Hur funkar klagomål och tillsyn enligt GDPR? Det ska det handla om i dagens avsnitt av Molnguiden, med mig, Arman Borghem, Regulatory and Compliance Advisor på Cleura.
Tillsynsmyndigheten IMY och dess roll
Enligt GDPR har var och en rätt att lämna in ett klagomål till sin tillsynsmyndighet om hen anser att någon behandlar dennes personuppgifter på ett felaktigt sätt.
I Sverige är tillsynsmyndigheten IMY, Integritetsskyddsmyndigheten. IMY får förstås in mängder av klagomål. År 2022 tog IMY emot över 2200 klagomål gällande personuppgiftsbehandling. Och då är såklart en intressant fråga, vad är IMY’s roll här, och vad är inte IMY’s roll? Som tillsynsmyndighet ska IMY enligt GDPR bland annat övervaka och verkställa tillämpningen av GDPR.
Klagomål ger konsekvenser
Om du upplever att en organisation har gjort fel när den behandlat personuppgifter om dig då kan du lämna in ett klagomål till IMY om detta. När IMY får in ett klagomål kan det få olika konsekvenser. I vissa fall skickar IMY ett brev till organisationen och förklarar vad GDPR säger och vad organisationens skyldigheter är. I andra fall kan ett klagomål eller flera klagomål leda till att IMY inleder tillsyn mot organisationen. Då ställer IMY normalt sett ett antal frågor och utreder om organisationen har uppfyllt eller brutit mot GDPR. Beroende på vad som har hänt kan IMY sedan besluta att avsluta tillsynsärendet utan åtgärd eller besluta om en reprimand, det är i princip en lätt smäll på fingrarna.
Eller besluta om åtgärder som får större konsekvenser, som att organisationen måste upphöra med viss personuppgiftsbehandling. Eller att organisationen måste ändra hur den behandlar personuppgifter.
Sanktionsavgifter
Och så finns det förstås sanktionsavgifter. Sanktionsavgifter kan vara olika stora beroende på om det är en myndighet eller inte som brutit mot reglerna, vilka regler man brutit mot och hur allvarlig överträdelsen är. Men som mest kan ett företag få en sanktionsavgift motsvarande 4% av sin globala årsomsättning.
Transparens kring tillsynsbeslut
På IMYs webbplats finns också många tillsynsbeslut publicerade. Ett syfte med det är att andra organisationer ska kunna dra lärdomar av vad som har hänt i andra fall. För oss jurister så är det här väldigt uppskattat att besluten är så lättillgängliga. Besluten ger en bra bild av hur IMY resonerar i konkreta rättsfrågor. Sen ska man inte tro att allt är över och definitivt slut och klart i en fråga enbart därför att IMY har fattat ett beslut.
Överklagan
En organisation som har fått ett beslut emot sig kan nämligen överklaga det beslutet till domstol. Då är det en överklagan till förvaltningsrätt, sen kan det gå till kammarätt och i undantagsfall till högsta förvaltningsdomstolen.
Som jag nämnde innan tar IMY emot tusentals klagomål varje år, eller i snitt sex klagomål om dagen förra året. I många av de fallen beslutar IMY att inte utreda frågan vidare. Inleds tillsyn kan den sluta med att IMY avslutar ärendet utan åtgärd. Precis som att ett företag kan överklaga ett IMY-beslut om en sanktionsavgift kan en person överklaga ett IMY-beslut om att inte utreda ett klagomål eller att lägga ner en tillsyn som grundades i ett klagomål.
En person kan ju anse att IMY borde ha vidtagit någon åtgärd eller borde ha kommit fram till att en personuppgiftsbehandling var fel, fastän IMY ansåg att den var rätt. Och ett sådant beslut från IMY, att inte gå vidare, det kan alltså överklagas. Det klargjorde högsta förvaltningsdomstolen i två domar från den 17 november 2023.
Symmetri i juridiken alltså, det får man inte varje dag.
Tack för den här gången och på återseende!
Har du frågor om molntjänster och digitalisering?
Vi kan hjälpa din organisation att genomföra digitaliseringsresan på ett lagligt och hållbart sett.