Artikeln publicerades i sitt original i Aktuell Säkerhet nr. 6 2019. Sedan publicering har Datainspektionen bytt namn till Integritetsmyndigheten, IMY. Den 25 maj 2018 utgör en milstolpe i dataskyddshistorien då en omfattande reform på dataskyddsområdet genomfördes. Men även om det var mycket prat om detta datum inför införandet av dataskyddsförordningen, så var det ändå många […]
Artikeln publicerades i sitt original i Aktuell Säkerhet nr. 6 2019. Sedan publicering har Datainspektionen bytt namn till Integritetsmyndigheten, IMY.
Den 25 maj 2018 utgör en milstolpe i dataskyddshistorien då en omfattande reform på dataskyddsområdet genomfördes. Men även om det var mycket prat om detta datum inför införandet av dataskyddsförordningen, så var det ändå många som stod där dagen efter, den 26 maj 2018, och inte riktigt visste vad GDPR egentligen innebar. Var det så att informationen om förordningen varit knapphändig? Eller hade företag och organisationer inte riktigt brytt sig om att sätta sig in i hur den skulle påverka det egna arbetet?
Ungefär ett och ett halvt år efter införandet, finns stora ärendemängder hos Datainspektionen – den myndighet som har i uppdrag att granska efterlevnaden av regelverket och misstänkta incidenter då skyddet av personuppgifter har brustit hos företag och organisationer i Sverige.
– Hittills har vi fått in knappt 5 500 anmälningar om personuppgiftsincidenter, säger Lena Lindgren Schelin som besökte tidningens Security Advisory Board i september.
– Lägg därtill cirka 3 000 klagomål, 10-15 000 frågor samt många ärenden med gränsöverskridande kopplingar.
Datainspektionen gick in i 2018 – året som skulle kasta om allt – med ca 50 medarbetare. När det omtumlande året var slut var man närmare 90 stycken. Även Lena Lindgren Schelin kom in under 2018, närmare bestämt tre månader innan GDPR trädde i kraft.
– När jag klev in var det som att allt var i spinn. Alla ville få kontakt med oss och få svar på sina frågor; samtidigt som vi själva skulle ställa om vår egen verksamhet behövde vi möta omvärldens krav på stöd och vägledning. Det var en utmanande ekvation, säger hon och konstaterar att man på Datainspektionen fortfarande jobbar med att komma ikapp.
Själv kommer Lena Lindgren Schelin från rättsväsendet. Närmast var hon chefsjurist på Ekobrottsmyndigheten där hon bland annat arbetade med omställningen inför att dataskyddsförordningen och direktivet på det brottsbekämpande området skulle börja gälla.
– När jag började på Datainspektionen visste jag att vi är en liten myndighet med ett stort uppdrag. Och att vi snabbt behövde växa i en större kostym. Vi har inte gjort någon omvälvande omorganisation och den gamla kostymen har spruckit i en del sömmar. Men vi syr på för att klara verksamheten, säger hon.
Men trots alla klagomål, tips och övriga frågor som kommer till Datainspektionen är det svårt att säga något om vad implementeringen av dataskyddsförordningen kommer att resultera i, åtminstone i nuläget. Lena Lindgren Schelin berättar att myndigheten i våras gjorde en första nationell integritetsrapport för att ta reda på hur allmänheten tagit emot förordningen och hur långt privata och offentliga verksamheter kommit i sitt dataskyddsarbete.
– Vi ställde frågor till allmänheten och vi kunde konstatera att kännedomen om dataskyddsreformen var hög på en övergripande nivå. Många vet att ens personuppgifter behandlas på olika sätt. Rapporten visade också att även om det är man själv som godkänner att ens personuppgifter används finns det en viss oro för hur de används.
– I många fall lämnar man sina uppgifter eftersom det kan ha en stor fördel i vardagen, så som att man får rabatter i dagligvaruhandeln och så vidare. Och detta får sällan några direkta konsekvenser för oss. Men när det gäller till exempel finansiella uppgifter eller vårduppgifter så är allmänheten mer oroliga för att dessa ska läcka ut.
I samma rapport vittnade verksamheter om att implementeringen generellt hade gått bra. Man tycker sig ha haft rutiner för att strukturera om och att detta i stort sett har fungerat fint. Men, bara hälften av verksamheterna svarade att de faktiskt hade infört ett systematiskt arbete med dataskyddsfrågor.
– Det betyder att hälften inte har det och det är förstås ett jätteproblem, säger Lena Lindgren Schelin som pekar ut småbolag som en av de branschkategorier som har en lite större utmaning än resterande med att implementera dataskyddsförordningen i den egna organisationen.
– I Sverige finns det ungefär en miljon företag. Och av dem är det väldigt många som är småföretag. Visst kan man tycka att: Ju större företag, desto viktigare att vi granskar dem. Men en hypotes är att det finns många små bolag som hanterar stora mängder data, vilket gör dem minst lika viktiga. Om de små företagen varken har förståelse eller resurser för dataskyddsförordningen så blir det en riskbransch.
Hon beskriver dataskyddsförordningen som ett ”dragspel” eftersom att det är verksamhetens inriktning och behov som bestämmer hur kraftigt man måste implementera regelverket.
– I det här dragspelet är det mängden personuppgifter och data som styr – ju fler uppgifter, desto mer måste man dra ut dragspelet. Och har man som affärsidé att sälja den här typen av information, så måste man också säkerställa skyddet för uppgifterna.
I oktober förra året var Datainspektionens första granskning klar. Myndigheten hade undersökt om knappt 400 företag och myndigheter hade utsett ett dataskyddsombud – något du är skyldig att göra om du hanterar personuppgifter. Granskningen visade bland annat brister hos närmare en fjärdedel av de fackförbund som valts ut för kontroll.
– I nuläget har vi omkring ett femtiotal tillsyner på gång. Tillsynsverksamheten är en viktig väg för oss att kunna vara offensiva och att driva fram praxis. Men det är viktigt att vi genomför tillsyner med stor respekt för både regelverk och verksamheter. Jag som dataskyddschef sitter på kraftfulla verktyg – eftersom jag har mandat att fatta beslut om sanktioner. Vi har ingen styrelse eller något kvalitetsråd kopplat till myndigheten, säger Lena Lindgren Schelin, som tillägger att hon inte får ha några bisysslor för att hon aldrig ska kunna ifrågasättas angående sina lojaliteter.
Och sanktionsavgifterna som det kan bli tal om kan handla om upp emot hundratals miljoner kronor, som generaldirektören beslutar om.
– Rättssäkerheten ligger i att man har rätt att överklaga våra beslut i domstol. Och vi får ett successivt lärande genom de sanktionsavgifter som döms ut i övriga Europa, även om det kommer att dröja en tid innan vi har en etablerad praxis på plats.
Ja, Europa ja. Det är kanske lätt att glömma bort att det faktiskt är hela EU som ska enas kring en gemensam plattform för hur dataskyddsförordningen ska tolkas. Något som Lena Lindgren Schelin ser som en mycket stor utmaning, en nästan omöjlig sådan om man ska gå ner på detaljnivå.
– Från och med den 25 maj 2018 ingår vi dataskyddschefer i en europeisk dataskyddsstyrelse som har i uppdrag att fatta beslut om hur vi ska tolka dataskyddsförordningen – vi har alltså i nuläget 28 medlemsstater och tre anhängare som ska försöka enas om centrala tolkningsfrågor.
– Trots att vi har dataskyddsförordningen gemensamt så får man inte glömma att vi har olika förvaltningsrättsliga lagstiftningar, därför kommer processerna också se olika ut. Vi tar hela tiden viktiga steg mot en ökad enhetlighet, men min uppfattning är att en total harmonisering förutsätter att vi närmar oss varandra också när det gäller våra förvaltningsrättsliga traditioner. Sannolikt är det en lång väg dit, avslutar hon.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
