VAD ÄR PÅ GÅNG FÖR GDPR? När kommer sanktionsavgifterna och vilka tillsynsområden är prioriterade framöver? Tholins HR-experter fanns på plats för Datainspektionens heldagskonferens "Ett år med GDPR".
VAD ÄR PÅ GÅNG FÖR GDPR? När kommer sanktionsavgifterna och vilka tillsynsområden är prioriterade framöver? Tholins HR-experter fanns på plats för Datainspektionens heldagskonferens "Ett år med GDPR".

Året med GDPR – vad har hänt och vad är på gång?

Samtyckesregler, sanktionsavgifter och incidentrapportering – det var många heta punkter på agendan när Dataskyddsinspektionen bjöd in till heldagskonferensen ”Ett år med Dataskyddsreformen” i Göteborg den 28 maj. Vad har hänt under året som gått och inte minst – vad kommer att ske framöver?

     

den 12 juni 2019

Tre heldagskonferenser blev det när Dataskyddsinspektionen markerade årsdagen av den nya dataskyddsreformen, GDPR. På plats i Göteborg fanns Victoria Ödlund och Annika Westergren, HR-experter hos Tholin & Larsson.

Hur var upplägget för dagen?
– Det var en heldagskonferens med talare från både Datainspektionen, kommuner, myndigheter och det privata näringslivet. Vi var ca 200 personer som lyssnade på vad som hänt under året, Sveriges roll i det europeiska samarbetet, aktuella frågor och mycket mer, säger Victoria Ödlund.

Oro inför GDPR

Lena Lindgren Schelin, generaldirektör på Datainspektionen, inledde dagen med att beskriva den nästintill domedagsaktiga stämning som rådde inför den 25 maj. När ingenting dramatiskt hände blev folk oroliga – när skulle problemen komma? beskriver Victoria Ödlund.

Är folk fortfarande oroliga?
– Ja, om vi utgår från Datainspektionens senaste rapport så uppgav 76 % av alla medborgare att de känner en viss form av oro kring hur deras personuppgifter används. Trots det fortsätter de flesta att dela med sig av sina personuppgifter. Datainspektionen kallade det för ”integritetsparadoxen”.

Tips: Läs mer om resultaten av Datainspektionens undersökning

Personuppgifter beskrevs under dagen som det nya guldet, vad betyder det?
– Det handlade om hur värdefulla personuppgifter faktiskt är och hur fler företag börjar få upp ögonen för detta faktum. Som användare är det dags att inse att ens personuppgifter är något att vara rädd om, att man måste börja tänka på hur man kan skydda sig, säger Victoria Ödlund.

Sanktionsavgifter vanligaste frågan under året

Den absolut vanligaste frågan som Datainspektionen fått under året var när de första sanktionsavgifterna kommer. Än så länge har ingen sanktionsavgift utfärdats i Sverige och det kan dröja ett tag till, enligt Victoria Ödlund.

– Datainspektionen var tydliga med att sanktionsavgifter ska användas när de ger som mest effekt, till exempel i frågor som rör många företag och där effekten ska gynna målet ”ett tryggare informationssamhälle”. De ska primärt inte användas för att ”sätta dit” enskilda företag. Innan man börjar pålägga avgifter måste man också göra en grundlig tillsyn.

Sa de något om vilka tillsynsområden som kommer vara prioriterade framöver?
– Ett av de prioriterade rättsområden framöver kommer vara att reda ut gränsdragningsproblematik kring rollerna personuppgiftsansvarig kontra personuppgiftsbiträde, vem är ansvarig för vad? Dessutom kommer de att titta på samtycke som rättslig grund.

Är det något fel på samtycke som rättslig grund?
– Nej, men det finns en misstanke om att just samtycke överanvänds vid hanteringen av personuppgifter. Om det finns en annan rättslig grund ska man helst använda den, inte samtycke, säger Victoria Ödlund.

Tips: Läs mer om de olika lagliga grunderna enligt GDPR och rekrytering

Systematiskt arbete och rapportering viktigt framöver

Trots mycket oro innan GDPR infördes tycker 73 % av alla dataskyddsombud tycker att det har gått bra. De flesta verksamheter har också en grundläggande struktur kring dataskyddsarbetet. Nästa steg är att börja arbeta systematiskt med sitt dataskyddarbete, att skapa kontinuitet och ge medarbetarna fortsatt utbildning i frågorna.

– Som medarbetare behöver man kontinuerlig utbildning i frågor om dataskydd. Man behöver t ex bli påmind om att inte långvarigt spara personuppgifter i sin e-post eller att man inte bör maila känsliga personuppgifter. De som hanterar löner och HR-avdelningar behöver också ha koll på till exempel hur länge man får spara uppgifter och när det är dags att gallra, säger Victoria Ödlund.

Även rapporteringen kring personuppgiftsincidenter är viktig. Under det första året har Datainspektionen fått in över 4300 anmälningar, ca 350 – 400 st i månaden.

– Just incidentrapportering kallade de faktiskt för motorn i förbättringsarbetet. Det är ju så problem inom personuppgiftshanteringen kommer upp till ytan och kan åtgärdas, säger Victoria Ödlund.

Tips: Läs mer i artikeln Så hanterar du personuppgiftsincidenter enligt kraven i GDPR

GDPR inom EU

Över 100 000 klagomål kring hanteringen av personuppgifter har kommit in inom EU, att jämföra med 3000 klagomål i Sverige. Vissa EU-länder har också utfärdat sanktionsavgifter, till exempel Frankrike som gav Google böter på 50 miljoner euro för överträdelser av GDPR.

Utmaningen för Datainspektionen framöver, sett inom EU-samarbetet för GDPR, är att se till att arbetet rullar på och att riktlinjerna följs för en snabbare och smidigare framfart.

Tips: Läs mer om Datainspektionens arbete i EU

Till sist – en annorlunda närvarokoll…

Ett nytt sätt att använda teknik på, och som Victoria Ödlund hajade till lite extra vid med tanke på just GDPR, var exemplet med en gymnasieskola i Skellefteå som provat att använda sig av ansiktsigenkänning för närvarokontroll. Syftet från skolan vara att frigöra tid för lärarna.

– Just ansiktsigenkänning är intressant framtidsfråga för GDPR – hur får tekniken användas och när bör den användas? I San Fransisco har man faktiskt förbjudit polisen att använda ansiktsigenkänning, som första stad i världen, säger Victoria Ödlund.

Vill du bli säker på GDPR på arbetsplatsen?

Med Servicepaket Dataskydd i arbetslivet får du svar på vad som gäller och stöd i ditt GDPR-arbete. Vi samarbetar med några av Sveriges bästa GDPR-advokater och gör det enkelt för dig som arbetsgivare att anpassa dig till reglerna. Få tillgång till paketet

Av: Linn Vidén, Content Manager på Tholin & Larsson