Hur vi arbetar med tillsyn
Integritetsskyddsmyndigheten kan granska personuppgiftsansvariga och personuppgiftsbiträden genom såväl inspektion på plats som skriftligen, i en så kallad skrivbordstillsyn. Ibland används en kombination av inspektion- och skrivbordstillsyn, till exempel genom att ett antal skriftliga frågor leder till en inspektion i samma tillsynsärende.
Inspektion
Inspektion innebär att tillsynen startar med att vi granskar behandlingen av personuppgifter på plats hos tillsynsobjektet, det vill säga den myndighet, det företag eller den organisation som granskas. Nedan följer en förenklad redogörelse för de olika stegen i ett inspektionsärende.
Inför inspektionen
När tidpunkt för inspektionen har bestämts, skickar Integritetsskyddsmyndigheten en skriftlig inspektionsbekräftelse till tillsynsobjektet. Av inspektionsbekräftelsen framgår exempelvis syftet med tillsynen och en övergripande beskrivning av vad tillsynsobjektet ska kunna visa upp och redogöra för på inspektionen.
Under inspektionen
Antalet personer som deltar från Integritetsskyddsmyndigheten varierar från två personer och uppåt. Vid en inspektion ställer Integritetsskyddsmyndigheten frågor till tillsynsobjektet, granskar handlingar och undersöker hur IT-systemen fungerar, allt utifrån syftet med tillsynen. Tillsynsobjektets redogörelser dokumenteras i ett protokoll.
Efter inspektionen
Efter inspektionen skriver Integritetsskyddsmyndigheten ett protokoll som innehåller tillsynsobjektets redogörelser och eventuell skriftlig dokumentation som Integritetsskyddsmyndigheten har hämtat in under inspektionen. Det färdigställda protokollet skickas till tillsynsobjektet för eventuella synpunkter. I samband med det kan Integritetsskyddsmyndigheten även ställa kompletterande frågor till tillsynsobjektet. När ärendet är utrett fattar Integritetsskyddsmyndigheten beslut. I beslutet anges om det finns brister gällande dataskyddet samt vilken eller vilka korrigerande åtgärder som beslutas.
Läs mer om våra korrigerande befogenheter här
Överklagandehänvisningar framgår av beslutet.
Skrivbordstillsyn
En skrivbordstillsyn startar genom att Integritetsskyddsmyndigheten skickar ett antal frågor via brev till tillsynsobjektet. Av brevet framgår anledningen till tillsynen. Ibland räcker det med de svar som tillsynsobjektet inkommer med vid första tillfället, men det händer även att vi ställer kompletterande frågor. När ärendet är utrett fattar Integritetsskyddsmyndigheten ett beslut, på samma sätt som efter en inspektion.
Rättsinformation
Artikel 58 dataskyddsförordningen
Artikel 83 dataskyddsförordningen
6 kap. dataskyddslagen
7 kap. 3 § dataskyddslagen