2017-06-15

Vad innebär en sanktionsavgift för statliga och kommunala myndigheter?

Sanktionsavgifter för statliga och kommunala myndigheter bör ses som en inriktning av; lika inför lagen. Det är trots allt risken för den registrerade som ska bedömas och dennes risk bör vara oberoende om det är oaktsamhet eller underlåtenhet från en privat- eller offentlig aktör.

Bakgrund

I det initiala skedet av tolkningarna av dataskyddsförordningen var det tydligt att sanktionsavgifter skulle påföras de privata aktörer som bröt mot dataskyddsförordningen. Detta innebar även att stor tyngdpunkt lades på att påvisa riskerna för de privata verksamheterna och att stora sanktionsavgifter var att vänta. Det var även definierat att sanktionsavgifterna skulle delas in i två nivåer. De delades upp i mindre allvarliga som kan resultera i sanktionsavgifter upp till 10 000 000 SEK och allvarliga överträdelser som kan resultera i sanktionsavgifter upp till 20 000 000 SEK. Allvarlighetsnivån definieras i artikel 83:4-5 i dataskyddsförordningen. 

I SOU2017:39 har följande remissförslag framförts: ”Sanktionsavgifter ska få tas ut även av statliga och kommunala myndigheter”. Detta innebär en ställningstagande där alla är lika inför lagen, det har tidigare varit lite oklart om sanktionsavgifterna enbart ska påföras privat verksamhet.

Vad innebär det för mig som statlig eller kommunal myndighet?

Börja analysera och systematiskt arbeta med dataskydd som standard då det i många fall är myndigheter som behandlar känslig information om medborgarna. Dataminimering bör byggas in så tidigt som möjligt i tekniska lösningar och processer i syfte att minska den totala datamängden.

Det kan exempelvis vara känslig information som hälsodata, utredningar kring neuropsykiatriska funktionsstörningar, behandling av uppgifter för minderåriga i exempelvis skola eller förskola, beräkningsgrunder för ekonomiskt bistånd eller andra former av bidrag som även kan finna stöd i sektorspecifik lagstiftning.

Det senaste förslaget från remissen innebär även att statliga eller kommunala myndigheter även kan påföras sanktionsavgifter enligt samma princip som privata aktörer. Detta är en stor förändring. 

Vad är det då statliga eller kommunala myndigheter behöver specifikt?

Veta vilken information som behandlas, med vilket syfte och laglig grund, detta görs enklast genom en registerinvetering, artikel 30.

Genomföra en konsekvensbedömning som utgår från skadan ur den registrerades perspektiv, artikel 35.  

Kommunikation med den registrerade samt att den registrerade kan påverka sina uppgifter, artikel 12-20.

Arbeta med inbyggt dataskydd och dataskydd som standard, artikel 25, 32. 

Införa en incidenthantering som hanterar incidenter som omfattas av personlig information, artikel 33-34. Denna bör även likformas med hantering av allvarliga it-incidenter enligt regeringens beslut från 2015-12-17 om du är en statlig myndighet.

Tillmötesgå kraven på dataöverföring, artikel 44-50.

Tillsätta ett dataskyddsombud som ska kunna stödja med rådgivning samt var kommunikationskanal med tillsynsmyndigheten samt registrerade, artikel 37-39. Dataskyddsombudet ställning och placering i organisationen möjliggör att den kan hyras som en tjänst och kan då underlätta personaltillsättningen.  

Alla dessa aktiviteter syftar till att behandling av personliga uppgifter görs på ett strukturerat och ändamålsenligt sätt samt att jag även ger uppgifterna en adekvat skyddsnivå och därmed även kan påvisa att verksamheten strävar efter att uppnå compliance inom GDPR och i slutändan reducera en eventuell sanktionsavgift.

Som kommunal eller statlig myndighet måste samtliga ovanstående punkter genomföras och just rollen som dataskyddsombud är obligatoriskt, för privat sektor är dataskyddsombudet inte alltid obligatoriskt utan bedöms efter verksamhetens art.

Om du inte har börjat ditt GDPR arbete bör du göra det nu.

 

Vill du veta mer?

Besök gärna https://www.atea.se/tjanster/it-sakerhet/ om du har frågor kring GDPR eller informationssäkerhet i allmänhet.