GDPR - fortfarande stort mörkertal om dataintrång

Antalet personuppgiftsincidenter uppgick under 2020 till cirka 380 per månad. Det var en nedgång från 2019 års siffra, som var cirka 400. Minskningen för 2020 är sannolikt en coronaeffekt, eftersom antalet anmälda incidenter bara minskade under mars/april och augusti/september. Under senare delen av hösten tog anmälningarna fart igen.

Det totala antalet anmälda personuppgiftsincidenter var cirka 4 600 under förra året, varav antalet klagomål från enskilda uppgick till 3 200. Av de 850 tillståndsansökningar som IMY fick in var över 600 ansökningar om tillstånd för kamerabevakning.

Under 2020 fattade myndigheten 15 beslut om sanktionsavgifter, vilket resulterade i beslutade avgifter på cirka 150 miljoner kronor. Det var en stor skillnad mot 2019, då IMY fattade beslut om avgifter i endast två ärenden.

Myndigheten bedömer att trots att rutinerna för att anmäla och upptäcka incidenter verkar ha förbättrats, finns det fortfarande ett stort mörkertal av incidenter. I klartext: Företag underlåter att anmäla, trots att de borde. Den bedömningen baserar IMY bland annat på utvecklingen i andra EU-länder.

När ska man då anmäla?

Myndigheten konstaterar själv att svaret inte är alldeles enkelt.

Först måste företagets ansvariga bli medvetna om att en incident har inträffat. Därefter måste de snabbt bedöma vad incidenten får för konsekvenser för de som finns registrerade i databasen. Riskerna för den enskilde kan gälla till exempel diskriminering, identitetsstöld, bedrägeri, ekonomisk förlust eller skadlig ryktesspridning.

En personuppgiftsincident har inträffat om personuppgifter har:

• förstörts, oavsiktligt eller olagligt
• gått förlorade eller ändrats
• röjts till någon obehörig

Det spelar ingen roll om det har skett avsiktligt eller inte. I båda fallen anses det vara personuppgifts­incidenter.

Det är nu tolkningsproblemen uppstår. Om det är osannolikt att incidenten medför en risk för fysiska personers fri- och rättigheter, ska den inte anmälas till IMY. Men om företaget bestämmer sig för att inte anmäla måste beslutet kunna motiveras, och det ska dokumenteras. Den som är personuppgiftsansvarig på bolaget måste själv analysera alla relevanta faktorer.

Men GDPR är inte längre det enda som ställer till det för företagen. EU-domstolens dom i det så kallade Schrems II-målet, se nedan, har skapat massor av nya frågetecken för företag, myndigheter och organisationer. Det handlar om överföring av personuppgifter till länder utanför EU, bland annat USA. Den innebär i korthet att det så kallade Privacy Shield-avtalet mellan USA och EU inte längre gäller, se nedan. Domen innebär att det inte längre finns rättsligt stöd för vissa dataflöden mellan EU och USA. Det får konsekvenser bland annat för hur svenska företag får utnyttja amerikanskägda molntjänster, till exempel Dropbox.

Schrems II-domen

Privacy Shield är en amerikansk mekanism för självcertifiering. Företag i USA kan anmäla sig till det amerikanska handelsdepartementet och meddela att de uppfyller de krav som ställs i Privacy Shield. Tidigare var det tillåtet för personuppgiftsansvariga i EU att överföra personuppgifter till mottagare som har anslutit sig till Privacy Shield. Men den 16 juli 2020 meddelade EU-domstolen att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter. Därför är det inte längre tillåtet att överföra personuppgifter till mottagare i USA med Privacy Shield som grund. Målet som resulterade i domen går under namnet Schrems II.

Datainspektionen byter namn

Den 1 januari 2021 bytte Datainspektionen namn till Integritetsskydds­myndigheten (förkortas IMY) och från den 4 januari är den nya webbadressen imy.se. Namnbytet ska spegla myndighetens nya roll sedan införandet av dataskyddsförordningen, GDPR. I övrigt har myndigheten samma uppgifter som tidigare, nämligen att arbeta för att skydda medborgarnas personuppgifter, till exempel om hälsa och ekonomi, så att de hanteras korrekt och inte hamnar i orätta händer.

Du har inte alltid rätt att ”bli raderad”

En rättighet som ofta berörs i klagomålen till IMY är rätten till radering. Ofta handlar det om webbplatser med så kallade utgivningsbevis som erbjuder personupplysningstjänster. Innehavet av utgivningsbeviset innebär att sajterna har grundlagsskydd och till stora delar är undantagna från reglerna i dataskyddsförordningen. I dessa fall kan IMY inte hjälpa dig.

Sajter som MrKoll, Eniro, Hitta, Lexbase, Ratsit och Merinfo med flera som publicerar uppgifter om bostad, inkomst, födelsedag etc, behöver alltså inte radera dina uppgifter trots att du begär det. Utgivningsbeviset gör att sajterna inte påverkas av dataskyddsförordningens bestämmelser, vilket gör att IMY inte kan hjälpa dig. Du kan dock alltid vända dig till webbplatsen ifråga och be att dina uppgifter tas bort.