WHITE PAPER. Datainspektionen

Transkript

1 WHITE PAPER Datainspektionen

2 Detta whitepaper handlar om datainspektionens roll som tillsynsmyndighet vad gäller dataskyddsförordningen (GDPR). När du läst igenom dokumentet hittar du ett flertal stödmallar på området i DokuMeras dokumentmallsbas under: Alla mallar>dataskyddsförordningen och PuL>Dataskyddsförordningen

3 Hur övervakas tillämpningen av dataskyddsförordningen? Varje medlemsstat i Europeiska unionen ska bestämma att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av dataskyddsförordning när den börjar tillämpas från och med den 25 maj En sådan tillsynsmyndighet ska vara fullständigt oberoende i utförandet av sina uppgifter. Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt dataskyddsförordningen inom sin egen medlemsstats territorium. I Sverige har det föreslagits att Datainspektionen ska utses till tillsynsmyndighet enligt dataskyddsförordningen. Varje medlemsstat får enligt förordningen ge sin tillsynsmyndighet ytterligare befogenheter, så länge sådana inte påverkar effektiviteten i samverkan mellan tillsynsmyndigheterna i de olika medlemsstaterna. Det har föreslagits att det saknas behov av att föreskriva att Datainspektionen ska ha ytterligare befogenheter utöver dem som följer av förordningen, då uppräkning av vilka befogenheter en tillsynsmyndighet ska ha är omfattande och tillräckliga för att myndigheten ska kunna fullgöra sina uppgifter. Några ytterligare befogenheter på nationell nivå utöver dem som följer av förordningen anses det inte finnas behov av. 1 Vilka uppgifter ska tillsynsmyndigheten ha? Varje tillsynsmyndighet ska övervaka tillämpningen av bestämmelserna i dataskyddsförordningen och bidra till att tillämpningen blir enhetlig över hela unionen, för att skydda fysiska personer vid behandling av deras personuppgifter och för att underlätta det fria flödet av personuppgifter inom den inre marknaden. För detta ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med EU-kommissionen. Förutom att övervaka efterlevnaden av dataskyddsförordningen ska en tillsynsmyndighet ansvara för en rad olika uppgifter. Den ska exempelvis på begäran tillhandahålla information till registrerade om hur de ska utöva sina rättigheter enligt dataskyddsförordningen, och om så krävs samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål. Myndigheten kan utföra undersökningar om tillämpningen av förordningen, inbegripet på grundval av information som erhålls från en annan tillsynsmyndighet eller annan myndighet. Den ska upprätta, föra och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av förordningens krav på när en konsekvensbedömning avseende dataskydd ska göras. Den får även, men behöver inte, upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som inte kräver någon konsekvensbedömning. En uppgift är att yttra sig över och godkänna uppförandekoder som sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden får utarbeta i syfte att specificera tillämpningen av förordningen. Öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling ska också ingå i myndighetens uppgifter. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn. Den ska även hålla arkiv över

4 överträdelser av förordningen och åtgärder som vidtagits i enlighet med de korrigerande befogenheterna, se i det följande. Utförandet av alla tillsynsmyndigheters uppgifter ska vara avgiftsfritt för den registrerade och, i tillämpliga fall, för dataskyddsombudet. Klagomål Varje tillsynsmyndighet ska underlätta inlämningen av klagomål genom åtgärder såsom ett särskilt formulär för ändamålet, vilket också kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts. En uppgift är nämligen att behandla klagomål från bl.a. en registrerad och där så är lämpligt undersöka den sakfråga som klagomålet gäller och inom rimlig tid underrätta den enskilde om hur undersökningen fortskrider och om resultatet. Varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot dataskyddsförordningen ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks. 2 Tillsynsmyndighet ska ha en underrättelseskyldighet till den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir. Varje registrerad person har rätt till ett effektivt överklagande, enligt förordningen, om tillsynsmyndighet underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur det fortskrider med det klagomål som ingetts eller vilket beslut som har fattats med anledning av det. Talan mot en tillsynsmyndighet ska väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte. I Sverige finns ett lagförslag som innebär att om tillsynsmyndigheten inte inom tre månader från den dag då ett klagomål kom in till myndigheten har behandlat klagomålet, ska tillsynsmyndigheten på skriftlig begäran av den registrerade antingen lämna besked i frågan om myndigheten avser att utöva tillsyn med anledning av klagomålet, eller i ett särskilt beslut avslå begäran om besked. Ett sådant besked eller beslut ska meddelas inom två veckor från den dag då begäran om besked kom in till myndigheten. Detta innebär att tillsynsmyndigheten inte kan välja att förhålla sig helt passiv. Tillsynsmyndighetens beslut att avslå en begäran om besked får överklagas till allmän förvaltningsdomstol. Om domstolen bifaller överklagandet, ska den förelägga tillsynsmyndigheten att inom en bestämd tid lämna besked till den registrerade i frågan om tillsyn kommer att utövas. Domstolens beslut får inte överklagas. Detta innebär att det föreslås en rätt till dröjsmålstalan i domstol avseende tillsynsmyndighetens handläggning av ett klagomål. Vilka befogenheter ska tillsynsmyndigheten ha? Varje tillsynsmyndighet ska ha en rad olika befogenheter som tilldelas dessa direkt genom dataskyddsförordningen. I Sverige finns ett lagförslag om att de befogenheter som tillsynsmyndigheten har enligt förordningen också gäller vid tillsyn över efterlevnaden av bestämmelserna i de svenska lagarna som kompletterar dataskyddsförordningen. Utredningsbefogenheter När det gäller de s.k. utredningsbefogenheterna ska varje tillsynsmyndighet kunna beordra exempelvis den personuppgiftsansvarige eller personuppgiftsbiträdet att lämna all information som myndigheten behöver för att kunna fullgöra sina uppgifter. Om de inte

5 skulle göra det, så har tillsynsmyndigheten befogenheter att påföra den högre administrativa sanktionsavgiften. Den har även befogenheter att exempelvis genomföra undersökningar i form av dataskyddstillsyn och från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter. Tillträde till lokaler Dataskyddsförordningen ger tillsynsmyndigheten en ovillkorlig rätt att få tillträde till en personuppgiftsansvarigs eller ett personuppgiftsbiträdes lokaler inbegripet tillgång till all utrustning och alla andra medel för behandling av personuppgifter i. Detta ska ske i överensstämmelse med unionens processrätt eller medlemsstaternas nationella processrätt. 3 I Sverige kan en undersökning av lokalerna i de allra flesta fall ske med innehavarens medgivande. I vart fall torde risken för att tillsynsmyndigheten annars beslutar om tillfälligt förbud mot behandlingen med stöd av dess korrigerande befogenheter. Detta kan göra innehavaren tillräckligt benägen att ge tillsynsmyndigheten det tillträde den har rätt till. Detta gäller i synnerhet då en underlåtelse att rätta sig efter ett föreläggande eller att ge tillsynsmyndigheten tillgång till uppgifter kan medföra att de högre administrativa sanktionsavgifterna tas ut. Det har inte i Sverige föreslagits några möjligheter att tillgripa tvångsåtgärder för att genomföra en platsundersökning. Det anses vara olämpligt med tanke på de integritetsrisker som ett sådant förfarande skulle kunna föranleda. Korrigerande befogenheter Varje tillsynsmyndighet har befogenhet att utfärda varningar till en personuppgiftsansvarig eller ett personuppgiftsbiträde om att planerade behandlingar sannolikt kommer att bryta mot bestämmelserna i dataskyddsförordningen. Den kan även utfärda reprimander till en personuppgiftsansvarig eller ett personuppgiftsbiträde om behandling bryter mot bestämmelserna i dataskyddsförordningen. Denna typ av befogenheter kallas för korrigerande befogenheter. Den kan även förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet om att utföra vissa åtgärder bl.a. att tillmötesgå den registrerades begäran att få utöva sina rättigheter eller att se till att behandlingen sker i enlighet med bestämmelserna i dataskyddsförordning. Myndigheten kan införa en tillfällig eller definitiv begränsning av samt ett förbud mot behandling av personuppgifter. Den kan även förelägga om att flödet av uppgifter till en mottagare i tredje land eller en internationell organisation ska avbrytas. Ett påförande av administrativa sanktionsavgifter antingen utöver eller i stället för nämnda åtgärder, beroende på omständigheterna i varje enskilt fall, är också en korrigerande befogenhet som behandlas i det följande.

6 Övriga befogenheter: tillstånd och råd Varje tillsynsmyndighet ska även ha befogenheter att dels utfärda tillstånd, dels att ge råd. Nedan ges vissa exempel. Den kan ge råd till den personuppgiftsansvarige i enlighet med förfarandet för förhandssamråd. Den personuppgiftsansvarige ska samråda med tillsynsmyndigheten före behandling om en konsekvensbedömning avseende dataskydd visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken. Myndigheten kan även ge råd på eget initiativ eller på begäran avge yttranden till t.ex. det nationella parlamentet, medlemsstatens regering i frågor som rör skydd av personuppgifter. 4 Den kan även avge ett yttrande om och godkänna utkast till uppförandekoder som sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden får utarbeta i syfte att specificera tillämpningen av förordningen. Utfärda certifieringar och godkänna kriterier för certifiering samt ackreditera certifieringsorgan ska myndigheten även ha befogenheter för. Administrativa sanktionsavgifter Varje tillsynsmyndighet ska säkerställa att administrativa sanktionsavgifter för sådana överträdelser som anges i dataskyddsförordningen i varje enskilt fall är effektivt, proportionellt och avskräckande. Dessa sanktionsavgifter är en av de stora skillnaderna i jämförelse med dagens personuppgiftslag. De har införts för att säkerställa att dataskyddsförordningen följs. De administrativa sanktionsavgifter ska, beroende på omständigheterna i det enskilda fallet, ges utöver eller i stället för de andra åtgärderna som tillsynsmyndigheten kan vidta. Vid beslut om huruvida administrativa sanktionsavgifter ska ges och vilket belopp det ska vara i varje enskilt fall ska vederbörlig hänsyn tas till en rad faktorer. Dessa är bl.a. överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit. Hänsyn ska även tas till de åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet har vidtagit för att lindra den skada som de registrerade har lidit. Graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen och minska dess potentiella negativa effekter är också en faktor. Även på det sätt som överträdelsen kom till tillsynsmyndighetens kännedom ska beaktas, särskilt huruvida och i vilken omfattning den personuppgiftsansvarige eller personuppgiftsbiträdet anmälde överträdelsen. Sammanfattningsvis påverkar även ev. annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen. Den lägre sanktionsavgiften Vid överträdelser av vissa bestämmelser ska det påföras administrativa sanktionsavgifter på upp till EUR eller, om det gäller ett företag, på upp till 2 % av den totala globala

7 årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. Alla överträdelser nedan är exempel och avser de personuppgiftsansvarigas och i vissa fall personuppgiftsbiträdenas skyldigheter enligt vissa bestämmelser som reglerar nedanstående. Villkor för barns samtycke avseende informationssamhällets tjänster Behandling som inte kräver identifiering Inbyggt dataskydd och dataskydd som standard Gemensamt personuppgiftsansvariga Relationen mellan personuppgiftsbiträden och personuppgiftsansvariga Förteckning över behandling av personuppgifter Lämplig säkerhetsnivå i samband med behandling Personuppgiftsincidenter Konsekvensbedömning avseende dataskydd och förhandssamråd Olika bestämmelser om dataskyddsombud 5 Den högre sanktionsavgiften Vid visa andra överträdelser ska det i stället påföras administrativa sanktionsavgifter på upp till EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. Alla överträdelser nedan är exempel och avser de personuppgiftsansvarigas och i vissa fall personuppgiftsbiträdenas skyldigheter enligt vissa bestämmelser som reglerar nedanstående. Alla grundläggande principer för behandling av personuppgifter som alltid gäller Att åtminstone en av de lagliga grunderna tillämpas för varje behandling av personuppgifter Villkoren för samtycke (en laglig grund) Behandlingen av särskilda kategorier (känsliga) personuppgifter Information till de registrerade De registrerades olika rättigheter att begära t.ex. rättelse, radering m.m. Automatiserat individuellt beslutsfattande, inbegripet profilering Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation Den högre sanktionsavgiften kan även komma ifråga vid underlåtenhet att rätta sig efter vissa förelägganden från tillsynsmyndigheten. Vissa riktlinjer Vid en mindre överträdelse eller om den sanktionsavgift som sannolikt skulle utdömas skulle innebära en oproportionell börda för en fysik person får, enligt dataskyddsförordningen, en reprimand utfärdas i stället för sanktionsavgifter. Det anges också att om de administrativa sanktionsavgifterna åläggs personer som inte är ett företag, bör tillsynsmyndigheten ta hänsyn till den allmänna inkomstnivån i medlemsstaten och personens ekonomiska situation, när den överväger lämplig sanktionsavgift.

8 Sverige Varje medlemsstat får fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlemsstaten. I Sverige finns det ett lagförslag som innebär att regleringen avseende påförande av sanktionsavgifter som finns i dataskyddsförordningen även ska gälla vid beslut mot myndigheter. Avgiftens storlek i det enskilda fallet ska också bestämmas med beaktande av vad som anges i förordningen, men inom de beloppsmässiga ramar som framgår av lagförslaget. Beloppen som avser den lägre avgiften ska bestämmas till högst kronor och när det gäller den höga avgiften till högst kronor. Det finns också ett lagförslag som anger att den högre administrativa sanktionsavgiften även ska vara möjlig i Sverige för överträdelser mot bestämmelserna om behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott. 6 I förordningen finns ingen reglering om någon tidsgräns för när sanktionsavgifter får beslutas. Däremot har det föreslagits en lag i Sverige att om kommunikation inte har skett mot den som ska påföras avgiften inom fem år från överträdelsen får den helt enkelt inte påföras. Bevisbördan för att kommunikation har skett åligger tillsynsmyndigheten. Det föreslås också att en sanktionsavgift som beslutats enligt dataskyddsförordningen eller den svenska kompletteringslagstiftningen ska tillfalla staten. Rätt att överklaga beslut av tillsynsmyndigheten Rättsligt bindande beslut Varje fysisk eller juridisk person ska ha rätt att överklaga ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet. Sådana beslut avser särskilt tillsynsmyndighetens utövande av utrednings-, korrigerings- och godkännandebefogenheter. Rätten att överklaga inbegriper dock inte åtgärder som vidtagits av tillsynsmyndigheter när dessa inte är rättsligt bindande, såsom yttranden som avgivits eller rådgivning som tillhandahållits av myndigheten. En talan mot ett beslut ska väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte och ska genomföras i enlighet med den medlemsstatens nationella processrätt. I Sverige finns ett lagförslag att tillsynsmyndighetens beslut får överklagas till allmän förvaltningsdomstol. Konkret kommer det att innebära Förvaltningsrätten i Stockholm och prövningstillstånd kommer att krävas vid överklagande till Kammarrätten i Stockholm.

9 Om DokuMera Hos alla företag stora som små finns möjligheten att arbeta effektivare genom att använda sig av färdiga mallar. Avancerade dokument är tidsödande att upprätta samtidigt som de kräver expertkunskap för framtagandet. Och som vi alla vet: Experter kostar pengar - mycket pengar. DokuMera är ett B2B-företag som hjälper människor i svenska företag till en lönsammare och bekvämare tillvaro genom att tillhandahålla digitala dokument via internet. Tillsammans med sakkunniga experter har vi under åren tagit fram tusentals mallar för bland annat juridiska och ekonomiska dokument som säljs både via e-handel och genom personlig försäljning. Under åren har DokuMera utvecklat Sveriges största databas av digitala, exempelbaserade dokumentmallar, riktade mot företag och organisationer. Produkterna laddas enkelt ned från Internet av våra kunder - företag och organisationer - och kan köpas styckvis eller genom att teckna ett årsabonnemang. info@dokumera.se