Samtyckesregler, sanktionsavgifter och incidentrapportering – det var många heta punkter på agendan när Dataskyddsinspektionen bjöd in till heldagskonferensen ”Ett år med Dataskyddsreformen” i Göteborg den 28 maj. Vad har hänt under året som gått och inte minst – vad kommer att ske framöver?
Tre heldagskonferenser blev det när Dataskyddsinspektionen markerade årsdagen av den nya dataskyddsreformen, GDPR. På plats i Göteborg fanns Victoria Ödlund och Annika Westergren, HR-experter hos Simployer.
Hur var upplägget för dagen?
– Det var en heldagskonferens med talare från både Datainspektionen, kommuner, myndigheter och det privata näringslivet. Vi var ca 200 personer som lyssnade på vad som hänt under året, Sveriges roll i det europeiska samarbetet, aktuella frågor och mycket mer, säger Victoria Ödlund.
Oro inför GDPR
Lena Lindgren Schelin, generaldirektör på Datainspektionen, inledde dagen med att beskriva den nästintill domedagsaktiga stämning som rådde inför den 25 maj. När ingenting dramatiskt hände blev folk oroliga – när skulle problemen komma? beskriver Victoria Ödlund.
Är folk fortfarande oroliga?
– Ja, om vi utgår från Datainspektionens senaste rapport så uppgav 76 % av alla medborgare att de känner en viss form av oro kring hur deras personuppgifter används. Trots det fortsätter de flesta att dela med sig av sina personuppgifter. Datainspektionen kallade det för ”integritetsparadoxen”.
Personuppgifter beskrevs under dagen som det nya guldet, vad betyder det?
– Det handlade om hur värdefulla personuppgifter faktiskt är och hur fler företag börjar få upp ögonen för detta faktum. Som användare är det dags att inse att ens personuppgifter är något att vara rädd om, att man måste börja tänka på hur man kan skydda sig, säger Victoria Ödlund.
Sanktionsavgifter vanligaste frågan under året
Den absolut vanligaste frågan som Datainspektionen fått under året var när de första sanktionsavgifterna kommer. Än så länge har ingen sanktionsavgift utfärdats i Sverige och det kan dröja ett tag till, enligt Victoria Ödlund.
– Datainspektionen var tydliga med att sanktionsavgifter ska användas när de ger som mest effekt, till exempel i frågor som rör många företag och där effekten ska gynna målet ”ett tryggare informationssamhälle”. De ska primärt inte användas för att ”sätta dit” enskilda företag. Innan man börjar pålägga avgifter måste man också göra en grundlig tillsyn.
Sa de något om vilka tillsynsområden som kommer vara prioriterade framöver?
– Ett av de prioriterade rättsområden framöver kommer vara att reda ut gränsdragningsproblematik kring rollerna personuppgiftsansvarig kontra personuppgiftsbiträde, vem är ansvarig för vad? Dessutom kommer de att titta på samtycke som rättslig grund.
Är det något fel på samtycke som rättslig grund?
– Nej, men det finns en misstanke om att just samtycke överanvänds vid hanteringen av personuppgifter. Om det finns en annan rättslig grund ska man helst använda den, inte samtycke, säger Victoria Ödlund.
Systematiskt arbete och rapportering viktigt framöver
Trots mycket oro innan GDPR infördes tycker 73 % av alla dataskyddsombud tycker att det har gått bra. De flesta verksamheter har också en grundläggande struktur kring dataskyddsarbetet. Nästa steg är att börja arbeta systematiskt med sitt dataskyddarbete, att skapa kontinuitet och ge medarbetarna fortsatt utbildning i frågorna.
– Som medarbetare behöver man kontinuerlig utbildning i frågor om dataskydd. Man behöver t ex bli påmind om att inte långvarigt spara personuppgifter i sin e-post eller att man inte bör maila känsliga personuppgifter. De som hanterar löner och HR-avdelningar behöver också ha koll på till exempel hur länge man får spara uppgifter och när det är dags att gallra, säger Victoria Ödlund.
Även rapporteringen kring personuppgiftsincidenter är viktig. Under det första året har Datainspektionen fått in över 4300 anmälningar, ca 350 – 400 st i månaden.
– Just incidentrapportering kallade de faktiskt för motorn i förbättringsarbetet. Det är ju så problem inom personuppgiftshanteringen kommer upp till ytan och kan åtgärdas, säger Victoria Ödlund.
GDPR inom EU
Över 100 000 klagomål kring hanteringen av personuppgifter har kommit in inom EU, att jämföra med 3000 klagomål i Sverige. Vissa EU-länder har också utfärdat sanktionsavgifter, till exempel Frankrike som gav Google böter på 50 miljoner euro för överträdelser av GDPR.
Utmaningen för Datainspektionen framöver, sett inom EU-samarbetet för GDPR, är att se till att arbetet rullar på och att riktlinjerna följs för en snabbare och smidigare framfart.
Till sist – en annorlunda närvarokoll…
Ett nytt sätt att använda teknik på, och som Victoria Ödlund hajade till lite extra vid med tanke på just GDPR, var exemplet med en gymnasieskola i Skellefteå som provat att använda sig av ansiktsigenkänning för närvarokontroll. Syftet från skolan vara att frigöra tid för lärarna.
– Just ansiktsigenkänning är intressant framtidsfråga för GDPR – hur får tekniken användas och när bör den användas? I San Fransisco har man faktiskt förbjudit polisen att använda ansiktsigenkänning, som första stad i världen, säger Victoria Ödlund.
Av: Linn Vidén, tidigare Content Manager på Simployer
Boka demo