Det är nog ingen som missat att Integritetsskyddsmyndigheten är tillsynsmyndighet över GDPR i Sverige. Det innebär att det är Integritetsskyddsmyndigheten som ansvarar för att svenska företag, organisationer och offentliga verksamheter följer GDPR och andra lagar på dataskyddsområdet. Integritetsskyddsmyndigheten, dåvarande Dataskyddsmyndigheten, har släppt sin årsrapport för 2019 och vi sammanfattar här några av de viktigaste punkterna!
Integritetsskyddsmyndighetens arbete
Under 2019 registrerades ungefär 19 400 ärenden hos Integritetsskyddsmyndigheten. Ärenden kan vara exempelvis e-postfrågor eller anmälningar om personuppgiftsincidenter. En tredjedel av alla frågor som Integritetsskyddsmyndigheten tog emot handlade om den viktiga frågan kring rättslig grund för en behandling. Det finns som bekant sex olika rättsliga grunder i GDPR, exempelvis avtal och allmänt intresse. Läs mer om de rättsliga grunderna här. Förutom arbetet med att kontrollera efterlevnaden av GDPR i Sverige arbetar Integritetsskyddsmyndigheten tillsammans med European Data Protection Board (EDPB) för att få en enhetlig tolkning och tillämpning av GDPR inom EU. Integritetsskyddsmyndigheten har försökt lyfta frågor som är viktiga för svenska företag och organisationer. Arbetet med EDPB innebär att Integritetsskyddsmyndigheten tillsammans med andra tillsynsmyndigheter tar fram vägledningar och liknande som stöd för nationella företag, organisationer och myndigheter. Integritetsskyddsmyndigheten har även arbetat operativt med gränsöverskridande ärenden.
Incidenter
Under 2019 tog Integritetsskyddsmyndigheten emot hela 4 800 incidentanmälningar. Detta är en ökning från 2018. Integritetsskyddsmyndigheten menar dock att denna ökning eller att en verksamhet anmäler många incidenter inte nödvändigtvis behöver vara något negativt. Det kan istället vara en indikation på att verksamheten har en väl fungerande rutin för att upptäcka och anmäla personuppgiftsincidenter. En anmäld personuppgiftsincident kan leda till att Integritetsskyddsmyndigheten inleder en tillsyn mot verksamheten. Ett tiotal tillsyner har inletts på detta sätt. De tillsyner som inletts baserat på en incidentanmälan rör incidenter som ansetts vara särskilt allvarliga eller som kan tyda på systematiska brister. När en verksamhet rapporterar en incident sker detta via post. Hanteringen av incidenter är därmed fortfarande manuell, något som Integritetsskyddsmyndigheten har som mål att ändra under 2020.
Tillsyn
Under 2019 inledde Integritetsskyddsmyndigheten 51 tillsyner. Dessa tillsyner har till stor del varit inriktade på riskområden som identifierats, s.k. riskbaserad tillsyn. Några av dessa riskområden är vård, skola och samtycke som rättslig grund. Genom riskbaserade tillsyner strävar Integritetsskyddsmyndigheten efter att få största möjliga genomslag gällande skyddet av den personliga integriteten. Av de tillsyner som inleddes under 2019 är merparten inte avslutade. Ärendena tar lång tid att avgöra eftersom det saknas praxis och tillämpningen av GDPR ska vara enhetlig i hela EU. Integritetsskyddsmyndigheten skriver dock att de flesta av de pågående tillsynerna från 2019 förväntas avslutas under första halvåret av 2020. Tillsyner behövs för att regelefterlevnaden ska kontrolleras och förbättras. Till exempel rapporterar tre av fyra dataskyddsombud att deras organisation har tagit fram riktlinjer för personuppgiftshanteringen. Det innebär att 25 % av verksamheterna med dataskyddsombud troligtvis inte har grundläggande rutiner för hur personuppgifter ska hanteras. Integritetsskyddsmyndigheten skriver även att de vet att småföretagare generellt sett inte har kommit lika långt med sitt dataskyddsarbete som större organisationer. Behöver ni hjälp med att uppfylla GDPR? Kontakta oss!
Tabell över korrigerande åtgärder
Källa: Integritetsskyddsmyndigheten årsredovisning 2019
Klagomål
En rättighet som enskilda personer har är rätten att klaga till Integritetsskyddsmyndigheten. Den enskilde som lämnar in ett klagomål ska som huvudregel få ett avgörande inom tre månader. Under 2019 tog Datainspektionen emot drygt 3 500 klagomål. Integritetsskyddsmyndigheten skriver att det är en kraftig ökning av antalet klagomål och att denna ökning kan ses i många länder runt om i EU. Ökningen kan vara en indikation på att enskilda blir mer och mer medvetna om sina rättigheter. Ytterligare en indikation på att enskilda blir mer medvetna är att 53 % av alla som ringer in till Integritetsskyddsmyndigheten gör det i egenskap av privatpersoner. Det är inte bara incidentanmälningar som är viktiga för vilka tillsyner som ska inledas. Även klagomål som inkommer till Integritetsskyddsmyndigheten ligger till grund för deras framtida tillsyner och deras tillsynsplan. Den samlade bilden av klagomålen gör att Integritetsskyddsmyndigheten vet var de ska fokusera sitt arbete. De använder klagomålen för att veta i vilka företag, organisationer eller offentliga verksamheter det kanske föreligger stora integritetsrisker. Genom klagomål från enskilda har tillsyner inletts mot exempelvis Klarna och Spotify.
Nästa nivå
Integritetsskyddsmyndigheten menar att det märks att företag har kommit till nästa nivå med sitt dataskyddsarbete under 2019. Det märks bland annat genom att antalet frågor till Integritetsskyddsmyndighetens e-post minskade jämfört med 2018. Det var även en annan typ av frågor som inkom, under 2019 var frågorna mer kvalificerade och det behövdes ofta göras rättsliga avvägningar och tolkningar. Integritetsskyddsmyndigheten menar dock att de inte kan svara på frågor med ett specifikt svar på vägledning i en viss situation. GDPR kräver nämligen ofta att verksamheterna gör avvägningar och bedömningar samt dokumenterar dessa, något som följer av principen om ansvarsskyldighet i GDPR. Läs hela årsredovisningen här.
GDPR Hero – verktyget som hjälper er att uppfylla GDPR!
GDPR Hero hjälper er att dokumentera er personuppgiftshantering och att skapa rutiner. Vi finns även snabbt till er hjälp i supportchatten om ni behöver hjälp! Boka gärna en demo med oss för att få veta mer om hur ni enkelt kan uppfylla de krav som ställs på er! Ni bokar demo här.
