j

skriven av joakim

}

09.22.2022

IMY lyssnar inte första gången

Inledning

Kommer ni ihåg när ni såg Star Wars för första gången? Alltså a New Hope. När Darth Vader kommer in fattar man: ”han den där ska man inte leka med, det kan stå en dyrt”. Det här demonstrerar även Herr Vader redan i samma scen. Så som Captain Antilles kände sig på bilden här nedan, så kände sig nog en hel del företag när GDPR kom.

Myndighetschefen på IMY delar ut den första sanktionen, omgiven av myndighetens tjänstepersoner.

OK att IMY:s syfte kanske inte är att ta kål på bolag eller myndigheter. Men IMY måste fortfarande vara en myndighet som skrämmer bolag och myndigheter, och i förlängningen behöver därför bolag och myndigheter vara rädda för att folk klagar. Därför är det även viktigt att vi medborgare i Rymdimperiet (EU) klagar hos våra tillsynsmyndigheter så att de kan bussa en Darth Vader (inleda tillsyn) på de som bryter mot reglerna. Frågan är väl då bara vad som krävs för att IMY ska inleda tillsyn och om bolag och myndigheter verkligen behöver vara rädda för IMY idag. Det ska vi svara på i det här inlägget!

Vad händer när man klagar hos IMY?

I den statistik som IMY presenterade från 2021 hade de fått in 2 300 klagomål från enskilda men enbart inlett 104 tillsynsärenden. Därmed kan vi konstatera att även om IMY bara inleder tillsyn med anledning av klagomål från enskilda så gör de det med en frekvens om 4,5 %. Huvudregeln är således inte att klagomål leder till tillsyn. Antingen får därför IMY in väldigt många klagomål som inte uppfyller formkraven, eller så avslutar de ärenden på andra sätt. Det här andra sättet är informationsbrev, vilket är att jämställa med ett avslag. Detta till trots att IMY i sin årsrapport 2020 konstaterade att alla klagomål fortsättningsvis skulle leda till åtgärd. Ett år senare uttryckte de sig såhär:

Sammanfattningsvis är vår bedömning att vi under 2021 delvis uppnått det övergripande målet för klagomål – att medborgarnas rättigheter tillvaratas på ett effektivt och rättssäkert sätt. Att vi gör en individuell bedömning av varje enskilt klagomål har förstärkt fokus på enskildas rättigheter och resultatet avseende vårt arbete med klagomål bedöms som tillfredsställande.

IMY Årsredovisning 2021 – sida 17

95,5 % av alla klagomålsärenden läggs ner utan prövning och det bedömer IMY vara tillfredställande. Eller som Darth Vader sa i Empire:

IMY angående sitt löfte om att klagomål ska leda till åtgärder.

Det som händer när jag eller du klagar hos IMY idag är alltså med största sannolikhet att den som vi klagar på får ett brev skickat till sig där IMY förklarar vad som står i lagen. Ingen uppföljning, ingen instruktion, inget föreläggande att faktiskt följa lagen.

IMY:s rutiner

Den naturliga följdfrågan, inbillar jag mig själv, är ”hur kan det fungera på det här sättet?”. Svaret är att IMY har har tagit fram en del rutiner för hur de hanterar klagomål. Vilka jag delar med er här (tack offentlighetsprincipen):

Det jag uppfattar vara de mest intressanta bland dessa dokument om vi ska förstå hur IMY hanterar klagomål är rutinen för handläggning av klagomål och den särskilda rutinen för handläggning av klagomål enligt artikel 15, eller rätten till tillgång. Att rätten till tillgång har en särskild rutin kan förklaras genom att den rättigheten ofta är en förutsättning för att de andra rättigheterna ska kunna aktualiseras. Inte så konstigt med andra ord.

Något som däremot är konstigt är att rutinernas syfte ser ut att vara en vägledning för hur myndigheten ska undvika tillsyn, snarare än en förklaring för när tillsyn ska inledas. Något som illustreras i följande stycke:

När ärendet inte kan avslutas utan åtgärd eller informationsbrev återstår det att inleda ett tillsynsärende för att utreda klagomålet och ta tillvara den registrerades rättigheter.

Rutin för handläggning av klagomål – 6. Tillsyn (hela kapitlet)

Det bekräftas att huvudregeln vid klagomål är avsaknad av åtgärd eller ett informationsbrev. Tillsyn med anledning av klagomål är undantaget.

Ni läsare som redan lusläst rutindokumenten vet att IMY sätter upp tre kriterier för att ett klagomålsärende ska kunna avslutas med informationsbrev. Nämligen att:

  1. Det bedöms som sannolikt att mottagaren av informationsbrevet tar del av informationen och vidtar åtgärder om behandlingen/agerandet inte är i överensstämmelse med gällande regler.
  2. Det finns tydliga regler eller etablerad praxis på området som tydligt visar vad som gäller för att den personuppgiftsansvarige ska få behandla personuppgifter eller vilka åtgärder personuppgiftsansvarige ska vidta, t.ex. radering eller att lämna information till klaganden.
  3. Det är en mindre allvarlig överträdelse, dvs. den har liten påverkan på registrerades fri- och rättigheter.

Hur dessa krav hänger ihop går att utläsa från den särskilda rutinen avseende artikel 15. Där framgår nämligen att en helhetsbedömning ska göras, och att infobrev ska användas om den sammantagna bedömningen innebär att infobrev sannolikt får effekt. I praktiken är det således bara ett av kriterierna som är intressant. Nämligen om det är sannolikt att mottagaren av informationsbrevet kommer vidta åtgärder för att skärpa sig nu när de fått veta vad som står i lagen, 95,5 av gångerna gör IMY bedömningen att så är fallet. IMY börjar nu likna Tage Danielsson mer än Darth Vader. Mycket snack om sannolikhet, men kanske inte så skräckinjagande.

Vad händer sen/slutsats

Att något är sannolikt innebär precis som Tage en gång sa, att det är likt sanning. Att det därför är det som troligen kommer att ske. Frågan är då om det är likt sanning att ”en person som medvetet bryter mot lagen kommer att ändra sig om den blir informerad om vad som står i lagen”? Eller är det mer likt sanning att säga att ”någon som får veta att deras brott inte får konsekvenser kommer fortsätta att begå brott”? Min uppfattning är att det senare är mer likt sanning, och det har även illustrerats för mig vid de tillfällen jag klagat hos IMY. Den jag klagat på har fått ett informationsbrev, och därefter händer ingenting.

IMY likt R5-D4 verkar ha halvkass motivation.

Den känslan det här har skapat hos mig är att IMY inte tar klagomål på allvar. Den känslan i sin tur innebär att jag blir mindre benägen att klaga på regelbrott nästa gång. Om man vill vara konspiratorisk så kan man dra slutsatsen att det just är det som är poängen med den här processen.

Lyckligtvis finns det hopp. Genom att klaga igen på samma sak så tydliggör man för IMY att ett informationsbrev inte har effekt. Då går det inte längre hävda att det är sannolikt att informationsbrevet skulle få effekt. Det enda alternativet som finns kvar för IMY är då att inleda tillsyn. Handläggningstiden för IMY att hantera ett klagomål är ca 3 månader, sen har den personuppgiftsansvarige en månad på sig att rätta sig, därefter får man klaga igen. Så allt som allt tar det ca sju månader för IMY att inleda tillsyn med anledning av klagomål, och man måste klaga två gånger.

Så här kommer en uppmaning till alla er som klagat hos IMY och inte blivit nöjda: klaga igen på samma sak! Om vi har tur kanske vi kan få IMY att bli en Darth Vader igen istället för en trasig robot.

Bildkällor:

Bild ett är hämtad ifrån: https://scifi.stackexchange.com/questions/118206/why-does-darth-vader-opt-to-physically-strangle-captain-antilles-at-the-beginnin.

Bild två är hämtad från: https://knowyourmeme.com/memes/i-am-altering-the-deal

Bild tre är hämtad från: https://imgflip.com/i/6ufxbx

Relaterade blogginlägg

Incidentmall

Incident-tillbudsrapportLadda ner Incidentrapportering är något som finns i massa branscher, men av någon anledning tror folk att det ska gå till på ett särskilt sätt inom dataskydd. Så är det inte....

läs mer

Mall för Konsekvensbedömning

Konsekvensbedomning-mallLadda ner När jag satt och letade efter mallar för konsekvensbedömningar insåg jag att det inte fanns några bra. De flesta är antingen någon form av checkboxövning (vilket...

läs mer
Borde vi ha ett Dataskyddsombud?

Borde vi ha ett Dataskyddsombud?

Rollen som Dataskyddsombud är lite speciell. Det kortaste sättet att beskriva rollen (som jag kan komma på) är att det är som att vara revisor, fast med GDPR. En längre beskrivning av tjänsten kan...

läs mer