Det är nog ingen som missat att Datainspektionen är tillsynsmyndighet över GDPR i Sverige. Det innebär att det är Datainspektionen som ansvarar för att svenska företag, organisationer och offentliga verksamheter följer GDPR och andra lagar på dataskyddsområdet. Datainspektionen har nu släppt sin årsrapport för 2019 och vi sammanfattar här några av de viktigaste punkterna!

 

Datainspektionens arbete

Under 2019 registrerades ungefär 19 400 ärenden hos Datainspektionen. Ärenden kan vara exempelvis e-postfrågor eller anmälningar om personuppgiftsincidenter. En tredjedel av alla frågor som Datainspektionen tog emot handlade om den viktiga frågan kring rättslig grund för en behandling. Det finns som bekant sex olika rättsliga grunder i GDPR, exempelvis avtal och allmänt intresse. Läs mer om de rättsliga grunderna här.

Förutom arbetet med att kontrollera efterlevnaden av GDPR i Sverige arbetar Datainspektionen tillsammans med European Data Protection Board (EDPB) för att få en enhetlig tolkning och tillämpning av GDPR inom EU. Datainspektionen har försökt lyfta frågor som är viktiga för svenska företag och organisationer. Arbetet med EDPB innebär att Datainspektionen tillsammans med andra tillsynsmyndigheter tar fram vägledningar och liknande som stöd för nationella företag, organisationer och myndigheter. Datainspektionen har även arbetat operativt med gränsöverskridande ärenden.

 

Incidenter

Under 2019 tog Datainspektionen emot hela 4 800 incidentanmälningar. Detta är en ökning från 2018. Datainspektionen menar dock att denna ökning eller att en verksamhet anmäler många incidenter inte nödvändigtvis behöver vara något negativt. Det kan istället vara en indikation på att verksamheten har en väl fungerande rutin för att upptäcka och anmäla personuppgiftsincidenter.

En anmäld personuppgiftsincident kan leda till att Datainspektionen inleder en tillsyn mot verksamheten. Ett tiotal tillsyner har inletts på detta sätt. De tillsyner som inletts baserat på en incidentanmälan rör incidenter som ansetts vara särskilt allvarliga eller som kan tyda på systematiska brister.

När en verksamhet rapporterar en incident sker detta via post. Hanteringen av incidenter är därmed fortfarande manuell, något som Datainspektionen har som mål att ändra under 2020.

 

Tillsyn

Under 2019 inledde Datainspektionen 51 tillsyner. Dessa tillsyner har till stor del varit inriktade på riskområden som identifierats, s.k. riskbaserad tillsyn. Några av dessa riskområden är vård, skola och samtycke som rättslig grund. Genom riskbaserade tillsyner strävar Datainspektionen efter att få största möjliga genomslag gällande skyddet av den personliga integriteten.

Av de tillsyner som inleddes under 2019 är merparten inte avslutade. Ärendena tar lång tid att avgöra eftersom det saknas praxis och tillämpningen av GDPR ska vara enhetlig i hela EU. Datainspektionen skriver dock att de flesta av de pågående tillsynerna från 2019 förväntas avslutas under första halvåret av 2020.

Tillsyner behövs för att regelefterlevnaden ska kontrolleras och förbättras. Till exempel rapporterar tre av fyra dataskyddsombud att deras organisation har tagit fram riktlinjer för personuppgiftshanteringen. Det innebär att 25 % av verksamheterna med dataskyddsombud troligtvis inte har grundläggande rutiner för hur personuppgifter ska hanteras. Datainspektionen skriver även att de vet att småföretagare generellt sett inte har kommit lika långt med sitt dataskyddsarbete som större organisationer.

Behöver ni hjälp med att uppfylla GDPR? Kontakta oss!

 

Tabell över korrigerande åtgärder

Källa: Datainspektionens årsredovisning 2019

 

Klagomål

En rättighet som enskilda personer har är rätten att klaga till Datainspektionen. Den enskilde som lämnar in ett klagomål ska som huvudregel få ett avgörande inom tre månader.

Under 2019 tog Datainspektionen emot drygt 3 500 klagomål. Datainspektionen skriver att det är en kraftig ökning av antalet klagomål och att denna ökning kan ses i många länder runt om i EU. Ökningen kan vara en indikation på att enskilda blir mer och mer medvetna om sina rättigheter. Ytterligare en indikation på att enskilda blir mer medvetna är att 53 % av alla som ringer in till Datainspektionen gör det i egenskap av privatpersoner.

Det är inte bara incidentanmälningar som är viktiga för vilka tillsyner som ska inledas. Även klagomål som inkommer till Datainspektionen ligger till grund för deras framtida tillsyner och deras tillsynsplan. Den samlade bilden av klagomålen gör att Datainspektionen vet var de ska fokusera sitt arbete. De använder klagomålen för att veta i vilka företag, organisationer eller offentliga verksamheter det kanske föreligger stora integritetsrisker. Genom klagomål från enskilda har tillsyner inletts mot exempelvis Klarna och Spotify.

 

Nästa nivå

Datainspektionen menar att det märks att företag har kommit till nästa nivå med sitt dataskyddsarbete under 2019. Det märks bland annat genom att antalet frågor till Datainspektionens e-post minskade jämfört med 2018. Det var även en annan typ av frågor som inkom, under 2019 var frågorna mer kvalificerade och det behövdes ofta göras rättsliga avvägningar och tolkningar. Datainspektionen menar dock att de inte kan svara på frågor med ett specifikt svar på vägledning i en viss situation. GDPR kräver nämligen ofta att verksamheterna gör avvägningar och bedömningar samt dokumenterar dessa, något som följer av principen om ansvarsskyldighet i GDPR.

Läs hela årsredovisningen här.

 

GDPR Hero – verktyget som hjälper er att uppfylla GDPR!

GDPR Hero hjälper er att dokumentera er personuppgiftshantering och att skapa rutiner. Vi finns även snabbt till er hjälp i supportchatten om ni behöver hjälp!

Boka gärna en demo med oss för att få veta mer om hur ni enkelt kan uppfylla de krav som ställs på er! Ni bokar demo här.

 

Josefin Karlström

josefin.karlstrom@sallbergco.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.

 

 

Share This