Några iakttagelser från Datainspektionens första granskning under GDPR
Datainspektionen har granskat cirka 400 verksamheter i offentlig och privat sektor (banker, försäkringsbolag, kollektivtrafikbolag, teleoperatörer, fackförbund och privata vårdgivare). Granskningen har tagit sikte på om dataskyddsombud utsetts samt om kontaktuppgifter till dataskyddsombudet anmälts till Datainspektionen innan den 25 maj 2018.
Granskningen har resulterat i 66 tillsynsärenden, av vilka Datainspektionen beslutat att ge reprimander i 57 fall och förelägganden i två fall.
Några iakttagelser från Datainspektions granskning är följande:
- Datainspektionens bedömning av privata aktörers kärnverksamhet enligt artikel 37.1 (b) och/eller 37.1 (c) i GDPR.
- Datainspektionens beslut att ge reprimander och förelägganden istället för administrativa sanktionsavgifter med hänsyn till att granskningen gjordes kort tid efter att GDPR trädde ikraft den 25 maj 2018.
- Tillsynsobjektens klargöranden till varför inget dataskyddsombud utsetts och/eller att dataskyddsombudets kontaktuppgifter inte anmälts till Datainspektionen.
Privata aktörers kärnverksamhet
För myndigheter och offentliga organ är det enligt artikel 37.1 (a) i GDPR obligatoriskt att utse ett dataskyddsombud. Även för privata aktörer finns en sådan skyldighet enligt artikel 37.1 (b) i GDPR om den privata aktörens kärnverksamhet består av behandling som kräver systematisk och regelbunden övervakning av registrerade i stor skala, eller enligt artikel 37.1 (c) i GDPR om den privata aktörens kärnverksamhet består av behandling i stor skala av känsliga personuppgifter eller personuppgifter som rör fällande domar i brottmål.
Av intresse är därför hur Datainspektionen gjort denna bedömning i förhållande till de privata aktörer/branscher som varit föremål för granskning.
- För teleoperatörer och flertalet kollektivtrafikbolag har Datainspektionen konstaterat att behandlingen av personuppgifter är av sådan art att det enligt artikel 37.1 (b) i GDPR (kärnverksamheten består av behandling som kräver systematisk och regelbunden övervakning av registrerade i stor skala) finns en skyldighet att utse ett dataskyddsombud. I detta sammanhang kan noteras att ett av kollektivtrafikbolagen invänt att de varken ansvarar för hanteringen av busskort, biljettsystem eller kamerabevakning, och att Datainspektionen i det fallet inte ansett att kollektivtrafikbolaget haft en skyldighet att utse ett dataskyddsombud.
- För privata vårdgivare och fackförbund har Datainspektionen konstaterat att behandlingen av personuppgifter är av sådan art att det enligt artikel 37.1 (c) i GDPR (kärnverksamheten består av behandling i stor skala av känsliga personuppgifter) finns en skyldighet att utse ett dataskyddsombud. Trots att det inte framgår av Datainspektionens beslut är det sannolikt uppgifter och hälsa och fackligt medlemskap som är orsaken till denna bedömning.
- För banker och försäkringsbolag har Datainspektionen konstaterat att behandlingen av personuppgifter är av sådan art att det enligt artikel 37.1 (b) i GDPR (kärnverksamheten består av behandling som kräver systematisk och regelbunden övervakning av registrerade i stor skala) och artikel 37.1 (c) i GDPR (kärnverksamheten består av behandling i stor skala av känsliga personuppgifter eller personuppgifter som rör fällande domar i brottmål), finns en skyldighet att utse ett dataskyddsombud. I detta sammanhang kan noteras att Datainspektionen till skillnad från sin bedömning av privata vårdgivare och fackförbund specifikt även nämner behandling av uppgifter om brott.
Reprimander och förelägganden istället för administrativa sanktionsavgifter
I de fall tillsynsobjekten utsett ett dataskyddsombud och anmält detta till datainspektionen efter den 25 maj 2018 har Datainspektionen beslutat att ge reprimander. I två fall där tillsynsobjekten fortfarande inte utsett ett dataskyddsombud eller anmält kontaktuppgifter till Datainspektionen har tillsynsobjekten fått ett föreläggande. Datainspektionen har motiverat sitt beslut att ge reprimander och förelägganden istället för att påföra administrativa sanktionsavgifter med att granskningen gjordes kort tid efter att GDPR trädde ikraft.
Yttranden från tillsynsobjekten
Övrigt av intresse är tillsynsobjektens klargöranden till varför ett dataskyddsombud inte utsetts och/eller att dataskyddsombudets kontaktuppgifter inte anmälts till Datainspektionen. I detta sammanhang har bl.a. hänvisats till den mänskliga faktorn. Andra exempel, som tydliggör de utmaningar som många företag har stått inför i samband med implementeringen av GDPR, är följande:
- Ett dataskyddsombud har utsetts för flera juridiska personer, t.ex. inom en koncern, men inte alla juridiska personer har anmälts till Datainspektionen.
- Felaktig bedömning av när en skyldighet finns att utse ett dataskyddsombud.
- Missförstånd om att tidigare personuppgiftsombud inte övergår per automatik till dataskyddsombud utan måste anmälas till Datainspektionen.
- Litet företag och för att inte äventyra dataskyddsombudets oberoende ställning letat efter ett externt dataskyddsombud. Tagit tid att finna ett lämpligt dataskyddsombud.
Med anledning av ovan är Datainspektionens granskning ett välkommet bidrag till att klargöra när bestämmelserna om dataskyddsombud i GDPR är tillämpliga. Detta eftersom att efterlevnaden av bestämmelserna i GDPR i grunden är ett förändringsarbete där kunskap om kraven i GDPR behöver genomsyra alla nivåer av verksamheten, från ledning till operativ verksamhet. Av denna anledning kommer det rimligtvis att ta viss tid innan bestämmelserna i GDPR sätter sig. Det är därför välkommet att Datainspektionen vid utövandet av sina befogenheter har valt att hjälpa privata aktörer genom att peka dem i rätt riktning, snarare än att stjälpa.