de ska sparas. Det är viktigt att även se till att all personal har fått information och utbildning i rutinerna och att säkerhetsställa att rutinerna hålls levande.
   
   E-post utgör också ostrukturerad data, vilken det är lätt att gömma bort. Många klagomål från medborgare handlar om hantering av personuppgifter i e-post.