LOW comp 3-2024 004 - Flipbook - Page 26
Att lära av andras misstag
En stor del av arbetet med regelefterlevnad innebär att följa sanktioner och
tillsynsärenden. Med ödmjukhet inför risken att man inte alltid har fullständig
kontroll över att allt är helt och rent i den egna organisationen, kan det vara klokt
att ta del och lära av de misstag som redan gjorts. Under åren har det kommit ett
antal avgöranden, såväl från domstol som från Integritetsskyddsmyndigheten, som
är värda att dra lite erfarenheter av och jag har valt att fokusera på tre intressanta
områden.
1.
Information till de
registrerade
Den 11 mars i år avgjorde kammarrätten ett
mål angående informationsgivning. Två år
tidigare initierades det här ärendet när IMY
lämnade en tämligen stor sanktion för brister
i informationen till de registrerade och i april
2023 gick förvaltningsrätten i stora delar på
IMY:s linje, men man sänkte sanktionsavgiften något. Kammarrätten fastställde i mars
den ursprungliga, högre, avgiften, men samtidigt förtydligade man flera punkter till den
personuppgiftsansvariges fördel. Avgörandet
innebär bland annat att vi inte behöver:
• separera kategorier av samma typ av
mottagare i lokala eller utländska.
26 Compliance Nytt
• ange vilka eventuella tredjeländer
som man kan komma att överföra
personuppgifter till,
• förklara de registrerades rättigheter; det räcker att den registrerade
informeras om förekomsten av
rättigheterna, samt
• specificera faktorer i ett automatiskt beslutsfattande som alltid
leder till förutbestämda resultat,
t.ex. vid automatiska kreditavslag;
det räcker att den registrerade informeras om att en scoringmodell
används och vilka personuppgifter
den behandlar.
Vad vi däremot behöver säkerställa att vi är
tydliga med, i informationen till de personer
vars personuppgifter vi hanterar, är att det
finns:
• korrekt information om rättslig
grund för samtliga ändamål med
behandlingen och att den rättsliga
grunden faktiskt är den som också
används (jfr IMY:s tillsynsärende
från 2023-06-23),
• information om var man kan ta
del av de säkerhetsåtgärder som
tillämpas för tredjelandsöverföringar,
• information om hur personuppgifterna kommer att lagras,
