Tillbaka till huvudmeny

Vad hände inom dataskydd under 2021?

Dataskyddsåret 2021 har varit händelserikt, både i Sverige och världen över. Vi har sammanfattat de största händelserna och hur det påverkar dig.

Allt från fortsatt pandemi till rekordhöga sanktionsavgifter präglade dataskyddsåret 2021. Vi har sammanfattat de största händelserna och hur du bör förhålla dig till dem.

Från Datainspektionen till IMY

Redan 1 januari 2021 förändrades något – Datainspektionen bytte, efter beslut från regeringen, namn till Integritetsskyddsmyndigheten (IMY). Detta innebär dock inte någon förändring i myndighetens uppdrag. Det är fortsatt att ta tillvara på medborgarnas rättigheter i integritetsfrågor. Istället menar Lena Lindgren Schelin, generaldirektör på IMY, att namnbytet visar att de är en myndighet i förändring och ger ny kraft att möta medborgares och verksamheters behov. 

Förändringar vid överföring av personuppgifter till tredjeland

Överföring till tredjeland var ett aktuellt ämne under hela året, och kanske i synnerhet förhållandet till amerikanska tjänsteleverantörer. Detta kommer utan tvekan att fortsätta diskuteras flitigt även under 2022.

I juni beslutade EU-kommissionen om nya standardavtalsklausuler som började användas från september. Detta innebär att det nu finns nya avtalsmallar som kan användas för att möjliggöra överföringar av personuppgifter till tredjeland. Tänk på att uppdatera era befintliga avtal med leverantörer till de nya avtalsmallarna för korrekt hantering. 

För en djupdykning – läs också: Tredjelandsöverföring med nya standardavtalsklausuler.

EU-kommissionen har även beslutat att både Storbritannien och Sydkorea anses ha adekvat skyddsnivå, vilket gör det enklare att överföra personuppgifter till dessa tredjeländer.

Covid-19 väckte frågor om registrering av vaccinerade

När vaccinationerna drog igång i Sverige började frågor dyka upp om arbetsgivare hade rätt att registrera vem av sina medarbetare som var vaccinerade. IMY svarade på frågan och kom fram till följande: 

  • Behandling av anställdas personuppgifter ska alltid vara sakligt motiverad i verksamheten och nödvändig i förhållande till syftet som uppgifterna samlades in för, vilket även gäller vaccination. 
  • Uppgifter om hälsa, som vaccinationsstatus är, räknas som känsliga uppgifter.
  • Det är som regel förbjudet att behandla uppgifter om hälsa, och det gäller att det finns särskilt stöd för att det trots allt ska vara tillåtet. 
  • Att registrera vaccinationsstatus med samtycke är inte okej eftersom en anställd person anses stå i beroendeställning gentemot sin arbetsgivare. 

Det är därmed inte tillåtet att registrera om enskilda anställda har vaccinerats eller inte. Dock menar IMY att det kan finnas situationer när det exempelvis är nödvändigt att samla in vaccinationsstatus för att arbetsgivaren ska kunna fullgöra sina skyldigheter inom arbetsrätten.

Rekordhöga sanktionsavgifter i EU

Över en miljard euro utfärdades i sanktionsavgifter enligt GDPR under förra året, vilket är sju gånger så högt som 2020. De länder som utfärdade de högsta enskilda beloppen var Luxemburg, Irland och Frankrike, Det är teknikjättarna Amazon, Meta (Facebook) med flera som fått de högsta sanktionerna mot sig – därav den höga totalsumman. 

Även en del personuppgiftsincidenter har rapporterats in – mer än 130 000 stycken. På den listan ligger Sverige på sjunde plats, i förhållande till landets invånarantal.

Sanktionsavgifter i Sverige

IMY kom med ett antal tillsynsbeslut under året där några av dem ledde till beslut om sanktionsavgifter. 

  • Kameraövervakning i lokaltrafik i samband med biljettkontroll
  • Kameraövervakning av anställda på brandstation
  • Polismyndighetens användande av en AI-app för ansiktsigenkänning
  • Inspelade samtal genom sjukvårdsupplysningstjänsten 1177 låg oskyddade och tillgängliga på nätet. 

Utöver detta har fler tillsynsärenden gjorts men dom har endast lett till varningar eller reprimander. Sammanfattningsvis är det lika aktuellt nu som 2018 när GDPR kom, att se över hur ni arbetar med dataskydd. Ett systematiskt dataskyddsarbete sparar både tid och ser till att ni arbetar på ett säkert och lagligt sätt.

Mest populära

  • Kan arbetsgivare betala ut pengar istället för semester?

    När semesteråret når sitt slut, och de anställda har semesterdagar kvar, vad kan du som arbetsgivare göra? Kan du betala ut pengar istället för att ge medarbetaren semester? Det är en vanlig fråga, och svaret finns i semesterlagen.

  • Räknas restid som arbetstid?

    Betald restid – en definitionsfråga med flera svar. Många yrkesgrupper spenderar många timmar i veckan på att resa mellan olika projekt eller arbetsplatser. Det finns tillfällen då restid räknas som arbetstid. Däremot räknas inte resan till och från den ordinarie arbetsplatsen som restid – dina medarbetare har alltså inte rätt till kompensation för tiden de lägger på att ta sig till arbetet.