Ett år med GDPR
12 juni 2019
I år har det gått ett år sedan den nya europeiska dataskyddsförordningen GDPR (General Data Protection Regulation) trädde i kraft 25 maj 2018. På Prové har vi hjälpt våra privata och offentliga kunder med förändringarna som den nya lagstiftningen medförde både före och efter 25 maj 2018.
”Ja, året har gått fort, den initiala osäkerheten har lugnat ner sig, men vi ser också att det finns många funderingar kvar och att de flesta av våra kunder står inför liknande utmaningar”, säger Svenja Schuster som har stöttat Provés kunder i GDPR-frågor både före och efter införandet. Efter året som gått ser vi att många europeiska länder inte är rädda för att ålägga höga böter. Samtidigt upplever vi att den Svenska Datainspektionen (DI) har hållit tillbaka med omfattande straffavgifter samtidigt som det för tillfället pågår ett flertal granskningar inom det offentliga Sverige.
Datainspektionen har i början på året publicerat ”Nationell Integritetsrapport 2019”, som sammanställer såväl medborgarnas som verksamheternas perspektiv gällande dataskydd och hantering av personuppgifter. Samtidigt har DI meddelat ökad tillsyn och fler finansiella åtgärder inom en snar framtid.
Rapporten sammanfattar erfarenheter från drygt 1700 Data Protection Officers (DPO), en roll som har skapats i samband med GDPR. En stor del av resultatet i rapporten sammanfaller med Provés erfarenheter från det dagliga arbetet med våra kunder, det råder en osäkerhet kring DPO:ns roll, arbetsuppgifter och befattningens omfattning.
”Kruxet är att bibehålla och förankra arbetssättet och de nya rutinerna i verksamheten utan att belasta i det dagliga arbetet. Alla kollegor måste förstå att GDPR inte är ett projekt eller initiativ som slutade i maj 2018, tvärtom är det då det verkliga arbetet började och det är en stor uppgift att få med hela bolaget.” DPO och beställare inom privat sektor.
”Vi ser att många DPO:er upplever att deras tid inte räcker till för att bearbeta verksamhetens behov gällande GDPR frågor. Få DPO:er utövar rollen på heltid och det är otydligt vad som ligger i deras ansvar och vilka frågor som bör hanteras ute i verksamheten.” Svenja Schuster, Prové
GDPR gör dataskydd till en ledningsfråga och rapporten visar att en av de största utmaningarna är att förankra lagstiftningen och dess krav på alla nivåer i verksamheten. ”Många bolag har frigjort resurser och har förberett inför lagens ikraftträdande med nu gäller det att hänga kvar och etablera arbetssätt som fungerar över tid. Det är en av de största utmaningarna vi ser ett år efter införandet” poängterar Svenja.
De organisationer som lyckas sprida ansvaret för kontinuerliga GDPR-uppgifter i organisationen har också lättare att implementera GDPR som ett tankessätt. Prové ser att det ofta är här vår kompetens inom förändringsledning som skiljer sig från juristernas GDPR-tjänster. Genom våra olika uppdrag har vi fått en bra förståelse för verksamheternas största utmaningar gällande GDPR, vi stöttar DPO:er i att hitta sin plats i verksamheten och bygger och implementerar rutiner och arbetssätt som omfattar alla medarbetare.
För det kommande året är vi nyfikna att se resultaten av granskningarna och hoppas att DI kommer att tillhandahålla några pålitliga ledtrådar i deras handlingar för att hjälpa våra kunder att eliminera framtida oro och osäkerhet i behandlingen av personuppgifter. Vår ambition är att bidra till att GDPR-aktiviteter växer från att vara reaktiva till att ha en proaktiv och strategisk betydelse i organisationen som strukturerar och knyter ihop viktiga verksamhetsområden.
Faktaruta GDPR
Europeisk dataskyddsförordning som trädde i kraft 25 maj 2018
Europeiska dataskyddsstyrelsen (EDPB) arbetar med att konkretisera riktlinjer för de olika europeiska dataskyddsmyndigheter och ska bidra till en enhetlig tillämpning av dataskyddsregler i hela EU.
Högsta straffavgift har med 50 M. Euro delats ut till Google av franska myndigheter
Generellt har följande övertramp sanktionerats: Otillräckliga säkerhetsåtgärder, dataanalys av känsliga personuppgifter och otillräckliga behörighetsrutiner.