Annons

3.500 incidenter utan böter – nu lovar GDPR-chefen hårdare tag

Lena Lindgren Schelin, generaldirektör på Datainspektionen.
Lena Lindgren Schelin, generaldirektör på Datainspektionen. Foto: Jack Mikrut
Ett år efter att GDPR infördes har inga svenska bolag åkt på böter. I år blir det ändring på det. ”Självklart finns det anledning för oss att gå på lite hårdare”, säger Datainspektionens generaldirektör Lena Lindgren Schelin.
Facebook
Twitter
LinkedIn
E-post
Öka textstorlek

EU:s bestämmelser om hur företag, organisationer och myndigheter ska hantera personuppgifter, GDPR, har nu gällt i ett år. 

Förberedelserna och arbetet med att implementera reglerna, som ställer höga krav på hur personuppgifter hanteras, för de svenska bolagen har varit rigorösa. Enligt Tillväxtverket har det kostat hela 26,6 miljarder kronor för svenska aktörer att anpassa sig till det nya regelverket.

Trots den rejäla notan visar en färsk utredning från Datainspektionen att endast hälften av bolagen i Sverige arbetar med GDPR löpande.

”Det finns ett stort behov att fördjupa arbetet med GDPR. Å ena sidan kan man säga att det är ett bra utfall att hälften av verksamheterna uppger att de arbetar systematiskt med det här, det är oroväckande att andra hälften inte gör det”, säger Datainspektionens generaldirektör Lena Lindgren Schelin.

Enligt Datainspektionens nationella integritetsrapport, som släpptes den 20 maj i år, anser endast hälften av dataskyddsombuden, den på bolaget som ansvarar för GDPR-frågor, att den verksamhet de arbetar i har ett löpande och systematiskt arbete med dataskydd.

Bland annat ställer EU:s personuppgiftsbestämmelser krav på att bolagen måste ha ett dataskyddsombud, att de måste informera om hur de använder personuppgifter och ge användare insyn i vilken information man har om dem.

Skulle ett bolag bryta mot GDPR:s omfattande regler så kan stora böter vänta. 

I värsta fall handlar det om 20 miljoner euro, motsvarande 215 miljoner kronor, eller 4 procent av den globala omsättningen beroende på vilket värde som är högst. Det mildaste straffet är en varning.

”Vi kommer utnyttja hela vår verktygslåda. Förordningen säger att bryter man mot vissa av de grundläggande bestämmelserna så är sanktionsavgifter den normala påföljden, det är det som ska utfalla”, säger Lena Lindgren Schelin.

I Frankrike statuerade dataskyddsmyndigheten, CNIL, ett exempel av Google som i januari fick böta motsvarande drygt en halv miljard kronor. CNIL ansåg att Google brutit mot GDPR genom att sakna transparens och tydlighet i informationen om hur bolaget hanterar användarnas data.

I oktober avslutade Datainspektionen sin första GDPR-granskning. I utredningen kontrollerade myndigheten om 400 företag, myndigheter och organisationer överhuvud taget utsett dataskyddsombud. Flera brister hittades, men ärendet slutade i ett litet slag på fingrarna genom förelägganden och reprimander.

Sammanlagt har 3000 klagomål gällande hanteringen av personuppgifter enligt GDPR inkommit till Datainspektionen i Sverige sedan förra årets införande av regleringen. 3500 incidenter, där personuppgifter spridits felaktigt, har anmälts. 

Hittills har Datainspektionen genomfört 72 tillsynsärenden, 23 är fortfarande pågående. 

Även om myndigheten fått in tusentals klagomål och anmälningar och utfört ett hundratal tillsyner, har inga sanktionsavgifter dömts ut ännu. Det kan det dock bli ändring på, menar Lena Lindgren Schelin.

”Självklart finns det anledning för oss att gå på lite hårdare. För att göra det måste vi göra tillsyner och landat i ett beslut att lägga på sanktionsavgifter, just nu pågår en mängd undersökningar”, säger hon.

Främst är det mindre bolag som måste skärpa arbetet med hur man hanterar personuppgifter enligt GDPR, anser Lena Lindgren Schelin. Enligt Datainspektionens kartläggning finns stora risker bland de små bolagen i och med att de inte jobbat med personuppgiftsfrågor.

”Gällande ett litet företag med mindre än tio anställda kan man ju undra hur mycket personuppgifter de hanterar. Men där ser vi tydligt att det finns väldigt små företag som med tekniska metoder kan hantera stora mängder data. Det är en målgrupp vi måste titta på med tillsyner”, säger hon.

Kommer ni utdela de första sanktionsavgifterna under året?

”Vi tror nog att vi kommer landa där. Sedan i vilken utsträckning och på vilka nivåer blir något som vi måste fundera över.”

Facebook
Twitter
LinkedIn
E-post
Vi har förtydligat vår personuppgiftspolicy. Läs mer om hur vi hanterar personuppgifter och cookies