<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=959086704153666&amp;ev=PageView&amp;noscript=1">

Ett år med GDPR - det här prioriterar Datainspektionen framåt

nyckeltal-640x360 ‹ Tillbaka till artiklarna

Dataskyddsförordningen firar nu ett år från det att den började tillämpas och mycket har hänt sedan det skälvande datumet 25 maj 2018. Vad kan man ta med sig från det gångna året och vad ska man hålla ögonen på framöver?

Personuppgiftincidenter och frustrerande anmälningsblanketter

Det som alla pratat om sedan maj 2018 är personuppgiftsincidenter. Kravet på att anmäla en incident senast 72 timmar efter att den upptäckts skapade rädsla och osäkerhet kring vad man skulle anmäla och Datainspektionens fysiska anmälningsblankett skapade frustration.

Datainspektionen tog emot hela 2300 anmälningar och utan att ange några siffror för detta skriver Datainspektionen att den absoluta merparten var reella personuppgiftsincidenter men att man initialt såg en tendens till överrapportering.

Datainspektionens årsredovisning visar att 61 % av personuppgiftsincidenterna beror på den mänskliga faktorn och 42 % av incidenterna består av felaktiga brevutskick.
Gällande anmälningsförfarandet är det fortfarande den fysiska blanketten som gäller. Datainspektionen skriver att man arbetar på en online-lösning men att det ännu är oklart när denna är klar och i drift.

Läs även: GDPR - vad som har hänt och vart vi är på väg?

Datainspektionen har inlett granskningar

Datainspektionen har inlett ett antal granskningar i enlighet med den tillsynsplan som har tagits fram men även baserat på de klagomål som har kommit in från enskilda och baserat på inträffade personuppgiftsincidenter.

Avslutade tillsynsärenden har fått reprimander

Datainspektionen har publicerat en granskning som omfattade 350 verksamheter, gällande huruvida dataskyddsombud hade tillsatts i offentlig och privat sektor. Av granskningen framgår hur myndigheten valt att ge reprimander för de verksamheter som uppvisade brister. Av totalt 66 tillsynsärenden har Datainspektionen beslutat att ge reprimander i 57 fall. I två fall har tillsynsobjekten fått ett föreläggande och sju fall har avslutats utan åtgärd. Inga administrativa sanktionsavgifter har beslutats.

Läs även: GDPR - fem vanliga missförstånd

Datainspektionens prioriteringar framåt

Datainspektionen har publicerat en tillsynsplan för 2019-2020 från vilken man kan utläsa vad som kommer prioriteras i myndighetens arbete. En stor del i myndighetens arbete handlar om att skapa förståelse för regelverket och hur det ska tillämpas. De rättsområden som man valt att prioritera är:

  • Samtycke med fokus på kraven om frivillighet, samtyckets omfattning, information samt tydlighet.

  • Gränsdragning mellan betaltjänstlagen och kreditupplysning för att klargöra när dataskyddsförordningen respektive kreditupplysningslagen ska tillämpas.

  • Gränsdragning gällande personuppgiftsansvar och personuppgiftsbiträde där Datainspektionen kommer att leda arbetet med att ta fram riktlinjer för att bättre kunna bedöma olika situationer. Datainspektionen har svarat följande vid förfrågan vilket kan ge klarhet i osäkerheten kring när man ska skriva biträdesavtal med en konsult:
    "Om en konsult arbetar under den personuppgiftsansvariges ledning som om denne vore anställd eller inhyrd konsult krävs inget biträdesavtal. En anställd eller någon annan som behandlar personuppgifter under den personuppgiftsansvariges direkta ansvar och ledning torde inte vara att anse som personuppgiftsbiträde. Ett biträdesförhållande föreligger dock om en extern part (till exempel ett konsultbolag) behandlar personuppgifter för den personuppgiftsansvariges räkning. Konsulter som arbetar självständigt kan sannolikt inte anses behandla uppgifterna under den personuppgiftsansvariges/företagets direkta ansvar – personuppgiftsbiträdesavtal krävs i dessa fall."

Vägledning kring konsekvensbedömningar välkomnas

Datainspektionen har under året publicerat en förteckning som är vägledande för när en konsekvensbedömning enligt artikel 35 ska göras med ett antal konkreta och belysande exempel inom olika områden.

Detta är mycket välkommet då konsekvensbedömningar varit och är ett stort område som många organisationer ännu inte lyckats landa i på ett tillfredsställande sätt.

Sammanfattning av GDPR:s första år

Sammanfattningsvis kan man säga att Datainspektionen tar det säkra före det osäkra och arbetar metodiskt med de tillsynsärenden som valts ut. Än så länge har vi inte sett beslut om några sanktionsavgifter. Det tror vi dock endast en tidsfråga nu när väldigt allvarliga incidenter uppdagas var och varannan vecka. Det kommer bli mycket intressant att se hur datainspektionen kommer att bedöma nivån på sanktionsavgifterna i specifika fall.

Vill du veta mer om GDPR? Läs mer här >>

PwC

PwC

PwC Sverige är marknadsledande inom revision och rådgivning med 2 700 medarbetare runt om i landet – vi finns där du finns! Vårt syfte är att skapa förtroende i samhället och lösa viktiga problem och våra värderingar genomsyrar allt vi gör.

Lämna en kommentar

Relaterad läsning

Läs artikeln

Maktskifte i USA - vad innebär det för svenska företag?

Donald Trump har återigen valts till USA:s president och Republikanerna har säkrat majoritet i den 119:e kongressen. Detta innebär en ...

Läs artikeln
Läs artikeln

Risklandskapet 2025 för företagare: Var inte rädd. Var förberedd!

Förändringar i klimatet, snabba teknologiska framsteg och globala konflikter skapar en ny dynamik för företag av alla storlekar, inklusive ...

Läs artikeln
Läs artikeln

Direktivet om lönetransparens - legala fallgropar vid transaktioner

Senast den 7 juni 2026 ska EU:s nya lönetransparensdirektivet implementeras i svensk lagstiftning. Flera nya förändringar kommer att ske, ...

Läs artikeln