Datainspektionens arbete i vår
Vad händer hos Datainspektionen?
Självklart har även Datainspektionen kommit med utlåtanden kring personuppgiftsbehandling och Covid-19. Men visst känns det skönt att ibland läsa om annat? Dessutom finns det de som hävdar att det t.o.m. är nödvändigt att koppla bort det som händer i världen just nu för att hålla humöret uppe. Här kommer därför en härlig genomgång av vad Datainspektionen producerat för att hjälpa alla företag i vår – med undantag för information kopplad till Covid-19.
Datainspektionens årsredovisning
I februari publicerade Datainspektionen sin årsredovisning. Reflektionen i stort kring 2019 var att året kännetecknades av att få de rutiner och processer man upprättat kring GDPR att fungera i praktiken, och att mer komplexa rättsliga frågor och tolkningsproblematik uppkommit. Detta är ett fokusskifte även vi på Delphi sett, när vi arbetar med frågor kring GDPR. Datainspektionen redogör i årsredovisningen för hur många ärenden och förfrågningar av olika slag som tagits emot, nedan listas några exempel:
- 4 000 klagomål från enskilda individer;
- 6 400 skriftliga frågor från privata eller offentliga verksamheter som vände sig till Datainspektionen för att få vägledning och stöd i olika frågor;
- 4 800 anmälningar av personuppgiftsincidenter; och
- 500 ansökningar om tillstånd till kamerabevakning.
Även samarbetet med andra tillsynsmyndigheter har fortsatt. I maj 2019 stod Datainspektionen värd för det årliga nordiska dataskyddsmötet. På mötet deltog representanter från Sverige, Danmark, Norge, Finland, Island samt Åland och Färöarna. Mötet utmynnade i en förbindelse mellan de nordiska myndigheterna att samarbeta vad gäller metodologi och resultat från tillsynsarbete och att skapa ett nätverk för att utbyta information om samarbetet inom EU och att ge stöd och vägledning till dataskyddsombud.
Datainspektionen har även under ett besök hos finländska dataskyddsmyndigheten särskilt diskuterat dataskydd inom forskning och användning av hälsodata. Under hösten 2019 kom den norska dataskyddsmyndigheten på besök hos Datainspektionen och då diskuterades bland annat arbete med personuppgiftsincidenter.
Datainspektionen hade även under 2019 en ledande roll i arbetet med EU-gemensamma vägledningar, och hade vid årsskiftet rollen som huvud- eller medrapportör i fem vägledningar listade nedan:
- begreppen personuppgiftsansvarig och personuppgiftsbiträde;
- kamerabevakning;
- sociala medie-plattformar;
- enskildas rättigheter; och
- målsökning för riktad annonsering på sociala medier.
Rapport om personuppgiftsincidenter
Kort efter att årsredovisningen publicerades kom Datainspektionens rapport om personuppgiftsincidenter. Som ovan beskrivits fick Datainspektionen in knappt 4 800 anmälningar om personuppgiftsincidenter under 2019, vilket motsvarar cirka 400 anmälningar per månad jämfört med cirka 320 rapporterade incidenter per månad under 2018.
Offentlig sektor, särskilt hälso- och sjukvård och statliga myndigheter, var den sektor inom vilken antalet anmälda personuppgiftsincidenter ökat mest. Dubbelt så många incidenter i snitt per månad anmäldes från offentlig sektor under 2019 jämfört med 2018.
Precis som föregående år är den vanligaste incidenten fortfarande felaktigt skickade e-mail eller brev, och den mest förekommande angivna orsaken till incidenten är den mänskliga faktorn. Drygt en tredjedel av de rapporterade incidenterna anges vara felaktigt skickade e-mail eller brev, och drygt hälften av incidenterna anges bero på den mänskliga faktorn.
Ny e-tjänst för anmälan av personuppgiftsincidenter
Ända sedan GDPR trädde i kraft har Datainspektionen informerat om att de arbetar med en lösning för digital rapportering av personuppgiftsincidenter. Den 12 mars i år meddelade Datainspektionen att en sådan tjänst äntligen var i drift!
Syftet med att kunna rapportera personuppgiftsincidenter i e-tjänsten är att underlätta för anmälningsprocessen och göra det smidigare för organisationer att rapportera om incidenter. E-tjänsten har stöd för att båda göra anmälan på svenska och engelska, och för att kunna anmäla en gränsöverskridande incident eller icke gränsöverskridande incident. Alltså precis samma funktioner som formulären tidigare hade. Datainspektionen nämner även vid lanseringstillfället att denna typen av tjänst är viktig eftersom anmälan ska ske inom 72 timmar. Tidigare har Datainspektionen tagit hänsyn till postgång vid inskickade anmälningar, men tjänsten innebär nu att Datainspektionen kan motta anmälningarna snabbare efter deras inträffande.