Granskning av GDPR, men ännu utan hårda nypor

Nu har Datainspektionens första granskning av företag och myndigheter med anledning av att det nya GDPR-direktivet avslutats. Drygt 400 bolag och myndigheter kontrollerades. Gemensam nämnare för företagen är att de alla har en skyldighet att utse ett dataskyddsombud. De flesta företagen ansågs uppfylla GDPR-kraven men några behövde granskas närmre. Inga böter utdelades i den här första granskningen.

Första gruppen ut för granskning var privata och offentliga aktörer i sex branscher: banker, teleoperatörer, försäkringsbolag, fackförbund, kollektivtrafikbolag och vårdgivare. Ett så kallat Dataskyddsombud måste finnas hos alla myndigheter och offentliga organisationer. Dataskyddsombud behöver också finnas hos privata företag som har som kärnverksamhet att regelbundet genomföra systematisk övervakning av enskilda personer i stor omfattning eller hanterar känsliga personuppgifter eller om brott i stor omfattning.

Det stora flertalet företag och myndigheter som kontrollerades hade redan uppfyllt sina åtaganden. 66 företag hade inte utsett ett dataskyddsombud och granskades därför närmare av Datainspektionen. Majoriteten av aktörerna såg till att utse ett dataskyddsombud under tiden granskningen pågick och kom därmed undan med en reprimand. De två aktörerna som trots granskning och påminnelse inte hade utsett dataskyddsombud när granskningen avslutades har fått ett föreläggande på grund av överträdelse av dataskyddsförordningen.

Resultatet av granskningen blev alltså att några företag fick en reprimand och två företag ett föreläggande om överträdelse. Inga böter har utdelats. Datainspektionen säger att ”det huvudsakliga skälet till varför besluten stannat vid en reprimand istället för en administrativ sanktionsavgift är den relativt korta tid som förflutit sedan den 25 maj 2018.”

 

Teleoperatörer och fackförbund sämre än genomsnittet

Det framgår av granskningen att det inte är någon direkt skillnad i efterlevnad mellan myndigheterna och de privata aktörerna. Däremot var det två grupper som utmärkte sig som något sämre, nämligen gruppen teleoperatörer och fackförbund. I den grupperna var efterlevnaden sämre än snittet.

 

Redan hårdare nypor i Europa

Andra dataskyddsmyndigheter i Europa har redan börjat utfärda sanktionsavgifter. Till exempel har den portugisiska myndigheten, Comissão Nacional de Protecção de Dados utfärdat ett föreläggande för ett sjukhus som tillgängliggjort patientdata för obehöriga. Sjukhuset behöver betala 500 000 euro för brott mot dataskyddsförordningen.

 

Tuffare granskning även i Sverige att vänta

Vadslagningen inför de första granskningarna har handlat mest kring om Datainspektionen skulle utdela sanktionsavgifter direkt eller först utfärda en varning. Lågoddsaren varning före sanktionsavgift gick som väntat ut som vinnare den här gången.

Datainspektionens förklaring till varför man valde att först utfärda en varning, närheten till den 25 maj, tyder på att det i framtida granskningar kan utdelas sanktionsavgifter direkt om kraven inte uppfylls.

Det är alltså högst troligt att tonen från Datainspektionen hårdnar när längre tid har gått från den 25 maj. Det är hög tid för alla företag som har luckor i sin process för personuppgiftsbehandling att nu prioritera detta!

 

Är ditt företag GDPR-anpassat?

Det viktigaste är att kunna svara på frågorna nedan, att dokumentera svaren och att informera de personer vars uppgifter ni behandlar.

 

  1. Vilka personuppgifter behandlar vi?
  2. Varför har vi personuppgifterna? För vilket syfte?
  3. Hur länge sparar vi dem?
  4. Vilka rättigheter har de registrerade?

 

Har du svaren till de här fyra frågorna har ditt företag kommit en lång bit på väg. Vill ni ha hjälp att ta fram processer och dokumentation har IPQ lång erfarenhet av både projektledning och integritetsskyddsfrågor. Välkommen att höra av dig!

Relaterat innehåll