Ett år med GDPR - det här prioriterar Datainspektionen framåt

nyckeltal-640x360 ‹ Tillbaka till artiklarna

Dataskyddsförordningen firar nu ett år från det att den började tillämpas och mycket har hänt sedan det skälvande datumet 25 maj 2018. Vad kan man ta med sig från det gångna året och vad ska man hålla ögonen på framöver?

Personuppgiftincidenter och frustrerande anmälningsblanketter

Det som alla pratat om sedan maj 2018 är personuppgiftsincidenter. Kravet på att anmäla en incident senast 72 timmar efter att den upptäckts skapade rädsla och osäkerhet kring vad man skulle anmäla och Datainspektionens fysiska anmälningsblankett skapade frustration.

Datainspektionen tog emot hela 2300 anmälningar och utan att ange några siffror för detta skriver Datainspektionen att den absoluta merparten var reella personuppgiftsincidenter men att man initialt såg en tendens till överrapportering.

Datainspektionens årsredovisning visar att 61 % av personuppgiftsincidenterna beror på den mänskliga faktorn och 42 % av incidenterna består av felaktiga brevutskick.
Gällande anmälningsförfarandet är det fortfarande den fysiska blanketten som gäller. Datainspektionen skriver att man arbetar på en online-lösning men att det ännu är oklart när denna är klar och i drift.

Läs även: GDPR - vad som har hänt och vart vi är på väg?

Datainspektionen har inlett granskningar

Datainspektionen har inlett ett antal granskningar i enlighet med den tillsynsplan som har tagits fram men även baserat på de klagomål som har kommit in från enskilda och baserat på inträffade personuppgiftsincidenter.

Avslutade tillsynsärenden har fått reprimander

Datainspektionen har publicerat en granskning som omfattade 350 verksamheter, gällande huruvida dataskyddsombud hade tillsatts i offentlig och privat sektor. Av granskningen framgår hur myndigheten valt att ge reprimander för de verksamheter som uppvisade brister. Av totalt 66 tillsynsärenden har Datainspektionen beslutat att ge reprimander i 57 fall. I två fall har tillsynsobjekten fått ett föreläggande och sju fall har avslutats utan åtgärd. Inga administrativa sanktionsavgifter har beslutats.

Läs även: GDPR - fem vanliga missförstånd

Datainspektionens prioriteringar framåt

Datainspektionen har publicerat en tillsynsplan för 2019-2020 från vilken man kan utläsa vad som kommer prioriteras i myndighetens arbete. En stor del i myndighetens arbete handlar om att skapa förståelse för regelverket och hur det ska tillämpas. De rättsområden som man valt att prioritera är:

  • Samtycke med fokus på kraven om frivillighet, samtyckets omfattning, information samt tydlighet.

  • Gränsdragning mellan betaltjänstlagen och kreditupplysning för att klargöra när dataskyddsförordningen respektive kreditupplysningslagen ska tillämpas.

  • Gränsdragning gällande personuppgiftsansvar och personuppgiftsbiträde där Datainspektionen kommer att leda arbetet med att ta fram riktlinjer för att bättre kunna bedöma olika situationer. Datainspektionen har svarat följande vid förfrågan vilket kan ge klarhet i osäkerheten kring när man ska skriva biträdesavtal med en konsult:
    "Om en konsult arbetar under den personuppgiftsansvariges ledning som om denne vore anställd eller inhyrd konsult krävs inget biträdesavtal. En anställd eller någon annan som behandlar personuppgifter under den personuppgiftsansvariges direkta ansvar och ledning torde inte vara att anse som personuppgiftsbiträde. Ett biträdesförhållande föreligger dock om en extern part (till exempel ett konsultbolag) behandlar personuppgifter för den personuppgiftsansvariges räkning. Konsulter som arbetar självständigt kan sannolikt inte anses behandla uppgifterna under den personuppgiftsansvariges/företagets direkta ansvar – personuppgiftsbiträdesavtal krävs i dessa fall."

Vägledning kring konsekvensbedömningar välkomnas

Datainspektionen har under året publicerat en förteckning som är vägledande för när en konsekvensbedömning enligt artikel 35 ska göras med ett antal konkreta och belysande exempel inom olika områden.

Detta är mycket välkommet då konsekvensbedömningar varit och är ett stort område som många organisationer ännu inte lyckats landa i på ett tillfredsställande sätt.

Sammanfattning av GDPR:s första år

Sammanfattningsvis kan man säga att Datainspektionen tar det säkra före det osäkra och arbetar metodiskt med de tillsynsärenden som valts ut. Än så länge har vi inte sett beslut om några sanktionsavgifter. Det tror vi dock endast en tidsfråga nu när väldigt allvarliga incidenter uppdagas var och varannan vecka. Det kommer bli mycket intressant att se hur datainspektionen kommer att bedöma nivån på sanktionsavgifterna i specifika fall.

Vill du veta mer om GDPR? Läs mer här >>

Kristoffer Andersson

Kristoffer Andersson

Kristoffer driver PwC:s satsning på rådgivning inom området personuppgiftshantering och dataskydd. Han har flerårig erfarenhet av att jobba med att granska såväl som implementera anpassningar till GDPR i allt ifrån små ägarledda företag till börsnoterade multinationella koncerner.

Lämna en kommentar

Relaterad läsning

Läs artikeln

Störst risk för cyberattacker under sommaren - det här bör företagaren tänka på

Allt fler svenska bolag utsätts för cyberattacker och nu kommer vi in i den period på året då risken för attacker är som störst. Jakob ...

Läs artikeln
Läs artikeln

Så kan IT stödja och utveckla företagets affärsplan

IT är en avgörande del av verksamheten och bör ses som en möjliggörare för att stödja och utveckla företagets affärsplan. Men innan du ...

Läs artikeln
Läs artikeln

Så blir ditt bolag hållbart på riktigt

Familjeägda bolag bygger ofta på en stark värdegrund och hållbart företagande faller sig naturligt för många entreprenörer. Likväl kan ett ...

Läs artikeln