Det har gått några år sedan GDPR var i hetluften och kom att förändra rutiner och arbetssätt för många företag och organisationer. Inhämtad och känslig data som ska hanteras på korrekt sätt. Rätt information som ska ges till uppgiftslämnaren – En utmaning för de flesta! Vi tog en titt i backspegeln och fann en del intressant statistik och spännande rättsfall.
- 614 sanktionsavgifter har utfärdats inom EU (till och med april 2021).
- Det totala beloppet är ca 280 MEUR – dvs nära nog 2,8 miljarder svenska kronor!
- Spanien har fått 219 beslut om sanktionsavgifter och Sverige har fått 17.
- Telekombranschen har drabbats av de största totala bötesbeloppen på ca 132 MEUR.
Topplista böter inom EES (euro)
Google Inc. – 50 000 000
H & M Hennes & Mauritz – 35 258 708
TIM Telecom provider – 27 800 000
British Airways – 22 046 000
Marriot International – 20 450 000
Topplista böter Sverige (sek)
Google LLC – 50 000 000 kr
Sjukvården* – 69 500 000 kr
Stockholms stad – 4 000 000 kr
Polismyndigheten – 2 500 000 kr
Umeå Universitet – 550 000 kr
*Capio St Göran, Karolinska Universitetssjukhuset, Sahlgrenska Universitetssjukhuset, Region Västerbotten, Region Östergötland, Aleris Sjukvård och Aleris Närsjukvård
Kort om några rättsfall
Stockholms stad – allvarliga brister i skolplattform
Det IT-system som används för elevadministration av skolorna i Stockholm, skolplattformen, har granskats av Integritetsskyddsmyndigheten, IMY. Granskningen visade att skolplattformen hade flera allvarliga brister och en sanktionsavgift om 4 miljoner kronor utfärdades mot utbildningsnämnden i Stockholm. Skolplattformen innehåller uppgifter om ca 500 000 elever, lärare och vårdnadshavare. Bristerna har bland annat bestått i att stora delar av personalen har haft möjlighet att kommit åt uppgifter om elever med skyddad identitet i ett delsystem. I ett annat delsystem har vårdnadshavare haft möjlighet att enkelt komma åt andra barns uppgifter om betyg och utvecklingssamtal.
Polismyndigheten – använde app för ansiktsigenkänning(enda beslutet om sanktionsavgift under 2021)
IMY konstaterade att Polismyndigheten hade brustit i sitt personuppgiftsansvar genom användning av appen Clearview AI. Polismyndigheten hade inte vidtagit lämpliga organisatoriska åtgärder för att visa att behandlingen varit författningsenlig (dvs. de hade inte följt lagen!). Polismyndigheten hade behandlat biometriska uppgifter – som använts för ansiktsigenkänning – i strid med brottsdatalagen samt underlåtit att genomföra en konsekvensbedömning. IMY beslutade att Polismyndigheten skulle betala en administrativ sanktionsavgift på 2,5 miljoner kronor för överträdelserna av brottsdatalagen. IMY förelade även polismyndigheten att utbilda sin personal för att säkerställa att personuppgifter inte hanteras i strid med gällande dataskyddslagstiftning och interna rutiner på området.
Kameraövervakningsfall
Gnosjö kommun: IMY utfärdade en sanktionsavgift om 200 000 kronor mot Gnosjö kommun för olaglig kameraövervakning på ett LSS-boende. Kamerabevakning hade skett av den boendes sovrum. IMY konstaterade att det saknades en rättslig grund för bevakningen, att det inte hade genomförts en konsekvensbedömning innan bevakningen inleddes och att man inte informerat om kamerabevakningen.
Uppsalahem: IMY utfärdade en sanktionsavgift om 300 000 kronor mot Uppsalahem AB för olaglig kameraövervakning. Kameraövervakningen hade skett i trapphuset och kameran hade riktats mot en lägenhetsdörr som tillhörde en boende som hade varit särskilt utsatt för trakasserier. Syftet var att identifiera gärningspersonen när denne uppehöll sig vid dörren. Om lägenhetsdörren öppnades filmades hallen inne i lägenheten. Sammantaget fann Datainspektionen att en effektiv, proportionell och avskräckande sanktionsavgift för överträdelsen var 300 000 kronor.
Klarna och Spotify varnades
Klarna hade dröjt fem månader med att ge registrerade tillgång till personuppgifter. Den stipulerade tiden är en månad och kan vid behov förlängas med två månader. Spotify hade inte tillräckligt klart och tydligt redogjort för den registrerade vilka personuppgifter som behandlades. Båda företagen fick reprimander av IMY.