Annons

Här är första GDPR-domarna: ”Vissa utmärker sig negativt”

Nu är Datainspektionen färdig med sin första granskning med anledning av de nya GDPR-bestämmelserna.
Nu är Datainspektionen färdig med sin första granskning med anledning av de nya GDPR-bestämmelserna.
GDPR infördes i maj i år och fick många bolag att oroa sig. Nu har Datainspektionen kommit med sina första beslut och en del av it-sektorn pekas ut som extra slarvig.
Facebook
Twitter
LinkedIn
E-post
Öka textstorlek

Kort efter att EU:s nya dataskyddsbestämmelser, GDPR, införlivades den 25 maj startade Datainspektionen en större utredning av flera svenska bolag, myndigheter och fackförbund. Nu har Datainspektionen kommit fram till beslut.

”Det finns vissa branscher som utmärker sig negativt”, säger Jonas Agnvall, projektledare för GDPR-tillsynen på Datainspektionen.

Myndigheten har kontrollerat huruvida aktörerna utsett och anmält en ansvarig person för personuppgifter, ett så kallat dataskyddsombud, vilket är ett krav enligt GDPR.

Totalt har 412 verksamheter kontrollerats. Av dem har 66 aktörer, bland annat banker, teleoperatörer, vårdgivare, försäkringsbolag och myndigheter, granskats av Datainspektionen i separata tillsynsärenden.

Om ett bolag skulle bryta mot bestämmelserna om personuppgiftsansvarig, kan det i värsta fall resultera i administrativa sanktionsavgifter på upp till två procent av den globala omsättningen eller 10 miljoner euro. En häftig summa för många bolag.

Läs mer: Här är bolagen som hotas av GDPR-böter 

Men i den första utredningen väljer Datainspektionen att inte gå vidare med hotet om böter. I stället har man beslutat att ge reprimander i 57 av de 66 fallen. Två myndigheter har fått ett föreläggande och sju fall har friats helt.

De bolag som åkt på reprimander är de som utsett och anmält dataskyddsombud först efter den 25 maj i år, när de nya GDPR-reglerna införlivades.

En reprimand innebär att bolaget blir prickat och det kan ligga dem i fatet, och öka risken för böter, om de skulle bryta mot GDPR-reglerna i framtiden.

”Nu när vi fattat de här besluten så har de som drabbats av en reprimand ordnat detta och anmält dataskyddsombud”, säger Jonas Agnvall. 

Anledningen till att Datainspektion valt att ge bolagen pardon och inte ta till de fruktade administrativa avgifterna, är att reglerna fortfarande är relativt nya.

”Vi har haft diskussioner kring sanktionsavgifter men vi har valt att stanna vid reprimander och föreläggande. Det är främst tidsaspekten som är tungt vägande i det”, säger Jonas Agnvall.

Läs mer: GDPR-anmälningarna flödar in – då ska du slå larm 

Två myndigheter, Gentekniknämnden och Forum för levande historia, har fortfarande inte utsett ett dataskyddsombud och anmält detta till Datainspektionen. Därför tilldelas de båda varsitt föreläggande.

”Man har inte självrättat sig under granskningen. Våra förelägganden innebär att de här aktörerna måste vidta åtgärder inom en viss tid, annars riskerar de sanktionsavgifterna”, säger Jonas Agnvall.

Sett till den större kontrollen av 412 verksamheter, kommer Datainspektionen fram till att sämst i klassen är teleoperatörerna. Där tittade man på totalt åtta bolag, fyra av dem levde inte upp till GDPR-kraven och åkte därför på en reprimand, däribland Tele2 och Telia.

Bankerna sköter sig bättre. Endast tre av de 41 banker som kontrollerats hade brister; Forex Bank, Resurs Bank och Tjusbygdens Sparbank. Detsamma gäller försäkringsbolag där 4 bolag av 50 kontrollerade fick reprimander från Datainspektionen.

Läs mer: Datainspektionen startar fler GDPR-granskningar

Facebook
Twitter
LinkedIn
E-post
Vi har förtydligat vår personuppgiftspolicy. Läs mer om hur vi hanterar personuppgifter och cookies