Året med GDPR – vad har hänt och vad är på gång?
Den här artikeln är publicerad för mer än ett år sedan
Var uppmärksam på att lagar och regler ändras med jämna mellanrum. För att vara säker på att du alltid har korrekt och uppdaterad information tillgänglig rekommenderar vi att du abonnerar på något av våra Expertstöd. Jag vill ta steget mot en enklare arbetsvardag!
Tre heldagskonferenser blev det när Dataskyddsinspektionen markerade årsdagen av den nya dataskyddsreformen, GDPR. På plats i Göteborg fanns Victoria Ödlund och Annika Westergren, HR-experter hos Simployer.
Hur var upplägget för dagen?
– Det var en heldagskonferens med talare från både Datainspektionen, kommuner, myndigheter och det privata näringslivet. Vi var ca 200 personer som lyssnade på vad som hänt under året, Sveriges roll i det europeiska samarbetet, aktuella frågor och mycket mer, säger Victoria Ödlund.
Oro inför GDPR
Lena Lindgren Schelin, generaldirektör på Datainspektionen, inledde dagen med att beskriva den nästintill domedagsaktiga stämning som rådde inför den 25 maj. När ingenting dramatiskt hände blev folk oroliga – när skulle problemen komma? beskriver Victoria Ödlund.
Är folk fortfarande oroliga?
– Ja, om vi utgår från Datainspektionens senaste rapport så uppgav 76 % av alla medborgare att de känner en viss form av oro kring hur deras personuppgifter används. Trots det fortsätter de flesta att dela med sig av sina personuppgifter. Datainspektionen kallade det för ”integritetsparadoxen”.
Tips: Läs mer om resultaten av Datainspektionens undersökning
Personuppgifter beskrevs under dagen som det nya guldet, vad betyder det?
– Det handlade om hur värdefulla personuppgifter faktiskt är och hur fler företag börjar få upp ögonen för detta faktum. Som användare är det dags att inse att ens personuppgifter är något att vara rädd om, att man måste börja tänka på hur man kan skydda sig, säger Victoria Ödlund.
Sanktionsavgifter vanligaste frågan under året
Den absolut vanligaste frågan som Datainspektionen fått under året var när de första sanktionsavgifterna kommer. Än så länge har ingen sanktionsavgift utfärdats i Sverige och det kan dröja ett tag till, enligt Victoria Ödlund.
– Datainspektionen var tydliga med att sanktionsavgifter ska användas när de ger som mest effekt, till exempel i frågor som rör många företag och där effekten ska gynna målet ”ett tryggare informationssamhälle”. De ska primärt inte användas för att ”sätta dit” enskilda företag. Innan man börjar pålägga avgifter måste man också göra en grundlig tillsyn.
Sa de något om vilka tillsynsområden som kommer vara prioriterade framöver?
– Ett av de prioriterade rättsområden framöver kommer vara att reda ut gränsdragningsproblematik kring rollerna personuppgiftsansvarig kontra personuppgiftsbiträde, vem är ansvarig för vad? Dessutom kommer de att titta på samtycke som rättslig grund.
Är det något fel på samtycke som rättslig grund?
– Nej, men det finns en misstanke om att just samtycke överanvänds vid hanteringen av personuppgifter. Om det finns en annan rättslig grund ska man helst använda den, inte samtycke, säger Victoria Ödlund.
Tips: Läs mer om de olika lagliga grunderna enligt GDPR och rekrytering
Systematiskt arbete och rapportering viktigt framöver
Trots mycket oro innan GDPR infördes tycker 73 % av alla dataskyddsombud tycker att det har gått bra. De flesta verksamheter har också en grundläggande struktur kring dataskyddsarbetet. Nästa steg är att börja arbeta systematiskt med sitt dataskyddarbete, att skapa kontinuitet och ge medarbetarna fortsatt utbildning i frågorna.
– Som medarbetare behöver man kontinuerlig utbildning i frågor om dataskydd. Man behöver t ex bli påmind om att inte långvarigt spara personuppgifter i sin e-post eller att man inte bör maila känsliga personuppgifter. De som hanterar löner och HR-avdelningar behöver också ha koll på till exempel hur länge man får spara uppgifter och när det är dags att gallra, säger Victoria Ödlund.
Även rapporteringen kring personuppgiftsincidenter är viktig. Under det första året har Datainspektionen fått in över 4300 anmälningar, ca 350 – 400 st i månaden.
– Just incidentrapportering kallade de faktiskt för motorn i förbättringsarbetet. Det är ju så problem inom personuppgiftshanteringen kommer upp till ytan och kan åtgärdas, säger Victoria Ödlund.
Tips: Läs mer i artikeln Så hanterar du personuppgiftsincidenter enligt kraven i GDPR
GDPR inom EU
Över 100 000 klagomål kring hanteringen av personuppgifter har kommit in inom EU, att jämföra med 3000 klagomål i Sverige. Vissa EU-länder har också utfärdat sanktionsavgifter, till exempel Frankrike som gav Google böter på 50 miljoner euro för överträdelser av GDPR.
Utmaningen för Datainspektionen framöver, sett inom EU-samarbetet för GDPR, är att se till att arbetet rullar på och att riktlinjerna följs för en snabbare och smidigare framfart.
Tips: Läs mer om Datainspektionens arbete i EU
Till sist – en annorlunda närvarokoll…
Ett nytt sätt att använda teknik på, och som Victoria Ödlund hajade till lite extra vid med tanke på just GDPR, var exemplet med en gymnasieskola i Skellefteå som provat att använda sig av ansiktsigenkänning för närvarokontroll. Syftet från skolan vara att frigöra tid för lärarna.
– Just ansiktsigenkänning är intressant framtidsfråga för GDPR – hur får tekniken användas och när bör den användas? I San Fransisco har man faktiskt förbjudit polisen att använda ansiktsigenkänning, som första stad i världen, säger Victoria Ödlund.
Vill du bli säker på GDPR på arbetsplatsen?
Med Servicepaket Dataskydd i arbetslivet får du svar på vad som gäller och stöd i ditt GDPR-arbete. Vi samarbetar med några av Sveriges bästa GDPR-advokater och gör det enkelt för dig som arbetsgivare att anpassa dig till reglerna. Få tillgång till paketet
Av: Linn Vidén, Content Manager på Simployer
