GDPR och hot om viten skapar oro hos företagen

2019-11-20

Många företag oroar sig för att drabbas av höga böter om man bryter mot GDPR. Och det visar sig att det finns anledning för oro, många företag saknar de rutiner som behövs. Man oroar sig även för den dåliga publicitet som skulle kunna uppstå om man inte lever upp till kraven enligt GDPR. Datainspektionen har påbörjat ett antal granskningar vilket gör många nervösa.

Hittills har Datainspektionen bara utdömt en sanktionsavgift med koppling till GDPR. Det rörde en gymnasieskola som på prov använt ansiktsigenkänning för att registrera elevnärvaro. Datainspektionen bedömde att flera bestämmelser i GDPR överträtts och sanktionsavgiften sattes till låga 200 000 kronor. Detta därför att ärendet rörde en skola och en tidsbegränsad personuppgiftsbehandling. Den maximala sanktionsavgiften hade varit 10 miljoner kronor.

Vad kan man dra för slutsatser av det här? Ja, om inte annat att sanktionsavgifter kommer att drabba fler organisationer, att de inte bara rör stora företag och att konsekvenserna kan bli mycket kännbara. Det inkommer löpande ett stort antal ärenden och Datainspektionen har utökat sin personal. Dessutom har förslag att tillföra ytterligare anslag lagts fram.

Incidenterna ökar

Nyhetssajten Computer Sweden skriver att GDPR åter hamnat högt på företagens agendor då Datainspektionen nu påbörjat ett antal granskningar. Företagens oro handlar inte bara om risken för sanktionsavgifter utan även om dålig publicitet. Sådant finns det gott om exempel på. Inte minst från mediarapportering om personuppgiftsincidenter som intrång och läckor, som tycks komma allt oftare.

Personuppgiftsincidenter ska i vissa fall rapporteras till Datainspektionen, och i vissa fall även till berörda individer till vilka personuppgifterna hör. I en rapport skriver Datainspektionen att antalet anmälningspliktiga incidenter ökat, vilket sannolikt beror på en högre medvetenhet om integritetsfrågor och en bättre förmåga att leva upp till kraven i GDPR.

Många saknar rutiner

Trots detta görs bedömningen att det finns ett stort mörkertal i form av incidenter som inte anmäls, trots att en sådan skyldighet finns. I mars i år uppgav endast 40 procent av de företag som saknar dataskyddsombud att de har rutiner för att upptäcka, dokumentera, anmäla och hantera personuppgiftsincidenter. Det pekar på att de flesta av alla företag saknar viktiga rutiner som rör GDPR och riskerar drabbas av sanktionsavgifter.

Obehöriga kommer över personuppgifter

Över hälften av de personuppgiftsincidenter som rapporteras till Datainspektionen beror på att obehöriga personer på något sätt kommit över personuppgifter som de inte ska ha tillgång till. Den mänskliga faktorn står bakom den största andelen av dessa. I sina rekommendationer skriver Datainspektionen att en central del i arbetet med dataskydd handlar om att säkerställa att personuppgifter inte hamnar i orätta händer.

När Datainspektionen bedömer en personuppgiftsincident tittar de på hur allvarlig incidenten är, hur den har hanterats och om anmälan är fullständig eller ej.

Hur ska man göra som företagare då? Jo, allra helst vill man ju slippa personuppgiftsincidenter helt och hållet. Genom att vidta åtgärder för att uppfylla kraven i GDPR minskar i alla fall risken att de inträffar. Skulle något trots det inträffa, ja då minskar åtminstone risken för sanktionsavgifter om rätt rutiner finns på plats.

Är du nyfiken att läsa mer om GDPR finns en rad tips på artiklar nedan. 

Du kan även besöka vår sida för GDPR hjälpen, vår tjänst som hjälper företagare leva upp till GDPR. 

 

 

 

 

Anders Frimodig

Nordisk produktansvarig

Anders har arbetat med produkt- och affärsutveckling i många år. Han brinner för att skapa enkla och användbara lösningar, där teknik och affär möts i en helhet som skapar verklig nytta. Anders är en inbitnt Apple-fan och trebarnspappa som tycker om att träna och som har en speciell plats i hjärtat för Japan. Här bloggar han om nya produkter och tjänster samt trender inom marknadsbearbetning.