Fem år med GDPR – Var är vi nu?

Cecilia Margenberg 28 juni, 2023

Introduktion

Stor påverkan på företag och myndigheters hantering av personuppgifter

Den 25 maj firar dataskyddsförordningen 2016/679 (EU) fem år. Sedan ikraftträdandet år 2018 har dataskyddsförordningen, eller GDPR, haft stor påverkan på företags och organisationers dataskyddsarbete. Inte minst har det stärkt individers möjligheter att få kontroll över sin data. GDPR har också bidragit till att sätta en global standard för säker reglering av personuppgiftsbehandlingar som gäller för alla verksamma företag och organisationer på EU-marknaden, oavsett var i världen de är etablerade.

Utmaningen

Många har en lång väg kvar att gå

Trots att GDPR har medfört att företag har tagit dataskydd på allvar är det fortfarande många som har en bit kvar för att efterleva GDPR fullt ut. Det märks inte minst på de många tillsynsbeslut och sanktionsavgifter som utdelats av dataskyddsmyndigheter runt om inom EU. Hittills har både antalet tillsynsbeslut och summan av sanktionsavgifterna ökat stadigt och ser inte ut att minska inom den närmsta framtiden.

Vägen framåt

De vanligaste misstagen som organisationer fortfarande gör

GDPR handlar mycket om att organisationer ska kunna visa hur de efterlever GDPR. Sedan förordningen kom 2018 har många verksamheter därför lagt stora resurser på att ta fram dokumentation. Rutiner, policys och checklistor har snabbt skapats men tyvärr ofta blivit liggande som pappersprodukter för att de inte förankrats tillräckligt i organisationen.

Ett vanligt misstag är att organisationer inte har arbetat på att bygga en långsiktig dataskyddskultur i sin verksamhet och bland sina medarbetare. I en dataskyddskultur är integritetsperspektivet något som organisationen alltid bär med sig i sina processer och något som de anställda känner till. I en sådan kultur blir risken att organisationen inte efterlever GDPR avsevärt mindre, eftersom risken för felaktig behandling av personuppgifter minskar. Om verksamheten glömmer bort att ta hänsyn till dataskydd är det lätt att medarbetare börjar med behandlingsaktiviteter som inte är tillåtna, eller har riskfyllda rutiner som ökar risken för incidenter. Då hamnar verksamheten i en sits där tid måste läggas på att släcka bränder istället för att arbeta proaktivt med dataskydd.

Otydligt ansvar för det dagliga GDPR-arbetet. Efterlevnad och medvetenhet kring dataskydd tillfaller varje medarbetare och ytterst ledningen.

Punktinsatser istället för att skapa processer som funkar för organisationen.

Dataskyddsombudet involveras för sent och i värsta fall när något nytt redan har implementerats.

Verksamheten kör samma GDPR-utbildning år efter år, utan att bygga vidare på kunskaperna eller rikta specifika utbildningar till olika delar av verksamheten.

Dataskyddsombudets betydelse för en dataskyddskultur

GDPR har även bidragit till att upprätta dataskyddsombudet som en ny roll. Dataskyddsombudets främsta uppgift är att se till att organisationen efterlever dataskyddslagstiftningen. Förutom det inkluderar DSO-rollen också rådgivning vid konsekvensbedömningar, att peka ut särskilda risker inom organisationer och se till att anställda får kunskap i dataskyddsfrågor. Ombudet måste ha breda kunskaper inom dataskydd för att effektivt kunna utföra sitt ansvar och stödja organisationens efterlevnadsinsatser.

Att ha ett dataskyddsombud inom organisationen är inte bara viktigt för att följa lagar och undvika sanktioner, utan också för att bygga förtroende med kunder och partners och framför allt för att etablera en kultur inom organisationen där dataskydd prioriteras. Det visar att din verksamhet tar efterlevnaden av GDPR på allvar och aktivt arbetar på att bygga och upprätthålla en dataskyddskultur med stöd av ert dataskyddsombud.

Om du vill veta mer om hur du kan få hjälp av ett dataskyddsombud på Secify, klicka här.

Cecilia Margenberg
Senaste inläggen av Cecilia Margenberg