Fem år sedan GDPR trädde i kraft – men hur ska dataskyddsarbetet fortsatt bedrivas?

Det har gått fem år sedan EU:s dataskyddsförordning, GDPR, trädde i kraft. Men det går inte att lägga dataskyddsarbetet åt sidan, utan det är något som man löpande behöver se över. Att så är fallet tydliggörs av tre av årets beslut från Integritetsskyddsmyndigheten, IMY.

Bristande information till enskilda – sanktionsavgift om 58 miljoner kr

Enligt GDPR har enskilda rätt att få information om vilka personuppgifter som en verksamhet behandlar om dem och på vilket sätt som personuppgifterna används. Verksamheter har en skyldighet att utan onödigt dröjsmål besvara sådana förfrågningar från enskilda. Att som verksamhet kunna leva upp till dessa krav, förutsätter ett uppdaterat och strukturerat register över de behandlingar av personuppgifter som förekommer i verksamheten.

IMY har granskat hur en musikstreamingtjänst tillhandahållit information till enskilda och i sitt beslut konstaterat att musikstreamingtjänsten visserligen gett ut de personuppgifter som bolaget behandlat, men inte tillräckligt tydligt informerat på vilket sätt de används. Det ska för den enskilde vara lätt att förstå hur bolaget använder personuppgifterna. Personuppgifter av teknisk karaktär kan behöva förklaras särskilt och inte bara på engelska, utan även på den enskildes eget språk. IMY har därför utfärdat en sanktionsavgift om 58 miljoner kronor mot musikstreamingtjänsten för bristande information om personuppgifternas användning.

Bristande informationssäkerhet – sanktionsavgift om 35 miljoner kr

GDPR ställer även krav på verksamheter att ha en god informationssäkerhet för de personuppgifter som den behandlar. Vidare bör verksamheten ha interna rutiner för att snabbt kunna hantera felaktig behandling av personuppgifter, så kallade personuppgiftsincidenter. Vikten av att kontinuerligt arbeta för att säkerställa en god teknisk säkerhet, belyses av IMY:s beslut gällande ett försäkringsbolag.

Försäkringsbolaget hade till en privatperson skickat e-mail med länk till en offertsida. Genom att gå in på offertsidan och byta ut några siffror i webbläsaren, kunde man komma åt andra försäkringstagares dokument, som innehöll bland annat namn, personnummer och uppgifter om ekonomi. Dessutom var även vissa uppgifter om hälsa tillgängliga, det vill säga så kallade känsliga personuppgifter som kräver extra skydd.

IMY har bedömt att försäkringsbolaget borde haft möjlighet att upptäcka och rätta till dessa grundläggande brister. Genom att inte göra så, har försäkringsbolaget behandlat personuppgifter i strid med GDPR och inte vidtagit lämpliga tekniska åtgärder. Bolaget har därför ålagts att betala en sanktionsavgift om 35 miljoner kr.

Bristande rutiner för att slippa direktmarknadsföring – sanktionsavgift om 350 000 kr

GDPR skyddar enskilda mot oönskad direktreklam. IMY har granskat hur ett stort internationellt modeföretag hanterat flera enskilda personers begäran om att slippa sådan marknadsföring. IMY har i sitt beslut konstaterat, dels att modeföretaget brutit mot GDPR:s regler om att utan onödigt dröjsmål upphöra med att hantera de klagandes personuppgifter för direktmarknadsföring, dels att det funnits brister i systemen och rutinerna avseende hanteringen av invändningarna så att de klagande inte, på ett enkelt sätt, kunnat tillvarata sin rätt att invända mot direktmarknadsföring. För dessa brister har modeföretaget ålagts att betala en sanktionsavgift om 350 000 kr.

Har ditt företag anpassat sig efter dataskyddsreglerna?

IMY:s beslut ovan visar på vikten av att ha ett uppdaterat register över de personuppgiftsbehandlingar som en verksamhet genomför, att ha rutiner för att skyndsamt kunna bemöta förfrågningar från enskilda, att ha kontroll på sin tekniska säkerhet samt att ha system, processer och rutiner för att löpande kunna tillgodose registrerades rätt att invända på ett lämpligt sätt och i rätt tid. Att löpande se över verksamhetens dataskyddsarbete är därför viktigt för att säkerställa att ert  företag lever upp till de krav som ställs. På Gulliksson har vi gedigen nationell och internationell erfarenhet på området. Vi är även vana vid att hantera frågeställningar som rör sig i gränslandet mellan teknologi och juridik. Om ni har frågor, funderingar eller behöver hjälp med att se över ert företags dataskyddsarbete, är ni välkomna att kontakta oss.