Ett år med GDPR - det här prioriterar Datainspektionen framåt

Dataskyddsförordningen firar nu ett år från det att den började tillämpas och mycket har hänt sedan det skälvande datumet 25 maj 2018. Vad kan man ta med sig från det gångna året och vad ska man hålla ögonen på framöver?

Personuppgiftincidenter och frustrerande anmälningsblanketter

Det som alla pratat om sedan maj 2018 är personuppgiftsincidenter. Kravet på att anmäla en incident senast 72 timmar efter att den upptäckts skapade rädsla och osäkerhet kring vad man skulle anmäla och Datainspektionens fysiska anmälningsblankett skapade frustration.

Datainspektionen tog emot hela 2300 anmälningar och utan att ange några siffror för detta skriver Datainspektionen att den absoluta merparten var reella personuppgiftsincidenter men att man initialt såg en tendens till överrapportering.

Datainspektionens årsredovisning visar att 61 % av personuppgiftsincidenterna beror på den mänskliga faktorn och 42 % av incidenterna består av felaktiga brevutskick.
Gällande anmälningsförfarandet är det fortfarande den fysiska blanketten som gäller. Datainspektionen skriver att man arbetar på en online-lösning men att det ännu är oklart när denna är klar och i drift.

Läs även: GDPR - vad som har hänt och vart vi är på väg?

Datainspektionen har inlett granskningar

Datainspektionen har inlett ett antal granskningar i enlighet med den tillsynsplan som har tagits fram men även baserat på de klagomål som har kommit in från enskilda och baserat på inträffade personuppgiftsincidenter.

Avslutade tillsynsärenden har fått reprimander

Datainspektionen har publicerat en granskning som omfattade 350 verksamheter, gällande huruvida dataskyddsombud hade tillsatts i offentlig och privat sektor. Av granskningen framgår hur myndigheten valt att ge reprimander för de verksamheter som uppvisade brister. Av totalt 66 tillsynsärenden har Datainspektionen beslutat att ge reprimander i 57 fall. I två fall har tillsynsobjekten fått ett föreläggande och sju fall har avslutats utan åtgärd. Inga administrativa sanktionsavgifter har beslutats.

Läs även: GDPR - fem vanliga missförstånd

Datainspektionens prioriteringar framåt

Datainspektionen har publicerat en tillsynsplan för 2019-2020 från vilken man kan utläsa vad som kommer prioriteras i myndighetens arbete. En stor del i myndighetens arbete handlar om att skapa förståelse för regelverket och hur det ska tillämpas. De rättsområden som man valt att prioritera är:

• Samtycke med fokus på kraven om frivillighet, samtyckets omfattning, information samt tydlighet.
  
  
• Gränsdragning mellan betaltjänstlagen och kreditupplysning för att klargöra när dataskyddsförordningen respektive kreditupplysningslagen ska tillämpas.
  
  
• Gränsdragning gällande personuppgiftsansvar och personuppgiftsbiträde där Datainspektionen kommer att leda arbetet med att ta fram riktlinjer för att bättre kunna bedöma olika situationer. Datainspektionen har svarat följande vid förfrågan vilket kan ge klarhet i osäkerheten kring när man ska skriva biträdesavtal med en konsult:

Vägledning kring konsekvensbedömningar välkomnas

Datainspektionen har under året publicerat en förteckning som är vägledande för när en konsekvensbedömning enligt artikel 35 ska göras med ett antal konkreta och belysande exempel inom olika områden.

Detta är mycket välkommet då konsekvensbedömningar varit och är ett stort område som många organisationer ännu inte lyckats landa i på ett tillfredsställande sätt.

Sammanfattning av GDPR:s första år

Sammanfattningsvis kan man säga att Datainspektionen tar det säkra före det osäkra och arbetar metodiskt med de tillsynsärenden som valts ut. Än så länge har vi inte sett beslut om några sanktionsavgifter. Det tror vi dock endast en tidsfråga nu när väldigt allvarliga incidenter uppdagas var och varannan vecka. Det kommer bli mycket intressant att se hur datainspektionen kommer att bedöma nivån på sanktionsavgifterna i specifika fall.