GDPR och millenniebuggen – blev det som vi trodde?

GDPR har nu gällt i snart tre månader och många kanske undrar vad som hände. Blev det som vid millennieskiftet där det investerades enorma summor i nya IT-lösningar? Nu, liksom då, undrade alla om det var värt det och har vi faktiskt uppnått något?

Den 25 maj var UC redo när förordningen trädde i kraft men givetvis har vi, som alla andra, att fråga oss om vi gick i mål den dagen eller helt enkelt hade tränat och förberett så bra att vi var redo att ställa oss på startlinjen. Det är nu resan börjar och alla vi som följer förordningen kommer att succesivt få klarhet i om vi tolkat lagen rätt, om våra informationstexter är begripliga och om vi lyckats utbilda våra medarbetare tillräckligt bra. Helt enkelt om vi har lyckats få de grundläggande principerna i förordningen att genomsyra våra verksamheter och våra personuppgiftsbehandlingar.

Vi på UC har bedrivit tillståndsplikt verksamhet sedan 1970-talet, integritet har alltså varit en naturlig del av vårt DNA under många år. Samtidigt är jag övertygad om att det arbete vi, och alla andra som behandlar personuppgifter, har bedrivit inför ikraftträdandet av förordningen har resulterat i att den personliga integriteten har stärks vilket är till gagn för oss alla.

GDPR och incidentrapportering

Det kommer att vara många frågor och utmaningar att hantera framöver kopplat till detta arbete och en fråga avser risker förknippade med rapporteringen av incidenter till Integritetsskyddsmyndigheten. För att inspektionen ska kunna göra ett så bra arbete som möjligt är det viktigt att man får tillgång till så relevant information som möjligt i samband med personuppgiftsincidenter. Samtidigt kan en incidentrapport innehålla känslig information och det finns ett behov att kunna sekretessbelägga delar för att förhindra att informationen som lämnas exempelvis kan används av ljusskygga krafter i helt andra syften än att stärka integriteten.

Värt att notera är att Kammarrätten den 2 augusti (Mål nr 5200-218) mellan Dagens Industri och Integritetsskyddsmyndigheten konstaterat att inspektionen i det aktuella ärendet inte hade rätt att sekretessbelägga information i incidentrapporten men samtidigt ska det noteras att det fortsatt finns möjlighet för Integritetsskyddsmyndigheten att sekretessbelägga delar av incidentrapporter om det kan antas leda till skada. Så var dessa gränser går blir en av många viktiga frågorna att följa framöver.

En sak är säker, vi har intressanta år framför oss för att se hur GDPR utvecklas och hur vi företag, myndigheter och andra aktörer ansvarsfullt kan skydda medborgares integritet.

Åke Dahlqvist