In una prima fase, l’autorità scoprirà se è competente a riesaminare un reclamo riguardante ABB, che è un gruppo internazionale.
L’Ispettorato dei dati ha ricevuto un reclamo relativo a come ABB gestisce i dati personali e ha ora avviato un’indagine sulla società. In una prima fase, l’autorità esaminerà se è competente per la revisione contabile di ABB, che è un gruppo internazionale.
– A seconda dei risultati di questa revisione iniziale, ad esempio, possiamo procedere con la nostra revisione approfondita o consegnare il caso a qualsiasi autorità gemella in Europa, afferma Albin Brunskog, un avvocato dell’Ispettorato dei dati.
L’Ispettorato dei dati ora pone ad ABB una serie di domande per scoprire, tra l’altro, in quali paesi i dati personali del tipo menzionato nella denuncia sono trattati in relazione all’assunzione e in quale paese è stata presa la decisione di gestire i dati personali in quel modo.
supervisione
La supervisione è una parte importante della nostra attività. L’Ispettorato dei dati effettua la supervisione per garantire che le libertà e i diritti fondamentali delle persone siano protetti in relazione al trattamento dei dati personali e che siano osservate le buone pratiche nelle informazioni sul credito e nelle attività di recupero crediti.
La migliore protezione della privacy per le persone si ottiene se l’Ispettorato dei dati può contribuire alle autorità, alle società e ad altre organizzazioni che lavorano sistematicamente sulle questioni di integrità nelle loro operazioni quotidiane e che sono supportate nel fare bene.
Una parte importante della nostra supervisione riguarda quindi la messa a disposizione di molti dei risultati della supervisione. Pertanto, la supervisione può comportare che oltre al revisore venga comunicato ciò che è necessario per rispettare le regole.
Il lavoro di vigilanza dell’Ispettorato dei dati si basa sulla nostra politica di vigilanza e su un piano di vigilanza annuale che specifica su quali aree prioritarie (ad esempio nuovi fenomeni o settori) su cui intendiamo focalizzare la nostra supervisione.
La supervisione viene normalmente svolta o nei locali di un’organizzazione (ispezione) o inviando domande a cui l’organizzazione deve rispondere per iscritto (supervisione del banco). Se deve essere effettuata un’ispezione, l’organizzazione riceve normalmente informazioni in merito in anticipo.
I nostri poteri
I nostri poteri investigativi in materia di supervisione sono stabiliti nel Regolamento sulla protezione dei dati. A differenza del passato, l’Ispettorato dei dati può ora avviare anche la supervisione degli assistenti dei dati personali.
In precedenza, era possibile solo dirigere la supervisione al titolare del trattamento.
Tra l’altro, l’Ispettorato dei dati ha i seguenti poteri investigativi:
- Ordinare al responsabile del trattamento dei dati personali o all’assistente per i dati personali di fornire tutte le informazioni necessarie per svolgere anni di supervisione.
- Condurre indagini sotto forma di controllo sulla protezione dei dati.
- Informare il responsabile della protezione dei dati o l’assistente ai dati personali di una presunta violazione del regolamento sulla protezione dei dati.
- Tramite il responsabile del trattamento dei dati personali o l’assistente per i dati personali, l’accesso a tutti i dati personali e le informazioni di cui abbiamo bisogno per essere in grado di soddisfare la nostra supervisione.
- Ottieni l’accesso a tutti i locali appartenenti al titolare del trattamento o all’assistente per i dati personali.
Perché esercitiamo la supervisione?
Le attività di controllo dell’Ispettorato dei dati mirano in definitiva a garantire la protezione delle libertà e dei diritti fondamentali delle persone nel trattamento dei dati personali. Una supervisione efficace è uno strumento importante per raggiungere una società dell’informazione sicura.
L’ispettorato per i dati è responsabile di garantire che le norme sulla protezione dei dati siano applicate correttamente durante l’elaborazione dei dati personali. Al fine di raggiungere tale conformità, le disposizioni del regolamento sulla protezione dei dati conferiscono alle autorità di regolamentazione una serie di poteri correttivi quali avvisi, rimproveri, ingiunzioni e penali amministrative.
Come lavoriamo con la supervisione
L’Ispettorato dei dati può esaminare i responsabili dei dati personali e gli assistenti dei dati personali sia mediante ispezione in loco che per iscritto, mediante una cosiddetta supervisione del desktop. Talvolta viene utilizzata una combinazione di ispezione e supervisione del banco, ad esempio una serie di domande scritte che portano a un’ispezione nello stesso caso di vigilanza.
ispezione
Ispezione significa che la supervisione inizia con il fatto che esaminiamo il trattamento dei dati personali in loco presso l’oggetto di supervisione, ovvero l’autorità, la società o l’organizzazione in esame. Di seguito è riportato un resoconto semplificato delle varie fasi di un caso di ispezione.
Prima dell’ispezione
Una volta determinato il tempo per l’ispezione, l’Ispettorato dei dati invia una conferma di ispezione scritta all’oggetto di controllo. Ad esempio, la conferma dell’ispezione mostra lo scopo dell’ispezione e una descrizione completa di ciò che l’oggetto di ispezione dovrebbe essere in grado di mostrare e rendere conto durante l’ispezione.
Durante l’ispezione
Il numero di persone che partecipano all’Ispettorato dei dati varia da due persone in poi. Durante un’ispezione, l’Ispettorato dei dati mette in discussione l’oggetto di supervisione, esamina i documenti ed esamina il funzionamento dei sistemi IT, il tutto in base allo scopo della supervisione. I report dell’oggetto di supervisione sono documentati in un protocollo.
Dopo l’ispezione
Dopo l’ispezione, l’Ispettorato dei dati redige un protocollo contenente i rapporti dell’oggetto supervisore e tutta la documentazione scritta che l’Ispettorato dei dati ha raccolto durante l’ispezione. Il protocollo completato viene inviato all’oggetto supervisione per eventuali commenti. In relazione a ciò, l’Ispettorato dei dati può anche porre domande supplementari all’oggetto di controllo. Quando viene esaminata la questione, l’ispettorato per i dati prende una decisione. La decisione specifica se vi sono carenze in materia di protezione dei dati e quali misure correttive vengono prese.
A cosa può portare la supervisione?
avvertenze
L’ispettorato per i dati può emettere un avvertimento scritto a chiunque stia pianificando un trattamento che potrebbe violare le disposizioni del regolamento sulla protezione dei dati o dei regolamenti supplementari. In altre parole, possiamo emettere un avviso solo prima che si sia verificata una violazione.
Un avviso indica in che modo il trattamento è a rischio di violazione delle regole. A differenza di altre misure correttive, un avvertimento di solito non è vincolante e quindi non porta a nessuna decisione applicabile. Tuttavia, l’avvertimento può essere combinato con altre misure correttive, come varie ingiunzioni, che possono essere impugnate.
Reprimander
In caso di violazione delle disposizioni del regolamento sulla protezione dei dati o delle norme supplementari, l’ispettorato dei dati può emettere un rimprovero. Un rimprovero può essere visto come una sorta di rimprovero ed è una sanzione più lieve di ingiunzioni e penalità.
I rimproveratori sono di solito rilevanti solo per violazioni minori. La nostra valutazione se si tratti di una violazione minore viene effettuata sulla base delle circostanze del singolo caso, secondo i criteri stabiliti nel regolamento sulla protezione dei dati.
Ordini, restrizioni e divieti
In alcune situazioni, l’Ispettorato dei dati ha la possibilità di ordinare alla persona che elabora i dati personali di adottare varie misure, ad esempio per soddisfare la richiesta dell’interessato per un estratto del registro.
L’ispettorato dei dati può anche, temporaneamente o definitivamente, imporre una limitazione o un divieto al trattamento. Una limitazione significa che l’Ispettorato dei dati stabilisce le condizioni per la prosecuzione del trattamento, ad esempio che il trattamento può essere effettuato solo per determinati scopi definiti. Un divieto significa che il trattamento dovrebbe interrompersi.
Sanzioni amministrative
Oltre o al posto di altre misure correttive, l’Ispettorato dei dati può decidere di applicare una penale.
Quasi tutte le violazioni del regolamento sulla protezione dei dati possono comportare sanzioni amministrative. Le violazioni in questione sono stabilite nel regolamento sulla protezione dei dati e nella legge sulla protezione dei dati supplementari.
Un esempio di quando l’ispettorato per i dati può decidere di imporre una penale è se il trattamento viola i principi di base del regolamento sulla protezione dei dati, come il requisito secondo cui i dati personali possono essere raccolti solo per scopi legittimi. Un altro esempio è se l’interessato non ha i suoi diritti, come il diritto all’informazione e alla rettifica.
Quanto può essere alta la penalità?
Non esiste un “prezzo” per quanto dovrebbe essere alta una penalità per una particolare violazione. Tuttavia, ci sono limiti di limite superiori, vale a dire l’importo massimo. L’ordinanza sulla protezione dei dati suddivide le violazioni in ciò che può essere descritto come più grave o leggermente meno grave , dove i primi hanno un importo massimo più elevato.
Per le autorità, l’importo massimo è di 10 milioni di corone svedesi e, per le violazioni leggermente meno gravi, l’importo massimo è di 5 milioni di corone svedesi. Per le autorità diverse, l’importo massimo massimo è di 20 milioni di EUR o, nel caso di una società, il quattro percento delle vendite annuali globali, a seconda di quale sia il valore più elevato. Per le infrazioni leggermente meno gravi, l’importo massimo è di 10 milioni di EUR o, nel caso di una società, il due percento delle vendite annuali globali, a seconda di quale sia il valore più elevato. Le società più grandi possono quindi essere obbligate a pagare più di 10 milioni di EUR e 20 milioni di EUR, in base al loro fatturato.
Se un trattamento identico o interconnesso comporta la violazione di più disposizioni, la penale sarà determinata in base alla gravità delle infrazioni totali. Tuttavia, l’importo totale non può mai essere superiore all’importo massimo applicabile per il reato più grave. Al fine di determinare se debba essere addebitata una penale e, in tal caso, quanto dovrebbe essere elevata, l’Ispettorato dei dati terrà conto in ogni caso dei criteri di valutazione, nella direzione attenuante e aggravante, come indicato nel regolamento sulla protezione dei dati. L’Ispettorato dei dati terrà conto, tra l’altro, se la violazione è negligente o intenzionale, da quanto tempo è in atto la violazione, quante persone sono state colpite, quanto è il danno e se è stato fatto qualcosa per limitare il danno.
L’ispettorato dei dati garantisce che la penalità in ciascun caso sia una sanzione effettiva, proporzionata e dissuasiva.
L’importo della penalità dipenderà quindi da:
- a quale disposizione si applica la violazione.
- chi ha commesso il reato.
- le circostanze del singolo caso.
Ciò significa che l’intervallo per una penalità va da 0 SEK fino all’importo massimo. Tuttavia, gli importi più elevati sono destinati alle violazioni più gravi e alle organizzazioni più grandi.