Datainspektion: Ingen bedöms efterleva GDPR.

Datainspektion: Ingen bedöms efterleva GDPR.

Datainspektion släppte för en tid sedan sin integritetsrapport, som beskriver läget för personlig integritet bland medborgare och organisationer i Sverige.

Rapporten baseras på intervjuer av 1687 Dataskyddsombud och 1003 medborgare.

Slutsatserna är intressanta och visar att 75% av svenskarna är oroliga för hur deras persondata hanteras. Samtidigt anger mer än 50% av dataskyddsombuden att det inte anser sig ha tillräckligt med tid att arbeta med integritetsfrågor, och 49% av de svarande anser inte personlig integritet vara ett prioriterat område av ledningen.

Svaren har samlats in genom självskattning och Datainspektionen har gjort estimat baserat på dessa skattningar.

För att bedöma mognad har en regelefterlevnadstrappa tagits fram, innehållande sju steg.

Med tanke på att Datainspektionen ännu inte delat ut sitt första vite får resultatet anses vara uppseendeväckande. Trots att svaren baseras på självskattning, inte tillsyn, så kan Datainspektionen inte dra slutsatsen att någon av de svarande kan anses uppleva regelverket i GDPR.

På regelefterlevnadstrappans första steg är verksamheten omedveten om att dataskyddsreglerna finns. Datainspektionens undersökningar ger bilden att väldigt få svenska företag, myndigheter och andra organisationer befinner sig här.

En mindre andel privata företag bedöms finnas på det andra steget, som innebär att de är medvetna om att dataskyddsförordningen finns men har låg kunskap om regelverket och hur det påverkar deras egen verksamhet. Småföretag med färre än 10 anställda är överrepresenterade i denna grupp. Nästan en fjärdedel av småföretagen uppger i undersökningen att de bara känner till dataskyddsförordningen lite eller inte alls har hört talas om den. Datainspektionens undersökning visar också att vissa företag inom transport-, samt hotell- och restaurangbranschen finns här. En knapp tredjedel av transportföretagen känner bara till dataskyddsförordningen lite eller har inte hört talas om den.

Majoriteten av svenska privata och offentliga verksamheter bedöms ha nått åtminstone regelefterlevnadstrappans tredje steg. De flesta är motiverade att göra rätt och arbetar med att lära sig regelverken. Att både dataskyddsombuden och privata företag som inte anmält dataskyddsombud uppger att ledningen är engagerad i frågor som rör integritet och dataskydd bidrar till att skapa goda förutsättningar för det fortsatta arbetet. Samtidigt är det tydligt att vissa sektorer har större utmaningar. Dataskyddsombud inom kommun och landsting upplever genomgående att de har större utmaningar i arbetet med integritet och dataskydd än andra.

Vissa branscher utmärker sig positivt i undersökningen till dataskyddsombud och har nått åtminstone nivå fyra i trappan – de kan regelverket och arbetar med anpassningar för att efterleva det. Undersökningen visar att företag inom bank och finansbranschen samt it- och telekombolag generellt sett kommit längre än andra i arbetet med integritet och dataskydd.

Dataskyddsförordningen har bara gällt ett år och i många delar saknas fortfarande praxis. Det är därför för tidigt att bedöma om några verksamheter nått nivå fem eller sex i regelefterlevnadstrappan, där regelverket efterlevs, men integritetsskyddet också löpande verifieras och anpassas.

https://www.datainspektionen.se/globalassets/dokument/rapporter/nationell-integritetsrapport-2019.pdf