GDPR ett år senare – miljonböter för Google och tillsyn i Sverige

Den 25 maj 2018 trädde EU:s nya dataskyddsförordning (GDPR) i kraft och ersatte den svenska personuppgiftslagen. Snart har det gått ett år sedan GDPR började att gälla och det har kommit ett flertal intressanta beslut inom Europa. Även den svenska tillsynsmyndigheten Datainspektionen arbetar fortlöpande med efterlevandet av GDPR bl.a. med ett flertal pågående tillsynsärenden mot myndigheter och bolag.

Som exempel kan nämnas att samma dag som GDPR trädde ikraft lämnade organisationen None Of Your Business (”noyb.eu”) in ett flertal anmälningar mot stora bolag så som Facebook, Instagram och Google. Anmälningarna lämnades in i strategiskt utvalda länder i Europa. Beslutet avseende Google har nu fattats. Den franska motsvarigheten till Datainspektionen (“CNIL”) fann att Googles sätt att hantera personuppgifter inte följer kraven i dataskyddsförordningen. Anledningen till detta var bl.a. att Google inte följer GDPR:s informationskrav och att de samtycken som används vid insamling av personuppgifter brister i flera avseenden. Myndigheten har utdömt böter på 50 miljoner Euro till bolaget. Beslutet har överklagats av Google så fortsättning följer.  

På hemmaplan arbetar Datainspektionen flitigt. Ett flertal tillsynsärenden pågår och Datainspektionen har fattat beslut om prioriterade granskningsområden för de närmaste två åren. Bland de verksamheter som ska granskas finns skolan, detaljhandeln och hälso- och sjukvård.

En grundläggande förutsättning för god efterlevnad av dataskyddsreglerna är förståelsen för regelverken hos de verksamheter som ska tillämpa dem. Datainspektionen har därför valt ut ett antal rättsfrågor där tillsyn ska ske. Datainspektionen avser bl.a. att kontrollera om verksamheterna använder den rättsliga grunden samtycke på ett korrekt sätt. 

Kraven på samtycket har genom dataskyddsförordningen specificerats ytterligare vilket innebär att Datainspektionen anser att praxis behöver utvecklas för att tydliggöra hur bestämmelserna kring samtycke numera ska förstås. Datainspektionens granskning avseende samtycke kommer att avse såväl krav på frivillighet, information, tydlighet som samtyckets omfattning.

De flesta jag möter tror att att ett samtycke är att säga JA. Ett korrekt samtycke enligt GDPR är dock långt mer omfattande än så. Under den praktiska utbildningen för kommunikatörer om GDPR för bild, film och sociala meder går vi igenom detaljerna för hur ett samtycke ska utformas och vilka krav som ställs på organisationen.” 

Katarina Ladenfors, advokat och partner på Advokatbyrån MarLaw AB. 

 

Sveriges Kommunikatörer ger flera kurser i GDPR under 2019. Följ oss för att hålla dig uppdaterad om nya datum. 

Halvdagskurs: Praktisk tillämpning av GDPR för bild, film och sociala medier. Stockholm 13 juni 2019.

 

Datainspektionens tillsynsplan går att läsa i sin helhet här:

https://www.datainspektionen.se/globalassets/dokument/datainspektionens-tillsynsplan-2019-2020.pdf

loader
Laddar