GDPR-lagstiftningen är omfattande och många företagare har kämpat med att försöka förstå reglerna, andra har tvingats lägga mycket pengar på konsulthjälp. Många har också varit oroliga över att drabbas av höga böter om man skulle råka bryta mot GDPR.
I vardagen har vi märkt av GDPR genom t ex ökande antal cookie-varningar och högre krav på legitimering i kontakter med banker, försäkringsbolag, elbolag, etc.
Syftet med GDPR
Syftet bakom den nya dataskyddsförordningen är att skydda personuppgifter i ett allt mer digitaliserat samhälle. Reglerna behövs för att personuppgifterna inte ska missbrukas. GDPR handlar bland annat om att
-
få makt över sina egna personuppgifter
-
vara varsam med människors personuppgifter
-
visa respekt för människors egna val.
Datainspektionens granskningar
Många anmälningar om personuppgiftsincidenter (ca 2 300 stycken under 2018) har kommit in till Datainspektionen som har gjort ett flertal granskningar och flera tillsynsärenden pågår.
I en av granskningarna undersökte man om svenska myndigheter och företag utsett och anmält ett dataskyddsombud. Det visade sig att majoriteten av de granskade organisationerna hade anmält och utsett ett dataskyddsombud i tid. Eftersom det gått så pass kort tid efter att GDPR infördes utfärdade Datainspektionen inte några sanktioner utan varnade endast de företag som inte hade utsett något dataskyddsombud.
Under året har det kommit få beslut om böter. Google har fått den enskilt största boten (500 miljoner kr).
Datainspektionen har även gått ut med planerade granskningar för 2019 och 2020. Det är hälso- och sjukvård, skolor, arbetsgivare, detaljhandel och större inkassobolag som ska granskas närmare.
Det gångna året visar att de företag som Datainspektionen främst granskar är större företag samt företag som behandlar känsliga uppgifter. Det är alltså inte de små företagen som är det största målet för GDPR. Och har t ex ett företag gjort fel kommer man först att informeras om att man gör fel och få en möjlighet att rätta till det.
GDPR-arbetet fortskrider
Vissa företag har kommit en bra bit på vägen med sitt GDPR-arbete medan andra inte ens har börjat.
För de företag som inte har börjat är det hög tid att sätta igång. Och de som har kommit en bit på vägen men som fastnat ska se till att fortsätta. Ett tips är att försöka se GDPR-arbetet som en verksamhetsförbättring snarare än en kostnadspost. En del av GDPR-arbetet handlar om att rensa, kartlägga etc vilket skapar ordning och reda samt vårdar relationer med kunder, samarbetspartners, anställda med flera. Det kan till och med medföra nya affärsmöjligheter.
De företag som har rott GDPR-arbetet i hamn behöver nu underhålla och förvalta det jobb man lagt ner. GDPR ska vara ett naturligt inslag i verksamheten. Det handlar t ex om att
-
ha återkommande utbildningar för anställda
-
löpande se till att personuppgifter raderas
-
nya typer av personuppgiftsbehandlingar ska följas upp.
Vad behöver företag göra?
Hur mycket ett företag behöver göra med anledning av GDPR beror på vilken verksamhet företaget har. Om ett företag t ex hanterar känsliga personuppgifter så krävs det mera. I korthet kan man säga att alla företag bör
-
göra en nulägesanalys
-
prioritera arbetet t ex utifrån vad som innebär störst integritetsrisk
-
ta fram policydokument (i första hand ett integritetsdokument) och fastställa rutiner
-
dokumentera alla personuppgiftsbehandlingar
-
skriva eventuella personuppgiftsbiträdesavtal.