Publicerad: 2018-11-19
Datainspektionen har presenterat sin första GDPR-granskning efter att EU-förordningen trädde i kraft den 25 maj 2018. Granskningen omfattade 362 verksamheter i företag, myndigheter och organisationer, och av dessa kunde Datainspektionen konstatera brister hos 59. Bland de granskade fanns 82 försäkringsbolag och banker och bland dessa fann Datainspektionen brister hos sju. Ett förhållandevis gott resultat jämfört med övriga branscher.
Granskningens tema var att se om verksamheter med skyldighet att utse dataskyddsombud (DPO) hade uppfyllt denna skyldighet. Alla offentliga organ är skyldiga att utse ett dataskyddsombud men även privata aktörer har en sådan skyldighet när vissa förutsättningar är uppfyllda. Dataskyddsombudet ska dessutom anmälas till Datainspektionen. De 59 verksamheter där Datainspektionen funnit brister hade antingen inte utsett ett dataskyddsombud, eller inte anmält det i tid.
I rapporten konstateras att de flesta verksamheter hade utsett ett dataskyddsombud och anmält denne till Dataskyddsinspektionen. Av de som inte gjort det tycks flertalet åtgärdat bristen så fort man uppmärksammats på granskningen. Endast två ärenden kvarstod när rapporten publicerades, övriga hade Datainspektionen avslutat utan åtgärd eller med en reprimand.
Våren 2018 kommer nog för många vara förknippad med GDPR. Mailboxar fylldes med GDPR-information och de flesta företag och organisationer hade stora implementeringsprojekt. Stor möda och mycket resurser gick åt för att göra verksamheterna GDPR-anpassade. Några kom igång senare än andra och med varierande ambitionsnivåer. Men alla gjorde något.
På det stora hela visar Datainspektionens första granskning att det arbetet gav resultat. Visserligen kunde brister konstateras men inte i den mängd eller art som man kanske inledningsvis kunde befara.
Fler granskningar på gång
Nu är det dags för nästa steg. Genom GDPR har skyddet för personuppgifter hamnat i allas fokus och EU har tagit det globala initiativet avseende individens integritet. Inget tyder på att dessa frågor kommer att minska i betydelse och det kommer vara viktigt för företag inom alla sektorer, inte minst i finansbranschen, att fortsätta arbeta proaktivt med sin personuppgiftshantering.
Datainspektionen har aviserat fler granskningar och komplexiteten i frågeställningarna ser ut att öka. Bland annat kommer en granskning av samtycken att genomföras, ett område där det fortfarande finns osäkerhet hur personuppgiftsansvariga bäst ska administrera kraven på frivillighet, återkallelse och syftet med behandlingen. Avgränsningen mellan rollerna som personuppgiftsansvarig och personsuppgiftsbiträde är ytterligare en granskning som har Datainspektionen aviserats.
Fånga momentum
Aktörer inom bank, finans och försäkring har alltså all anledning att tillvarata det momentum kring integritet och dataskydd som skapades under vårens GDPR-implementeringar. Konsekvenserna av att inte leva upp till de nya kraven kommer att öka och kan bli betydande.
Zeb upplever just nu en stark efterfrågan från kunder som vill förbättra och utvärdera sina nya GDPR-processer och riktlinjer. Med vårt 360-perspektiv - med IT, risk och regelefterlevnad i samma erbjudande – har zeb erfarenhet från flera framgångsrika GDPR-anpassningar. Zeb kan vidare erbjuda anpassade outsourcinglösningar för DPO-rollen för både små och stora aktörer.
Kontakta oss om ni vill veta mer eller behöver stöd i arbetet med GDPR!
DELA
