Alla som någon gång haft att göra med GDPR vet att IMY (Integritetsskyddsmyndigheten) är tillsynsmyndighet. Men vad innebär det och påverkar det ert företag? För det kommande året vet vi att IMY kommer att särskilt granska dataskyddsombudens roll och befogenheter, övervakning med kameror på platser dit allmänheten har tillträde samt behandling av personuppgifter som rör barn.
Många företag känner sig vilsna i hur de ska tyda GDPR och vad de behöver göra för att uppfylla regelkraven. Just detta är en viktig del av vad tillsynen handlar om – att fler än den granskade får veta vad som krävs för att följa reglerna. IMY:s tillsynsuppdrag handlar om att öka regelefterlevnaden, underlätta lärande och bidra till verksamhetsutveckling.
När IMY gör en tillsyn sker det antingen genom en inspektion (på plats hos en organisation) eller genom så kallad skrivbordstillsyn (frågor som organisationen ska svara på skriftligen). Vanligen får organisationen information i förväg om att en inspektion ska genomföras.
Tillsyn
IMY:s tillsynsverksamhet syftar till att säkerställa människors grundläggande fri- och rättigheter vid behandling av personuppgifter. Det finns tre skäl till att IMY gör en tillsyn: de har fått in ett klagomål, de ser en hög risk samt de har planerat att göra en tillsyn.
Klagomål
GDPR är till för att skydda den enskildes rätt till privatliv vid behandling av personuppgifter. Om någon anser att behandlingen av dennes personuppgifter sker på ett oriktigt sätt kan de klaga till IMY. IMY gör då en tillsyn för att granska den eventuella kränkning som den enskilde utsätts för, och vad som kan göras i det enskilda fallet men också för att få effekt på integritetsskyddet i stort.
Risk
Ibland finns det risker med en viss personuppgiftsbehandling; beroende på behandlingens sammanhang, ny teknik eller att det finns ett behov av praxis. Risker kan också påverkas av händelser i omvärlden som kan medföra allvarliga risker för den personliga integriteten och därför ligga till grund för riskbaserad tillsyn.
Plan
Det tredje skälet att IMY genomför tillsyn, är för att de har planerat en översyn av vissa företeelser eller vissa typer av verksamheter. Här finns två varianter: att IMY har krav på sig att granska vissa verksamheter eller att de utifrån en riskbedömning anser att en verksamhet bör granskas.
Tillsyn 2023
Dataskyddsombud
Just i år vill IMY undersöka dataskyddsombudens roll och ställning (artiklarna 37-39 i GDPR) genom ett ökat antal kontroller. Ett dataskyddsombud behövs om ni till exempel är en myndighet, har övervakning som kärnverksamhet eller om kärnverksamheten består av behandling av särskilda kategorier av personuppgifter (som etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, hälsa eller uppgifter om en fysisk persons sexuella läggning) i stor omfattning.
Dataskyddsombud | IMY
Kamerabevakningslagen
En ökad granskning kommer att ske av kamerabevakning där allmänheten har tillträde. Det är viktigt att veta att bara viss kamerabevakning kräver tillstånd från IMY, men den som bevakar måste följa reglerna i dataskyddsförordningen och kamerabevakningslagen.
Kamerabevakning för verksamheter | IMY
Brottsdatalagen
IMY kommer att koncentrera sina kontroller till behandlingar av personuppgifter rörande barn. Tidigare beslut IMY tagit om denna lag gällde polisens användning av en applikation för ansiktsigenkänning vilket innebar en överträdelse av brottsdatalagen med stora potentiella skadeverkningarna, något som medförde en sanktionsavgift.
Polismyndigheten har överträtt brottsdatalagen – Förvaltningsrätten i Stockholm (domstol.se)
Korrigerande befogenheter
IMY är tillsynsmyndighet för så mycket mer än GDPR (som brottsdatalagen, kreditupplysningslagen och inkassolagen), men personuppgiftslagstiftningen är den som har fått mest uppmärksamhet – mest för att sanktionsavgifterna kan bli så höga. En organisation som inte följer GDPR kan få 20 miljoner euro eller fyra procent (beroende på vilket belopp som är högst) av den globala årsomsättningen i sanktionsavgift.
Andra åtgärder IMY kan ta till mot en organisation som bryter mot reglerna, eller riskerar att bryta mot reglerna, är varningar, reprimander, förelägganden, begränsningar och förbud. Det är alla till synes ganska harmlösa tillrättavisningar och på sin höjd ett förbud mot en behandling, men det är ändå allvarligt eftersom det i grunden är de mänskliga rättigheterna som IMY är ute efter att skydda.
Vi på 2Secure vet att ni som arbetar med säkerhet ofta är ganska ensamma i er organisation, samtidigt som arbetsbördan är hög. Därför har vi utvecklat vår tjänst Rådgivning och kompetens, där våra konsulter ger er stöd i ert systematiska informationssäkerhetsarbete. Vårt mål är att vara en flexibel resurs som kan bistå er under arbetsintensiva perioder eller som extra stöd i projekt – på ett sätt som bäst passar er verksamhet.
Vill du ha hjälp med ert systematiska informationssäkerhetsarbete eller vill veta mer om vårt affärsområde Informationssäkerhet?
Kontakta Erik Baumgardt