Det har gått hela fem år sedan GDPR infördes. Vad har hänt sedan dess? Hur har det påverkat organisationer i Sverige? Och vilka utmaningar står vi fortfarande inför?
För två år sedan, 2021, skrev vi ett blogginlägg om hur de första tre åren med GDPR har varit för svenska organisationer. Då konstaterades det att många organisationer hade etablerat en grundläggande struktur och att de flesta hunnit driva ett ambitiöst dataskyddsarbete. Samtidigt fanns det fortfarande många som hade brister i sin dataskyddshantering. För att få mer insikt i de första åren med GDPR, rekommenderar vi att du läser vårt tidigare blogginlägg ”3 år med GDPR, vad har hänt?”.
Men vad har hänt under de senaste två åren, och vilka utmaningar möter vi idag?
GDPR under senare tid
Under de senaste åren har säkerhetsläget förändrats, med en ökning av dataintrång och cyberattacker. Informationssäkerhet och cybersäkerhet har fått allt större uppmärksamhet, och frågor som rör dataskydd och personlig integritet har blivit mer betydelsefulla.
En rapport från Integritetsskyddsmyndigheten (IMY) visar att det finns en hög oro för integritetsrisker, både när det gäller cyberattacker och ny teknik, bland svenska medborgare. Samtidigt visar undersökningar att de flesta svenskar känner sig trygga med hur myndigheter hanterar personuppgifter. Däremot är upp till en tredjedel oroliga för hur organisationer använder personuppgifter.
Under år 2022 har IMY ökat antalet tillsynsärenden markant. Trots den ökade tillsynen har färre organisationer fått böter för överträdelser och brister i hantering av personuppgifter. Med tanke på att hoten mot den personliga integriteten fortsätter att öka förväntas granskningarna fortsätta framöver.
GDPR under år 2021 & 2022 i siffror*
Böter: Under 2021 utfärdades sanktionsavgifter på totalt 32,5 miljoner kronor, medan motsvarande siffra för 2022 var 9,7 miljoner kronor.
Granskningar: Antalet tillsyner ökade markant från 37 under 2021 till hela 121 under 2022.
Anmälningar: Under 2022 hanterade IMY totalt 15 800 ärenden, varav 5 300 var anmälningar som rörde personuppgiftsincidenter. Dessutom kom 2 400 av klagomålen från enskilda personer.
*Siffrorna är hämtade från Voister.
Vilka andra faktorer påverkar GDPR idag?
På senare tid har Artificiell Intelligens (AI) uppmärksammats och implementerats allt mer i olika delar av vår vardag. Det har öppnat upp nya möjligheter för människor och tillämpas i de flesta branscher genom exempelvis digitala assistenter, chatbots och fordon. Men användningen av AI påverkar även dataskydd och hanteringen av personuppgifter. För att en AI-funktion ska kunna fungera behöver den utveckla och samla in data om användarna, vilket kan vara en utmaning när det kommer till att följa GDPR.
Innebär detta risker för organisationer?
En risk är att organisationer kan drabbas av dubbla böter vid användning av AI och behandling av personuppgifter. Det innebär att organisationer som tillkämpar AI kan straffas för överträdelser av både GDPR och andra europeiska lagar. Däremot kommer organisationer snart att behöva förhålla sig till EU:s nya förordning; AI Act. Den nya förordningen syftar till för att skapa tydliga och robusta riktlinjer för både företag och individer på AI-området. AI Act har dock kritiserats för att den är ännu mer komplex att hantera för företag än Dataskyddsförordningen, GDPR.
Vad kan vi förvänta oss av GDPR i framtiden?
Med tanke på det hotade säkerhetsläget och vikten av att hantera information korrekt, kan det fastställas att GDPR har fått en ökad betydelse i samhället, både för individer och organisationer. Detta medför nya utmaningar eftersom tekniken ständigt utvecklas och förändras. Det finns fortfarande brister i kunskap och erfarenhet när det gäller att garantera säker hantering av personuppgifter. Förhoppningsvis kommer det ökade fokuset på GDPR att fortsätta driva organisationer att sträva efter förbättrad informationssäkerhet.
Tips för att arbeta i enlighet med GDPR
Sverige har en ambitiös digitaliseringspolitik, och molntjänster är en teknik som svarar väl mot behoven av lagringskapacitet. Det är dock viktigt att vara medveten om i vilket land lagringen sker och vem som äger servrarna. Genom att välja en svensk molntjänst som omfattas av svensk lagstiftning kan man säkerställa att data inte får lämnas ut utan lagliga skäl. Detta ökar säkerheten och underlättar efterlevnaden av GDPR.
När du väljer tjänster bör du också se till att de möjliggör åtgärder som gallring, rättning och uttag av befintliga uppgifter på begäran. Det är viktigt att uppfylla alla krav som den enskilde har rätt att ställa när det gäller hantering av personuppgifter.
Slutligen, fortsätt att vara medveten om GDPR och dess krav. Genom att hålla dig uppdaterad om utvecklingen inom dataskyddsområdet och investera i lämpliga dataskyddsåtgärder kan du fortsätta att skydda både dina egna och andras personuppgifter på ett säkert sätt.
Läs mer om våra tjänster och hur vi på MicroData arbetar med att uppfylla Dataskyddsföringsordningens krav.
