Sammanställning av resultatet från granskningen av dataskyddsombud i offentlig och privat sektor

Relevanta dokument
Varför granskar Datainspektionen er verksamhet?

Personuppgiftsansvarig och personuppgiftsbiträde

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

Tillsyn. Räddningstjänsten i Östra Skaraborg

Allmänna Råd. Datainspektionen informerar Nr 3/2017

GDPR- Vad har hänt och hur ser tillämpningen ut?

Bilaga 4 förslag till ändring i förordningen (2015:665) om statliga myndigheters anslutning till Statens servicecenters tjänster

Sammanställning av Datainspektionens möten med verksamheter hösten 2018

Information om behandling av personuppgifter

MOTPARTER 2017 Sidan 1 (5)

Bilaga. Affärsverket svenska kraftnät. Allmänna reklamationsnämnden. Arbetsdomstolen. Arbetsförmedlingen. Arbetsgivarverket.

GDPR- Vad har hänt och hur ser tillämpningen ut?

Anmälda personuppgiftsincidenter 2018

Siffror och diagram om medlemsantal, organisationsgrad och kollektivavtalstäckning

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

GDPR- Seminarium 2017

Dataskyddsombud, organisation och finansiering

EU:s allmänna dataskyddsförordning:

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

När en konsekvensbedömning ska genomföras

Dataskyddsförordningen

Information till personuppgiftsansvarig om dataskyddsombud

EU:s dataskyddsförordning

EU:s dataskyddsförordning

Ett eller flera dataskyddsombud?

Hur står det till med den personliga integriteten? (SOU 2016:41)

Myndigheter som undantas från och omfattas av ekonomiadministrativ värdering för 2018

Myndigheter som omfattas av och undantas från ekonomiadministrativ värdering för 2017

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Svensk författningssamling

Sacos medlemsstatistik

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Svensk författningssamling

SVENSKA GYMNASTIKFÖRBUNDETS INTEGRITETSPOLICY

Datainspektionen informerar

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Medlemsstatistik års forsknings-h

Svensk författningssamling

Handläggning av personuppgiftsincidenter

Myndigheter som omfattas av och undantas från ekonomiadministrativ värdering som avser 2015

Praktik i staten 2019

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

SOU 2017:10 Ny ordning för att främja god sed och hantera oredlighet i forskning

Datainspektionens riktlinjer för förebyggande och korrigerande befogenheter samt administrativa sanktionsavgifter enligt brottsdatalagen

3 Tillsättning av dataskyddsombud för hälso- och sjukvårdsnämndens personuppgiftsbehandlin gar HSN

Betänkandet Etikprövning en översyn av reglerna om forskning och hälso- och sjukvård (SOU 2017:104)

Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

Hantering av personuppgifter i Ekobrottsmyndighetens verksamhet

5 november Förteckning över externa koncernkoder i alfabetisk ordning

Dataskyddsförordningen

Förteckning enligt artikel 35.4 i Dataskyddsförordningen

Snabbare lagföring (Ds 2018:9)

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

SAMMANTRÄDESPROTOKOLL 309 Styrelsen för Videum AB Organisationsnummer:

Myndigheter som omfattas av och undantas från ekonomiadministrativ värdering för 2016

Så behandlar vi dina personuppgifter

Tabell 8. Rankingpoäng utifrån kvaliteten på myndigheters miljöpolicy, miljömål och måluppfyllelse

Integritetspolicy för Örebro Rättighetscenter mot diskriminering

Myndighet Totalt (%) Kvinnor (%) Män (%) Fastighetsmäklarinspektionen 9,8 12,6 ** Riksutställningar 9,7 17,2 1,0 Statens

Myndighet Totalt (%) Kvinnor (%) Män (%) Affärsverket svenska kraftnät 3,0 5,8 1,4 Allmänna reklamationsnämnden 2,8 3,1 2,3

Dataskyddsförordningen

Dataskyddsförordningen

Behandling av personuppgifter hos S:t Erik Livförsäkring AB. Information till registrerade

PERSONUPPGIFTSBITRÄDESAVTAL

Dataskyddsombud för miljö- och hälsoskyddsnämnden

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Datainspektionens författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Återrapportering av tidsanvändningsstatistik för kalenderåret 2014

UG 1 (2) 1 Sökande Namn/företag Person-/organisationsnummer Innehav. Postnummer Ort Land

Remiss av betänkandet En långsiktig, samordnad och dialogbaserad styrning av högskolan (SOU 2019:6)

Kategorier av personuppgifter och ändamål med behandlingar. Definitioner av begrepp:

Antagen av HSNÖ Ersättare vid förhinder. Ansvarig för anmälan till nämnden. Ordförande. Nämndsekreterare. ordförande

Innehåll. Protokoll av 2

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Svensk författningssamling


Dataskyddsförordningen (GDPR)

Bilaga 6. Statliga myndigheter m.m.

Korpens integritetsskyddspolicy

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

Dataskyddsförordningen för prefekter och administrativa chefer

Remiss av delbetänkandet Ökad trygghet för studerande som blir sjuka (SOU 2018:9)

Arbetsgivarverket ska, inom sitt ansvarsområde, svara för sådan information, rådgivning och utbildning som myndigheterna behöver.

Myndigheter enligt bilaga. 1 bilaga

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Svensk författningssamling

Tillsyn av kameraövervakning över

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Behandling av personuppgifter vid Försvarsmakten och Försvarets radioanstalt (SOU 2018:63)

Antagen av HSN N Ersättare vid förhinder. Ansvarig för anmälan till nämnden. Ordförande. Nämndsekreterare. ordförande

Riktlinjer för hantering av personuppgifter

Information om behandling av personuppgifter på Tellus bostadsrättsförening

Remiss. Ds Ny lag om koordineringsinsatser inom hälso- och sjukvården

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Transkript:

Datum 1 (6) 2018-10-22 Sammanställning av resultatet från granskningen av dataskyddsombud i offentlig och privat sektor Sammanfattning av resultatet Granskningen visar att majoriteten av de granskade myndigheterna och privata aktörerna har anmält och utsett ett dataskyddsombud i tid. Datainspektionen har konstaterat brister i cirka 14 procent av de strax över 400 verksamheter som ingått i granskningen. Det är en marginell skillnad i efterlevnaden av reglerna mellan myndigheter och privata aktörer. Av totalt 66 tillsynsärenden har Datainspektionen beslutat att ge reprimander i 57 fall. I två fall har tillsynsobjekten fått ett föreläggande och sju fall har avslutats utan åtgärd. Inledning Datainspektionen inledde i slutet av maj 2018 en granskning av om dataskyddsombud utsetts inom ett antal verksamheter. Detta är en sammanställning av resultatet från granskningen. Enligt artikel 37 i dataskyddsförordningen 1 (GDPR) är en myndighet eller ett offentligt organ skyldigt att utse ett dataskyddsombud. Även privata aktörer har en sådan skyldighet enligt artikeln om kärnverksamheten innebär en regelbunden, systematisk övervakning av enskilda personer i stor omfattning eller att kärnverksamheten innebär en behandling av känsliga personuppgifter eller uppgifter om brott i stor omfattning. Enligt samma artikel finns det även en skyldighet att meddela dataskyddsombudets kontaktuppgifter till Datainspektionen. 1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

2 (6) De ärenden som handlagts inom ramen för tillsynsprojektet kan delas in i två kategorier: statliga förvaltningsmyndigheter och privata aktörer. De privata aktörerna representerar sex branscher. Det är banker, teleoperatörer, försäkringsbolag, fackförbund, kollektivtrafikbolag och vårdgivare. Totalt har 412 verksamheter kontrollerats, 66 verksamheter har granskats närmare, varav 35 myndigheter och 31 privata aktörer. 2 Redovisning av resultatet från tillsynen Sammanställningen av tillsynsärendena visar att det finns fyra olika typer av ärenden. Den första kategorin är de objekt som gjort rätt från början och där man utsett och meddelat dataskyddsombud senast den 25 maj 2018. Den andra kategorin är objekt som utsett ett dataskyddsombud och/eller meddelat kontaktuppgifterna till Datainspektionen först efter den 25 maj 2018 men under granskningen dvs. före inspektionen fattat ett tillsynsbeslut. Den tredje kategorin är de objekt som fortfarande vid tidpunkten för tillsynsbesluten inte utsett ett dataskyddsombud och/eller meddelat kontaktuppgifterna till Datainspektionen. Därtill kommer en fjärde kategori som omfattar ett ärende där inspektionen konstaterat att det inte finns någon skyldighet för objektet att utse ett dataskyddsombud. Tillsynsärenden i kategori ett och fyra har avslutats utan åtgärd. De har antingen gjort rätt från början eller så har Datainspektionen konstaterat att det inte finns en skyldighet att utse ett dataskyddsombud för den personuppgiftsansvarige. Sju av tillsynsärendena hör till den här kategorin. Dessutom hör alla de verksamheter som ingått i underlaget och där Datainspektionen valt att inte inleda ett särskilt tillsynsärende till den här kategorin. Totalt är det 346 verksamheter av de 412 som ingått i underlaget som tillhör den här kategorin. Ärenden i kategori två har avslutats med att tillsynsobjekten tilldelats varsin reprimand för överträdelsen. Att inte ha utsett och meddelat 2 Urvalsprocessen omfattade tillsynsobjekt där det finns en skyldighet att utse ett dataskyddsombud enligt dataskyddsförordningen. Projektgruppen har, inom ramen för urvalsprocessen, gått igenom 412 myndigheter och privata aktörer och kontrollerat om de finns bland de anmälningar avseende dataskyddsombud som skickats in till Datainspektionen. De tillsynsobjekt som slutligen granskats är sådana där anmälan inte gjorts till inspektionen när granskningen inleddes. Som framgår nedan under resultatet av tillsynen är det ett par av tillsynsobjekten som, trots genomgången av anmälningarna, visat att de utsett och anmält ett ombud i tid.

3 (6) dataskyddsombud till Datainspektionen kan föranleda en administrativ sanktionsavgift. 3 Det huvudsakliga skälet till varför besluten stannat vid en reprimand istället för en administrativ sanktionsavgift är den relativt korta tid som förflutit sedan den 25 maj 2018. Totalt rör det sig om 57 ärenden i kategori två och som är fördelade enligt följande; 31 myndigheter 3 banker 4 försäkringsbolag 1 kollektivtrafikbolag 4 teleoperatörer 12 fackförbund 2 privata vårdgivare. Ärenden i kategori tre, dvs. de två objekt som fortfarande vid tidpunkten för tillsynsbesluten inte utsett ett dataskyddsombud och/eller meddelat kontaktuppgifterna till Datainspektionen, har avslutats med att tillsynsobjekten tilldelats varsitt föreläggande för överträdelsen. Slutsatser om regelefterlevnaden Det är intressant att jämföra hur väl myndigheterna och de sex olika branscherna följer kravet på att utse ett dataskyddsombud i ljuset av de strax över 400 myndigheter och privata aktörer som Datainspektionen haft med i urvalsprocessen. Det ger en indikation såväl på hur det ser ut totalt som hur väl myndigheterna som grupp och respektive bransch följer kravet på att utse ett dataskyddsombud. Av de objekt som ingått i urvalet har Datainspektionen konstaterat brister i 14.3 % (59 av 412) av de strax över 400 verksamheter som ingått i granskningen. Fördelat på respektive kategori och bransch ser det ut så här: Myndigheter: Av de 243 myndigheter som fanns med i urvalet har Datainspektionen konstaterat brister i 33 fall. I procent räknat motsvarar antalet fall med brister ca 14 procent. Privata aktörer: av de 169 privata aktörer som fanns med i urvalet har Datainspektionen konstaterat brister i 26 fall. I procent räknat motsvarar antalet fall med brister drygt 15 procent. De privata aktörerna fördelar sig enligt följande: 3 Artikel 83 p. 4 (a) dataskyddsförordningen samt 6 kap. 2 lagen (2018:218) om kompletterande bestämmelser till EU:s dataskyddsförordning

4 (6) Banker: Av de 41 banker som fanns med i urvalet har Datainspektionen konstaterat brister i 3 fall. Försäkringsbolag: Av de 50 försäkringsbolag som fanns med i urvalet har Datainspektionen konstaterat brister i 4 fall. Kollektivtrafik: Av de 9 företag inom kollektivtrafik som fanns med i urvalet har Datainspektionen konstaterat brister i 1 fall. Teleoperatörer: Av de 8 teleoperatörer som fanns med i urvalet har Datainspektionen konstaterat brister i 4 fall. Fackförbund: Av de 51 som fanns med i urvalet har Datainspektionen konstaterat brister i 12 fall. Privata vårdgivare: av de 10 privata vårdgivare som fanns med i urvalet har Datainspektionen konstaterat brister i 2 fall. Av de verksamheter som granskats särskilt i tillsynsärende kan Datainspektionen konstatera att väldigt många har valt att efterkomma kraven under den pågående granskningen. Endast i två fall kvarstår det brister, vilket lett till förelägganden. Det kan också konstateras att skillnaden i regelefterlevnad mellan myndigheter och privata aktörer är marginell. Vissa branscher utmärker sig dock negativt 4. Det gäller särskilt teleoperatörer där fyra av åtta bolag inte levt upp till kraven. Även fackförbund utmärker sig negativt vid en jämförelse med snittet. /Projektgruppen Bilagor: 1. Översikt tillsynsobjekt och korrigerande befogenhet m.m. 4 Mot bakgrund av att antalet objekt i vissa kategorier är relativt lågt så finns det anledning att vara försiktig vid tolkningen av den procentuella fördelningen.

Bilaga 1 5 (6) Myndighet Ärendenummer Åtgärd Blekinge tekniska högskola DI-2018-8743 Reprimand Bokföringsnämnden DI-2018-8745 Ingen åtgärd Centrala Studiestödsnämnden DI-2018-8746 Ingen åtgärd Energimarknadsinspektionen DI-2018-8747 Reprimand Forskningsrådet för hälsa, arbetsliv och välfärd DI-2018-8749 Reprimand Forum för levande historia DI-2018-8750 Föreläggande Gentekniknämnden DI-2018-8751 Föreläggande Inspektionen för socialförsäkring DI-2018-8752 Reprimand Inspektionen för strategiska produkter DI-2018-8753 Reprimand Konstfack DI-2018-8754 Reprimand Kungliga Biblioteket DI-2018-8755 Reprimand Kungliga Konsthögskolan DI-2018-8756 Reprimand Kungliga Musikhögskolan i Stockholm DI-2018-8757 Reprimand Mittuniversitetet DI-2018-8759 Reprimand Myndigheten för delaktighet DI-2018-8760 Reprimand Myndigheten för familjerätt och DI-2018-8761 Reprimand föräldraskapsstöd Myndigheten för kulturanalys DI-2018-8762 Reprimand Myndigheten för tillgängliga medier DI-2018-8763 Reprimand Nämnden mot diskriminering DI-2018-8764 Reprimand Patentombudsnämnden DI-2018-8765 Reprimand Regionala etikprövningsnämnden i Göteborg DI-2018-8766 Reprimand Regionala etikprövningsnämnden i Linköping DI-2018-8767 Reprimand Regionala etikprövningsnämnden i Stockholm DI-2018-8769 Reprimand Regionala etikprövningsnämnden i Umeå DI-2018-8770 Reprimand Rättshjälpsmyndigheten DI-2018-8771 Reprimand Sameskolstyrelsen DI-2018-8772 Reprimand Statens ansvarsnämnd DI-2018-8773 Reprimand Statens center för arkitektur och design DI-2018-8774 Reprimand Statens försvarshistoriska museer DI-2018-8775 Reprimand Statens haverikommission DI-2018-8776 Reprimand Statens servicecenter DI-2018-8777 Reprimand Statens skaderegleringsnämnd DI-2018-8778 Reprimand Statskontoret DI-2018-8779 Reprimand Sveriges lantbruksuniversitet DI-2018-8780 Reprimand Örebro universitet DI-2018-8781 Reprimand

6 (6) Privata aktörer Ärendenummer Åtgärd Banker Forex bank aktiebolag DI-2018-8783 Reprimand Resurs bank aktiebolag DI-2018-8785 Reprimand Tjusbygdens Sparbank bankaktiebolag DI-2018-8786 Reprimand Försäkringsbolag Danica Pension Försäkringsaktiebolag DI-2018-8789 Ingen åtgärd Idun Liv Försäkring AB DI-2018-8790 Reprimand Accept Försäkringsaktiebolag DI-2018-8791 Reprimand DARAG Försäkring AB DI-2018-8792 Reprimand Solid Försäkringsaktiebolag DI-2018-8793 Reprimand Kollektivtrafik Norrbottens busstrafik AB DI-2018-8794 Ingen åtgärd Västtrafik AB DI-2018-8795 Ingen åtgärd Svealandstrafiken AB DI-2018-8796 Reprimand Teleoperatörer Tele2 DI-2018-8797 Reprimand Telia Sonera Sverige DI-2018-8798 Reprimand A3 Privat AB DI-2018-8799 Ingen åtgärd Fello AB DI-2018-8800 Reprimand My Beat DI-2018-8801 Reprimand Fackförbund FTF facket för försäkring och finans DI-2018-8803 Reprimand SLFF Svensk lokförarförening DI-2018-8804 Reprimand Sveriges universitetslärare och forskare DI-2018-8806 Reprimand Sveriges Veterinärförbund DI-2018-8807 Reprimand SACO förbundet för trafik och järnväg DI-2018-8808 Reprimand Sveriges arkitekter DI-2018-8809 Reprimand Säljarnas riksförbund DI-2018-8811 Reprimand Sveriges Tandläkarförbund DI-2018-8812 Reprimand Fackförbundet för akademiker i DI-2018-8813 Reprimand samhällsbärande professioner Brandmännens riksförbund DI-2018-8814 Reprimand Kyrkans akademikerförbund DI-2018-8815 Reprimand Hotell & restaurangfacket DI-2018-8816 Reprimand Finansförbundet DI-2018-8818 Ingen åtgärd Privata vårdgivare Barnsjukhuset Martina AB DI-2018-8819 Reprimand Barnbördshuset i Stockholm AB DI-2018-8820 Reprimand

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss