GDPR och hot om viten skapar oro hos företagen

Många företag oroar sig för att drabbas av höga böter om man bryter mot GDPR. Och det visar sig att det finns anledning för oro, många företag saknar de rutiner som behövs. Man oroar sig även för den dåliga publicitet som skulle kunna uppstå om man inte lever upp till kraven enligt GDPR. Integritetsskyddsmyndigheten har påbörjat ett antal granskningar vilket gör många nervösa.

Hittills har Integritetsskyddsmyndigheten bara utdömt en sanktionsavgift med koppling till GDPR. Det rörde en gymnasieskola som på prov använt ansiktsigenkänning för att registrera elevnärvaro. Integritetsskyddsmyndigheten bedömde att flera bestämmelser i GDPR överträtts och sanktionsavgiften sattes till låga 200 000 kronor. Detta därför att ärendet rörde en skola och en tidsbegränsad personuppgiftsbehandling. Den maximala sanktionsavgiften hade varit 10 miljoner kronor.

Vad kan man dra för slutsatser av det här? Ja, om inte annat att sanktionsavgifter kommer att drabba fler organisationer, att de inte bara rör stora företag och att konsekvenserna kan bli mycket kännbara. Det inkommer löpande ett stort antal ärenden och Integritetsskyddsmyndigheten har utökat sin personal. Dessutom har förslag att tillföra ytterligare anslag lagts fram.

Incidenterna ökar

Nyhetssajten Computer Sweden skriver att GDPR åter hamnat högt på företagens agendor då Integritetsskyddsmyndigheten nu påbörjat ett antal granskningar. Företagens oro handlar inte bara om risken för sanktionsavgifter utan även om dålig publicitet. Sådant finns det gott om exempel på. Inte minst från mediarapportering om personuppgiftsincidenter som intrång och läckor, som tycks komma allt oftare.

Personuppgiftsincidenter ska i vissa fall rapporteras till Integritetsskyddsmyndigheten, och i vissa fall även till berörda individer till vilka personuppgifterna hör. I en rapport skriver Integritetsskyddsmyndigheten att antalet anmälningspliktiga incidenter ökat, vilket sannolikt beror på en högre medvetenhet om integritetsfrågor och en bättre förmåga att leva upp till kraven i GDPR.

Många saknar rutiner

Trots detta görs bedömningen att det finns ett stort mörkertal i form av incidenter som inte anmäls, trots att en sådan skyldighet finns. I mars i år uppgav endast 40 procent av de företag som saknar dataskyddsombud att de har rutiner för att upptäcka, dokumentera, anmäla och hantera personuppgiftsincidenter. Det pekar på att de flesta av alla företag saknar viktiga rutiner som rör GDPR och riskerar drabbas av sanktionsavgifter.

Obehöriga kommer över personuppgifter

Över hälften av de personuppgiftsincidenter som rapporteras till Integritetsskyddsmyndigheten beror på att obehöriga personer på något sätt kommit över personuppgifter som de inte ska ha tillgång till. Den mänskliga faktorn står bakom den största andelen av dessa. I sina rekommendationer skriver Integritetsskyddsmyndigheten att en central del i arbetet med dataskydd handlar om att säkerställa att personuppgifter inte hamnar i orätta händer.

När Integritetsskyddsmyndigheten bedömer en personuppgiftsincident tittar de på hur allvarlig incidenten är, hur den har hanterats och om anmälan är fullständig eller ej.

Hur ska man göra som företagare då? Jo, allra helst vill man ju slippa personuppgiftsincidenter helt och hållet. Genom att vidta åtgärder för att uppfylla kraven i GDPR minskar i alla fall risken att de inträffar. Skulle något trots det inträffa, ja då minskar åtminstone risken för sanktionsavgifter om rätt rutiner finns på plats.