Datainspektionen jobbar för ett tryggt informationssamhälle där personuppgifter inte hamnar i orätta händer. I år lägger myndigheten mycket tid på att utöva tillsyn över organisationers GDPR-anpassning. Bland andra hälso- och sjukvården, skolan och rättsväsendet ska granskas, det säger generaldirektör Lena Lindgren Schelin.

Det är mer än ett och ett halvt år sedan den nya europeiska dataskyddförordningen, GDPR, trädde i kraft och företag och andra organisationer har fortfarande fullt upp med att anpassa sina verksamheter till lagstiftningen. För vissa är frågan fortfarande på ”måste göra-listan”. Inte minst hos Datainspektionen som har i uppdrag att se till att förordningen följs.

Bara under 2019 fick Datainspektionen in närmare 4 800 anmälningar om personuppgiftsincidenter, vilket motsvarar drygt 90 anmälda incidenter per vecka. Antalet anmälda incidenter ökade 2019 jämfört med 2018 med hela 30 procent. Den vanligaste orsaken till incidenterna har hittills varit den mänskliga faktorn, till exempel felskickade e-postmeddelanden eller brev, som utgör drygt en tredjedel av incidenterna. Myndighetens generaldirektör Lena Lindgren Schelin bedömning är att det nu finns en ökad medvetenhet och kunskap om anmälningsskyldigheten i dataskyddsförordningen och att rutinerna för att anmäla incidenter nu blivit mer etablerade.

Hur går det med granskningarna enligt dataskyddsförordningen?

Vi inledde under 2019 närmare 60 granskningar utifrån dataskyddsförordningen, brottsdatalagen, inkassolagen eller kreditupplysningslagen.

En stor nyhet i dataskyddsförordningen, GDPR, är möjligheten för Datainspektionen att utfärda administrativa sanktionsavgifter som kan vara mycket kännbara. Vi har hittills utfärdat två sanktionsavgifter, dels mot en skola som använde ansiktsigenkänning för närvarokontroll, dels mot en sajt som masspublicerar information om Sveriges befolkning. Skolan fick en sanktionsavgift på 200 000 kronor medan företaget bakom sajten som masspublicerade information fick en avgift på 35 000 euro.

Vi hoppas kunna avsluta flera ärenden under våren 2020 där vi kommer överväga val av korrigerande befogenhet, bland annat sanktionsavgifter.

Hur bestämmer ni sanktionsbelopp?

Sanktionsbeloppen bestäms utifrån många faktorer och ska vara effektiva, proportionella och avskräckande. De har ett stort signalvärde för företag, myndigheter och andra organisationer att de aktivt behöver arbeta med sin GDPR-anpassning. Att inte arbeta med dataskydd som ett led i ett systematiskt arbete utgör idag en reell verksamhetsrisk.

Vad är ert fokus i tillsynen och vem kan räkna med inspektion?

Tillsyner, alltså våra granskningar, är en viktig del i vår verksamhet men minst lika viktig är vårt utåtriktade, informerande arbete. Vi vill bidra till att organisationer gör rätt från början.

Vi har mycket brett uppdrag, det gör att vi måste prioritera. Målet med våra granskningar är att de ska få så stor effekt som möjligt. Vi arbetar riskbaserat och inleder tillsyn när vi bedömer att det finns en stor risk för den personliga integriteten. Enligt vår tillsynsplan för 2019–2020 fokuserar vi på tre frågor: 1) prioriterade rättsområden, där riskerna för fel är stora och vägledning behövs, till exempel användning av samtycke som rättslig grund 2) specifika branscher eller verksamheter, till exempel hälso- och sjukvården, skolan och rättsväsendet samt 3) nya företeelser, att det är frågan om ny teknik eller teknik som används på nya sätt. Men vi kan också agera mer ad hoc på klagomål, incidentrapporter eller medial rapportering.

 Det här är en redigerad artikel ur tidningen Perspektiv #2 2020. 
Läs mer om Perspektiv här >>

Läs också:

• Cyberhot allt mer komplexa – då behövs ledningssystem
• Standardernas roll ökar inom informationssäkerhet