Förberedelser inför tillsyn av Integritetsskyddsmyndigheten

Dataskydd har blivit ett alltmer komplext rättsområde och tillsynsmyndigheterna har blivit mer aktiva, vilket har medfört ett ökat antal tillsynsbeslut och domstolsprocesser. Dataskyddsförordningen har även gett tillsynsmyndigheterna kraftiga utrednings- och sanktionsbefogenheter. Men vad innebär det egentligen att bli utsatt för tillsyn? Inför dataskyddsförordningens inträde 2018 skrev vi en rapport på temat (Kahn Pedersens skriftserie 2018:1). Mycket har förändrats sedan dess – inte minst delar av myndighetens metod för tillsynsprocessen. Vi ser därmed ett behov av att göra en uppdaterad analys baserad på Integritetsskyddsmyndighetens (IMY) nya rutiner för tillsyn och några av dess tillsynsbeslut, för att hjälpa verksamheter att förbereda sig inför en potentiell tillsyn. Kahn Pedersens dataskyddsexperter har valt att göra detta i form av en artikelserie och i denna inledande del beskriver Hanna Bogsjö Österberg hur IMY:s tillsynsprocess går till och hur man kan förbereda sig för en eventuell tillsyn.

IMY bedriver tillsyn för att bland annat säkerställa att registrerades grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter. Utöver den tillrättavisande effekten för regelefterlevnad i enskilda ärenden, dvs. att registrerades rättigheter när det gäller klagomål tillvaratas, sker tillsyn även i syfte att skapa praxis och sprida kunskap till samhället i stort.

Våren 2021 antog IMY en ny policy för tillsyn samt en plan för vilka tillsynsaktiviteter myndigheten ska genomföra under 2021-2022. IMY får även in ett stort antal tips och klagomål från privatpersoner och företag, samt uppslag via media som kan leda till att tillsynsärenden inleds. Antalet klagomål har ökat markant sedan dataskyddsförordningen trädde i kraft men långt ifrån alla klagomål leder till tillsyn. Enligt IMY inkom drygt 2 000 klagomål från enskilda under 2021 avseende dataskyddsförordningen, varav en tredjedel handlade om misstänkta kränkningar av de registrerades rättigheter (se IMY:s rapport 2022:02).

När inleder IMY tillsyn?

Ett tillsynsärende kan inledas antingen till följd av klagomål (klagomålsbaserad tillsyn) eller för att IMY bedömt att det finns särskilda risker med en viss personuppgiftsbehandling (riskbaserad tillsyn). Riskbaserad tillsyn initieras typiskt sett genom anmälningar om personuppgiftsincidenter, uppgifter i media eller genom att uppgifter i klagomål leder till en vidare tillsyn än att enbart omfatta en granskning av de brister som rör den klagande. IMY kan även genomföra s.k. planerad tillsyn som rör vissa företeelser eller vissa typer av verksamheter utan att det i det enskilda fallet finns något klagomål eller någon konkret brist. Det sker enligt myndighetens årliga tillsynsplan och omfattar dels granskning som IMY är ålagd att genomföra för vissa verksamheter eller system, dels granskning som genomförs för att IMY utifrån en riskbedömning anser att en viss typ av verksamhet eller företeelse bör granskas. IMY:s prioritering av granskningar påverkas bland annat av vad som bedöms få störst effekt för enskildas rättigheter, men även av händelser i omvärlden, den tekniska utvecklingen och myndighetens erfarenheter från verksamheten. De kriterier som ligger till grund för valet av tillsyn preciseras i tillsynsplanen. Idag har IMY nästan inget utrymme för att genomföra någon planlagd riskbaserad tillsyn, utan utför i princip endast klagomålsbaserad tillsyn (se t.ex. IMY:s tillsynsplan).

Vid klagomålsbaserad tillsyn granskar IMY endast den eventuella kränkning, eller risk för kränkning, som den klagande påstås ha utsatts för vid behandling av dennes personuppgifter. Om IMY däremot bedömer att tillsynen som initierats är viktig för integritetsskyddet i samhället i stort, kan IMY genomföra en vidare granskning baserat på det aktuella klagomålet, s.k. utvidgad klagomålstillsyn (en typ av riskbaserad tillsyn).

För att skapa enhetlighet inom EU tog EDPB (European Data Protection Board) under 2021 fram en riktlinje av vilken det framgår att tillsynsmyndigheterna har en skyldighet att, i den utsträckning det är lämpligt, utreda varje klagomål som inkommer till myndigheterna. IMY har med anledning av detta beslutat att alla klagomål som uppfyller de formella kraven ska behandlas och att klagomålet, i de fall det är lämpligt, ska avslutas med att ett informationsbrev skickas till den som klagomålet avser (se IMY:s tillsynsplan och budgetunderlag). Denna arbetsprocess framgår även av myndighetens nya ”Rutin för vägval vid handläggning av klagomål om tillgång (artikel 15)” och innebär att en stor del av klagomålen efter en initial granskning kan avslutas med enklare handläggningsåtgärder än tillsyn, enligt följande:

• Avsluta utan åtgärd. I första hand undersöker IMY om klagomålet uppfyller de formella kraven eller om ärendet kan avslutas utan åtgärd, såsom när klagomålet avser något annat än vad som omfattas av dataskyddsförordningen, eller om den som klagomålet avser inte har fått skälig tid på sig att genomföra den åtgärd som har efterfrågats av den registrerade, t.ex. vid begäran om registerutdrag.

• Informationsbrev. Om det inte är aktuellt att avsluta ärendet utan åtgärd undersöker IMY om det skulle vara tillräckligt att skicka ett informationsbrev till den som berörs av klagomålet för att informera om innehållet i klagomålet och lämna upplysningar om de bestämmelser som klagomålet rör. Det görs i regel om det är fråga om en mindre allvarlig överträdelse, om det är sannolikt att den personuppgiftsansvarige kommer att vidta åtgärd och om det finns tydliga regler i dataskyddsförordningen att hänvisa till. IMY tar inte ställning till innehållet i klagomålet, vilket innebär att IMY inte gör någon bedömning av om det är mottagaren som är personuppgiftsansvarig för den aktuella personuppgiftsbehandlingen eller huruvida behandlingen uppfyller dataskyddsförordningens bestämmelser. Ett informationsbrev kräver heller ingen åtgärd av mottagaren utan syftet är att informera om hur man ska göra rätt enligt dataskyddsförordningen. Om det kommer in liknande klagomål kan det däremot leda till att IMY inleder tillsyn.

• Inleda tillsyn. Om det inte anses tillräckligt att skicka ett informationsbrev ska IMY istället inleda tillsyn. Granskningen ska typiskt sett endast omfatta det som klagomålet avser och görs i så begränsad utsträckning som möjligt.

Hur genomförs en tillsyn?

IMY kan inleda tillsyn mot både personuppgiftsansvariga och personuppgiftsbiträden, och de två vanligaste formerna av tillsyn är skrivbordstillsyn (skriftväxling) och inspektion (på plats). Tillsynen kan ibland även ske genom en kombination av skrivbordstillsyn och inspektion, t.ex. genom att ett antal skriftliga frågor leder till en inspektion i samma tillsynsärende.

En skrivbordstillsyn inleds genom att IMY skickar ett antal frågor till det företag, den myndighet eller organisation som är föremål för tillsyn (tillsynsobjektet), via brev (tillsynsskrivelse). Av brevet framgår även vad som är den bakomliggande orsaken till tillsynen. Ibland räcker det med de svar som tillsynsobjektet inkommer med vid första tillfället men det händer även att IMY ställer kompletterande frågor. Därefter utreder IMY ärendet och fattar ett beslut. I beslutet anges om det finns brister gällande dataskyddet samt vilken eller vilka korrigerande åtgärder som beslutas. Av beslutet framgår även hur ett överklagande kan ske.

En inspektion inleds med att IMY skickar en skriftlig bekräftelse till tillsynsobjektet där IMY beskriver syftet med tillsynen och vad tillsynsobjektet ska kunna visa upp och redogöra för vid inspektionstillfället (inspektionsbekräftelse). Under inspektionen deltar minst två personer från IMY som, baserat på det angivna syftet med tillsynen, ställer frågor till tillsynsobjektet och granskar handlingar, undersöker hur it-system fungerar och dokumenterar tillsynsobjektets redogörelser. Därefter upprättar IMY ett protokoll som återger vad som uppgetts under inspektionen och eventuell skriftlig dokumentation som inhämtats. Protokollet skickas till tillsynsobjektet för eventuella synpunkter och i samband med detta kan IMY även komma att ställa kompletterande frågor. När ärendet är utrett fattar IMY ett beslut på samma sätt som efter en skrivbordstillsyn.

Tillsyn kan även ske vid s.k. gränsöverskridande behandling och kan då innebära att flera tillsynsmyndigheter är inblandade. Så kan exempelvis vara fallet när personuppgiftsbehandling sker vid den personuppgiftsansvariges eller personuppgiftsbiträdets verksamhetsställen som finns i flera medlemsstater eller om personuppgiftsbehandlingen påverkar, eller kan komma att påverka, registrerade i flera medlemsstater. Sådana gränsöverskridande ärenden behandlas enligt de regler för samarbete som anges i dataskyddsförordningen. Det är också vanligt att IMY får ta över klagomål som har lämnats in till dataskyddsmyndigheter i andra EU-länder om den behandling som omfattas bedöms ha skett från den personuppgiftsansvariges verksamhetsställe i Sverige. Detta kommer att behandlas i mer detalj senare i artikelserien.

Vad kan tillsynen leda till?

En tillsyn kan leda till att IMY riktar korrigerande åtgärder (sanktioner) mot ett tillsynsobjekt som bryter, eller riskerar att bryta, mot reglerna i dataskyddsförordningen. Dessa kan bestå av:

• en varning om att en planerad behandling sannolikt kommer att bryta mot bestämmelserna i dataskyddsförordningen.

• en reprimand, om det är fråga om mindre överträdelser av bestämmelserna i dataskyddsförordningen, dvs. en tillrättavisning.

• ett föreläggande att tillsynsobjektet ska vidta olika åtgärder, såsom att tillmötesgå den registrerades begäran att få utöva sina rättigheter, att meddela de registrerade att en personuppgiftsincident har inträffat, att rätta eller radera personuppgifter eller att flödet av uppgifter till en mottagare i tredje land eller en internationell organisation ska avbrytas.

• införande av en tillfällig eller definitiv begränsning av, eller förbud mot, viss behandling. Med andra ord införa villkor för hur behandlingen får gå till, t.ex. att behandling bara får ske för vissa avgränsade syften eller att behandlingen ska upphöra.

• att dra tillbaka en certifiering som utfärdats enligt dataskyddsförordningen, eller beordra certifieringsorganet att göra detta, alternativt att inte utfärda certifiering om kraven för certifiering inte, eller inte längre, uppfylls.

• påförande av administrativa sanktionsavgifter utöver, eller istället för, övriga korrigerande åtgärder. Nästan alla överträdelser av dataskyddsförordningen kan leda till administrativa sanktionsavgifter. Vilka överträdelser det är fråga om framgår av dataskyddsförordningen och den kompletterande dataskyddslagen, men det kan t.ex. aktualiseras om behandlingen strider mot de grundläggande principerna i dataskyddsförordningen eller om den registrerade inte får sina rättigheter tillgodosedda.

Hur kan man förbereda sig för tillsyn?

Utöver kartläggning/dokumentation är den avgörande faktorn för god beredskap inför tillsynsärenden, enligt vår bedömning, att ha en etablerad och välorganiserad intern dataskyddsorganisation som med kort varsel kan mobilisera såväl interna som externa resurser och som dessutom har all nödvändig dokumentation samlad och lätt tillgänglig. Därutöver rekommenderar vi följande förberedelseåtgärder:

• Utse en huvudansvarig för organisationens hantering av tillsynen (vid mer omfattande inspektioner kan det vara lämpligt att utse ett team där flera personer från olika avdelningar eller funktioner inom organisationen finns representerade)

• Säkerställ att relevant dokumentation finns och hålls uppdaterad. Inom ramen för en inspektion efterfrågar IMY typiskt sett olika former av dokumentation kring organisationens per­sonuppgiftsbehandling. Artikel 30-registret är av särskild vikt men även organisationens policyer för behandling av personuppgifter, information till registrerade, riskanalyser, konsekvensbedömningar och dokumentation över personuppgiftsincidenter etc. är av betydelse. Tänk även på att ha ordning på personuppgiftsbiträdesavtal och dokumentation avseende eventuella tredjelandsöverföringar såsom riskbedömningar avseende användning av utländska molntjänster. I förekommande fall bör samtyckestexter och dokumenterade rutiner för inhämtande och återkallande av samtycke tas fram.

• Sekretessöverväganden. Alla handlingar som lämnas in till IMY blir allmänna handlingar som kan begäras ut från myndigheten av vem som helst i den utsträckning de inte omfattas av sekretess. Det gäller även protokollet och de handlingar som lämnas till IMY under en inspektion eller skickas till myndigheten. Det finns därför anledning att begränsa vilken information som lämnas till IMY och inte heller lämna in mer information än vad som är nödvändigt för att besvara myndighetens frågor. Det kan även vara lämpligt att överväga i vilken utsträckning det finns anledning att begära att handlingarna ska behandlas med sekretess hos IMY. Det kan exempelvis vara en god idé att förbereda extra kopior där de delar som organisationen anser bör behandlas med sekretess är maskerade.

• Förbered svar på frågor som kan komma att ställas vid tillsynen. I tillsynsskrivelsen kan IMY ha ställt ett antal frågor som ska besvaras och tillsynsobjektet kan även förvänta sig uppföljningsfrågor. Nedan har vi listat ett antal grundläggande frågor som vi rekommenderar att tillsynsobjektet bör vara beredd att kunna svara på: 

  1. Personuppgiftsansvaret. Vem anser ni är personuppgiftsansvarig för den aktuella behandlingen, dvs. vem bestämmer att, och hur, personuppgiftsbehandlingen ska utföras?
  2. Syftet och den rättsliga grunden för personuppgiftsbehand­lingen. För vilket/vilka ändamål behandlas personuppgifterna? Vilken är den rättsliga grunden? Hur bedömer ni att behandlingen är nödvändig för att uppfylla ändamålen?
  3. Beskrivning av personuppgiftsbehandlingen. Vilka personuppgifter samlas in? Hur, och från vem, samlas de in? Vilka sök- och sammanställningsmöjligheter finns? Förekommer det fritextsfält? Vilken utbildning om dataskyddslagstiftning och interna styr­dokument har personalen?
  4. Grundläggande krav vid personuppgiftsbehandling. När och hur gallras personuppgifterna? Vilka rutiner finns för rättelse och radering? Vilka har tillgång till personuppgifterna?
  5. De registrerades rättigheter. Vilken information om behandlingen har de registrerade fått? Hur lämnas registerutdrag ut? Hur ser övriga rutiner ut för t.ex. radering och rättning av personuppgifter?
  6. Personuppgiftsbiträden. Anlitas personuppgiftsbiträden och vilka är de? Finns biträdesavtal? Vilka instruktioner har personuppgiftsbiträdet fått för behand­lingen? Omfattas personalen hos personuppgiftsbiträdena av sekretessåtaganden?
  7. Tredjelandsöverföringar. Förekommer överföring av personuppgifter för den aktuella behandlingen till länder utanför EU/EES? Vad är den lagliga mekanismen för överföringen och vilka kompletterande skyddsåtgärder har vidtagits för överföringen?
  8. Säkerhet vid personuppgiftsbehandlingen. Hur ser rutinerna ut för fysisk säkerhet, tillträdeskontroll, behörighetsstyrning, behandlingshistorik (logg), inloggning och säkerhet, säker kommunikation, åtgärder mot förlust av information, utplåning, reparation och service, skydd mot skadliga program och verifiering av säkerheten?

• Fastställ vilka personer som bör närvara vid en inspektion. I första hand är det IMY:s önskemål som styr vilka personer som bör närvara. Det är vanligtvis fråga om personer som fattar beslut om personuppgiftsbehandlingen, dataskyddsombud (om sådant har utsetts), jurist eller advokat med kompetens inom dataskydd samt personer med kunskap om för tillsynen aktuella it-system.

Vidare bör man som en del av förberedelsearbetet skapa en tydlig instruktion för sin dataskyddsorganisation om hur man vill att personalen ska agera om man skulle utsättas för tillsyn i form av inspektion på plats. En sådan instruktion bör bland annat inbegripa att:

• Identifiera syftet med tillsynen (framgår av tillsynsskrivelsen från IMY). IMY har begränsade resurser och önskar typiskt sett hålla omfattningen av tillsynen så begränsad som möjligt (t.ex. specifika behandlingar, behandlingsfenomen eller företeelser). Det är syftet som anger ramarna för undersökningen och därför bör tillsynsobjektet även säkerställa att svaren på IMY:s frågor, avgränsas till temat för tillsynen.

• Kontrollera identiteten hos myndighetens personal.

• För egna minnesanteckningar. Även om IMY för protokoll, som man får tillfälle att yttra sig över, bör man som tillsynsobjekt från en bevissäkringssynpunkt, föra egna minnesanteckningar över vad som sägs.

• Dokumentera tillhandahållen dokumentation. Tillsynsobjektet bör dokumentera vilken dokumen­tation som har överlämnats till IMY (både under inspektionen och i övrigt) samt den korrespondens som skett med myndigheten.

• Besvara frågor sakligt och korrekt. Svara endast på de frågor som ställts och håll dina svar kortfattade, sakliga och korrekta. Uppge inte mer än vad som behövs för att svara på frågorna. Om en fråga är oklar eller komplex bör ni be om ett förtydligande, gärna i skriftlig form.

• Svara inte om du är osäker på svaret. Be istället att få återkomma vid ett senare tillfälle eller att få ta en kort paus. Om frågan behöver utredas närmare eller stämmas av med annan be­fattningshavare behövs rimlig tid för detta och ni bör då i första hand be om att få återkomma skriftligen.

• Dokumentera körningar i system. Dokumentera vilka körningar i system som genomförs av, eller på instruktion av, IMY. Tillsynsobjektet bör aldrig låta IMY köra systemen utan att relevant personal från organisationen är närvarande.

• Spegling och kopiering av hårddiskar m.m. Vid konkurrensrättslig tillsyn har Konkurrensverket under vissa förutsättningar laglig rätt att ta med speglade eller kopierade hårddiskar etc. till Konkurrensverket för närmare under­sökningar. IMY har inte den möjligheten. Om IMY mot förmodan skulle framställa en sådan begäran bör tillsynsobjektet därför inte gå med på åtgärden.

• Inte försvåra undersökningen. Var tillmötesgående, utan att vara eftergiven. Frågor som ligger inom ramen för syftet med tillsynen bör alltid besvaras efter bästa förmåga. Brett formulerade frågor utan egentlig koppling till syftet med tillsynen bör som utgångspunkt inte besvaras. Konsultera alltid jurist vid tveksamhet om information bör lämnas till IMY. Förstör inte material och försök heller inte på annat sätt försvåra eller förhindra utredningen. Detta är försvårande omständig­heter vid fastställande av sanktionsavgifter.

• Göra sekretessöverväganden. Bevaka intresset av sekretess och uppmärksamma IMY på när ni anser att den information som lämnas ska behandlas med sekretess av IMY. Om möjligt, identifiera även vilken av sekretessgrunderna i OSL.

• Vara återhållsam med lunch och fika. Det är viktigt att hålla god marginal till vad som skulle kunna uppfattas som försök till bestickning så var måttfull om ni bjuder på fika, luncher etc.

Avslutande kommentarer

När det kommer till tillsyn lägger IMY idag i princip alla sina resurser på att hantera de klagomål som inkommer till myndigheten och att eventuellt inleda tillsyn baserat på klagomålet (klagomålsbaserad tillsyn). Detta innebär att IMY:s fokus i den tillsyn som hittills genomförts i stor utsträckning har varit hur de registrerades rättigheter ska tillgodoses. Det har exempelvis upprepade gånger varit fråga om utformning av informationstexter och rutiner i samband med registerutdrag. Mer om detta i vår andra del av artikelserien. IMY har i höstbudgeten fått kraftigt höjda anslag vilket möjligen kan påverka myndighetens tillsynsarbete.

Mycket tyder dock på att läget kommer att vara oförändrat under en tid framöver och baserat på hur IMY:s tillsynsrutiner ser ut i nuläget är vår rekommendation att fokusera på att ta hand om era registrerade och deras personuppgifter, för att på lång sikt undvika att motta klagomål och samtidigt minska risken för att bli föremål för IMY:s tillsyn. Ett led i detta är att göra en noggrann kartläggning av vilken personuppgiftsbehandling som förekommer i verksamheten, säkerställa att all dokumentation som krävs finns samlad och lättillgänglig och att ha etablerat en intern dataskyddsorganisation med fungerande rutiner. Och om ni får ett informationsbrev, se till att verksamheten tar det på allvar och vidtar rättelse för att inte riskera ytterligare klagomål och därmed även tillsyn.

Avslutningsvis, ju mer förberedd en verksamhet är inför en tillsyn, desto smidigare kommer processen att vara. Vi hoppas därmed att våra praktiska tips kan vara till hjälp för de organisationer som ännu inte påbörjat, eller inte färdigställt, sitt arbete med förberedelser inför en eventuell tillsyn av IMY och är i behov av vägledning.