Publicerad: 2019-06-28
Inledning
Den 25 maj 2018 var, i och med införandet av Dataskyddsförordningen (”GDPR”), ett betydelsefullt datum för integritet och dataskydd i Europa. Nu, lite över ett år senare är det dags att reflektera över vad som hänt sedan GDPR förändrade det regulatoriska landskapet och företagen fyllde våra inkorgar med information om hur de behandlar våra personuppgifter.
Det är ingen underdrift att påstå att GDPR har inneburit stora utmaningar för företag inom den finansiella sektorn, vilka inte sällan behandlar omfattande mängder personuppgifter som många gånger är av känslig karaktär. För de större företagen innebar GDPR omfattande implementeringsprojekt som sträckte sig över flera år, och troligtvis finns det företag där ute som ännu inte är helt klara med sin implementering. Mindre företag har möjligtvis inte haft projekt av samma omfattning, men det har ändå varit en tidskrävande utmaning som har engagerat många delar av verksamheten.
Vad gjorde företagen?
Kartläggning av alla personuppgifter som behandlas inom verksamheten var nödvändig, och att förstå varför uppgifterna behandlas samt när de måste raderas. Därefter behövde alla registrerade informeras om det nya regelverket och hur företagen behandlar personuppgifter, vilket ledde till ovannämnda inflöden i inkorgarna. Nya processer implementerades för t.ex. rapportering av personuppgiftincidenter, genomförande av konsekvensbedömningar, och hantering av de nya rättigheter som infördes. Då företagen, till följd av principen om ansvarsskyldighet, har bevisbördan för efterlevnaden av regelverket innebar implementeringen även ett omfattande dokumentationsarbete.
Vad gjorde tillsynsmyndigheten?
Den svenska tillsynsmyndigheten, Datainspektionen, inledde sin tillsyn med en granskning av ca 400 företag och myndigheter med fokus på utnämnandet av Dataskyddsombud. Datainspektionen fann brister i 8 av de 82 banker och försäkringsbolag som granskades. Därefter har Datainspektionen inlett granskningar mot bl.a. 1177 Vårdguiden, Klarna Bank, och mer nyligen Spotify. Resultaten av dessa granskningar bör vara av stort intresse för de som ansvarar för efterlevnaden av GDPR.
Datainspektionen har även publicerat en vägledning för utförande av konsekvensanalyser gällande dataskydd, samt rapporterna Anmälda personuppgiftsincidenter 2018, och Nationell integritetsrapport. Av Anmälda personuppgiftsincidenter 2018 framgår bl.a. att mänskliga faktorn är orsaken till majoriteten av alla incidenter, samt att obehörigt röjande vid felaktigt brevutskick var den vanligast förekommande incidenten. I Nationell Integritetsrapport redovisas hur långt arbetet kommit med att införa GDPR och hur väl medborgarna känner till och har utövat sina rättigheter på området.
Ännu har ingen sanktionsavgift utdelas i Sverige, men möjligtvis är det något som vi kan förvänta oss inom en snar framtid. Ute i Europa har flera sanktioner utdelats, med den hittills största i Frankrike riktad mot Google.
Vad händer framöver?
GDPR är här för att stanna och arbetet med dataskydd kommer sannolikt att få än mer fokus framöver. Baserat på våra erfarenheter från arbetet med GDPR anger vi nedan några områden där vi tror att många företag bör fokusera sina insatser framöver:
- En viktig del i arbetet är att kontinuerligt utbilda anställda om dataskydd och hur GDPR har implementerats i verksamheten. Utbildning och information är avgörande för att arbetet med dataskydd ska bli en integrerad del i verksamheten och inte sluta som ännu en pappersprodukt.
- Hanteringen av personuppgifter enligt GDPR överlappar till viss del med de krav som ställs på finansiella företags hantering av informationssäkerhet. Många företag kan således tjäna på att ser över hur de arbetar med dessa frågor och i den mån det är möjligt integrera hanteringen av GDPR i det löpande arbetet med informationssäkerhet.
- Då implementeringen av GDPR många gånger var komplex och genomfördes under tidspress bör företagen även säkerställa att regelverket är korrekt implementerat, vilket t.ex. kan göras genom en ”second opinion”.
- Ett effektivt sätt att framöver säkerställa ett gott dataskydd inom verksamheten är att tillsätta ett dataskyddsombud. För de företag som inte har behov av en resurs på heltid eller helt enkelt inte hittat rätt person kan rollen som dataskyddsombud läggas ut på en tredje part.
zeb har erfarenhet från flera implementationsprojekt och uppdrag som dataskyddsombud inom den finansiella sektorn. Vårt 360-perspektiv – IT och data, riskhantering, regelefterlevnad och legal i samma erbjudande – ger er en flexibel och pålitlig samarbetspartner som kan hantera helheten såväl som fokusera på delfrågor och detaljer.
Så oavsett om ni har utfört en perfekt implementering, om ni vill vara bättre än tillräckligt bra, eller om ni just nu insåg att GDPR är något som måste följas – så är ni mycket välkomna att kontakta oss med frågor om GDPR!
DELA
