5.6 och 13. Dessa kombinationer talar för en dyr historia när det kommer till brott mot dataskyddsförordningen. Överträdelser mot dessa artiklar är att bedöma som allvarliga och innebär att sanktionsavgiftens belopp kan uppgå ända till 20 miljoner EUR eller 4% av den totala årsomsättningen under föregående budgetår. Det beror på vilket värde som är högst.
Detta är något som hände SL nyligen. 16 miljoner SEK.
Efter en testperiod med kroppsburna kameror på biljettkontrollanter övergick det hela till ett permanent användande. Det syftade dels till att använda kamerorna med både ljud och bild i samband med hot och våld. I dessa fall medgav IMY ett berättigat intresse, dock försågs dessa kameror med förinspelningsteknik. Kamerorna spelade in konstant men raderades efter 1 minut. Det innebar att i samband med hot och våld sparades databehandling 1 minut bakåt. I en tunnelbana, där många personer vistas, innebär det flera identifierade fysiska personer. Dessa resenärer som råkat förekomma i kamerans upptagningsförmåga ansågs överstiga vad som är nödvändigt för ändamålet. Maximalt 15 sekunder bedömde IMY var mer acceptabelt för att uppnå ändamålet.
SL ansåg att det fanns ett problem att säkerställa identiteter när tilläggsavgifter utfärdades. En aktivering av kameror för såväl bild- och ljudupptagning i sådana tillfällen ansåg IMY att gå för långt utöver vad som anses nödvändigt för att säkerställa en korrekt identifiering. Oavsett om en identitetshandling kunnat visas upp eller inte. Stillbilder hade varit ett bättre alternativ.
SL saknade laglig grund med undantag för den inspelning som sker i samband med hotfulla situationer. Deras behandling av personuppgifter i kontext med den förinspelning som sker under 1 minut innebär en allt för omfattande insamling och behandling av en allt för stor mängd personuppgifter. Dessutom var informationen till de registrerade bristfällig.
Det finns sex stycken rättsliga grunder i dataskyddsförordningen. Avtal, intresseavvägning, rättslig förpliktelse, myndighetsutövning, samtycke och grundläggande intresse. I SL:s fall handlade det om intresseavvägning, om behandlingen är nödvändig för att uppnå angivna ändamål och om den personuppgiftsansvariges intressen väger tyngre än enskildas integritetsintresse.
För dig som företagare ska du inför varje behandling dokumentera den valda rättsliga grunden och motivera valet. Du ska även informera vilken rättslig grund du stödjer dig på till de registrerade för de uppgifter du behandlar. Information kan meddelas i er dataskyddspolicy.
