Böter och sanktioner i Europa.

2018-10-29T10:46:51+00:0029 oktober, 2018|

Portugal fick i dagarna sina första GDPR böter på 400.000 Euro och sedan tidigare har Österrikes tillsynsmyndighet tillämpat GDPR. Det vi märker nu är att lagen sakta börjar tillämpas ute i Europa. I Sverige har som bekant de första tillsynsärendena kommunicerats ut, men som i vårt fall inte gav upphov till några monetära sanktioner.

I ärendet i Portugal var det ett sjukhus som inte hade tillräckliga tekniska och organisatoriska skyddsåtgärder på plats för att skydda sina patientdata. Bland annat hade läkare tillgång till patientuppgifter utan att säkert kunna styrka sin identitet. t. ex. fanns det många fler läkare/läkarprofiler registrerade än läkare på sjukhuset. Läkare hade även tillgång till patientdata utanför det specialistområde som de ansvarade för. CNPD (den portugisiska tillsynsmyndigheten) konstaterade att deras tekniska och organisatoriska skyddsåtgärder måste stärkas och delgav även en böter på 400.000 euro. Sjukhuset har överklagat denna dom med motiveringen att man använder samma IT-system som tillhandahålls offentliga sjukhus av portugisiska hälsoministeriet. CNPD har dock beslutat att detta inte är ett giltigt skäl då det är sjukhusets ansvar att säkerställa att IT-systemen lever upp till GDPRs krav.

I fallet i Österrrike, gäller sanktionerna ett bolag som utövat kameraövervakning på en allmän plats. DSB (den österrikiska tillsyndmyndigheten) hävdar att sanktionerna skall vara proportionerliga till bolagets storlek och det brott som begåtts och utdömer en sanktionsavgift på 4.800 euro till organisationen.

ICO har även i dagarna slutgiltigt gått ut med att man tilldelar Facebook maxbeloppet på  £500,000 enligt tidigare regelverket, men med tillägget att om motsvarande händelse skett under GDPR hade böterna varit signifikant högre.

 

Vi  börjar sakta se hur GDPR tillämpas både i Sverige och ute i Europa. Troligtvis kommer vi att se många fler domar i framtiden. Då kommer det även att bli tydligare på vilka delar i lagstiftningen som man lyfter fram är extra viktig att följa.

Länkar och mer information:

http://digital.freshfields.com/post/102f39w/first-gdpr-fine-issued-by-austrian-data-protection-regulator

https://www.natlawreview.com/article/portuguese-hospital-receives-and-contests-400000-fine-gdpr-infringement

https://www.theverge.com/2018/10/25/18021900/facebook-cambridge-analytica-scandal-uk-data-watchdog-ico-fines-maximum-amount

 

About the Author:

Fredrik Jonasson är delägare i IT-säkerhetsbolaget och föreläser och utbildar kring GDPR. Certifierad CIPM, Verksamhetsarkitekt, ITIL-Expert. Fredrik är en civilingenjör i Teknisk Fysik.
>