25 maj i år fyllde GDPR, EU:s dataskyddsförordning, ett år. Under det första året inledde Datainspektionen 72 granskningar, skriver Computer Sweden. På ettårsdagen hade dock inga viten delats ut.

Det finns dock många fall som väckt Datainspektionens uppmärksamhet under det senaste året, och fler lär det bli. Det gäller inte minst registrering av biometriska data.

Ett exempel på registrering av biometriska data är ett test på en gymnasieskola i Skellefteå, där elevernas närvaro registreras med hjälp av ansiktsigenkänning. Här ställde Datainspektionen en mängd frågor till kommunens gymnasienämnd, bl.a. om vem som är personuppgiftsansvarig för de behandlingar som har skett, vilka säkerhetsbedömningar som har gjorts, och om insamlade data raderas efter att de används.

Ytterligare ett exempel är de kroppsburna kameror som används av biljettkontrollanterna i Stockholms kollektivtrafik, och Googles hantering av användares platsdata.

GDPRGranskning av företag

Datainspektionen kommer även, ett år efter att förordningen träder i kraft, att på eget initiativ granska företags användning av kunduppgifter. Detta föranleds inte av att företagen anses ha brutit mot reglerna, utan kontrollen görs av myndigheten som en del i tillsynsarbetet. Genom att göra granskningar på detta sätt vill Datainspektionen också förbereda sig inför framtida granskningar, genom att ta reda på vilka frågor som kan dyka upp.

Det första företag som granskas på detta sätt är  Bonnier Magazines & Brands. Några av de frågor som myndigheten hoppas få svar på genom sin granskning är

  • När kan företag använda samtycke som rättslig grund?
  • Får företag ställa villkor för samtycke?
  • Kan ett dotterbolag få kunders samtycke till hur hela koncernen får hantera kundernas uppgifter?

När en kund tecknar en prenumeration hos Bonnier Magazines & Brands begär företaget samtycke till lagring av personuppgifter. Datainspektionen ställer sammanlagt sju frågor, och vill

ha svar på dessa frågor senast 1 juli i år. Därefter ska myndigheten återkomma med eventuella brister som påträffats och måste åtgärdas. Granskningen av Bonnier Magazines & Brands beräknas vara klar i slutet av året. Om det finns brister i hanteringen av personuppgifter kan det bli aktuellt med administrativa sanktionsavgifter.

Hur påverkar detta mig?

Om du inte arbetar på ett stort företag, som Schibsted, Spotify eller H&M, behöver du troligen inte oroa dig för att Datainspektionen ska granska din arbetsplats på samma sätt som myndigheten nu granskar Bonnier M&B. Men det kan ändå finnas anledning att vara uppmärksam på vad utredningen kommer fram till.

Ett syfte med granskningen är nämligen att göra konsumenterna medvetna om de rättigheter GDPR ger dem. Även om granskningen inte resulterar i riktlinjer för andra företag att följa kan det vara en bra idé att läsa den så.

Än så länge är okunskapen stor om GDPR, och om vilka krav förordningen egentligen ställer på den som samlar in data i någon form, något som också märks i de ovan nämnda exemplen. Oavsett vad granskningen av Bonnier resulterar i kommer fler företag att granskas, och förr eller senare – troligen ganska snart – kommer något företag att få betala sanktionsavgifter. Sanktionsavgifter kan drabba såväl små som stora företag, och därför är det viktigt att känna till vad granskningarna kommer fram till, och rätta sig efter vad som kommer fram i dem.