”Omognad i egna verksamheten huvudvärk för dataskyddsombud”

När det här blogginlägget skrivs har vi precis rundat av en halvdagskonferens riktad till dataskyddsombud (DSO). Vi genomför konferensen på nobeldagen när det går, annars en närliggande dag, för att uppmärksamma och skänka lite glans över dataskyddsombudens viktiga roll och arbete. Totalt deltog runt 700 ombud digitalt. Särskilt glädjande är att se att fler mötesplatser arrangerar gemensamma träffar för ombud för att tillsammans ta del av konferensen och sedan diskutera viktiga frågor.

Precis som tidigare år har jag fått förmånen att inleda konferensen, vilket fått mig att reflektera över både det gånga året och över framtiden. Dataskyddsförordningen, GDPR, är nu inne på sitt femte år. Pusselbitarna börjar trilla på plats i form av tolkningar och vägledning. Flera av våra egna stora ärenden som överklagats ligger hos Högsta Förvaltningsdomstolen för slutligt avgörande, vilket kommer att ge ytterligare praxis.

IMY har under året slagit fast en ny strategisk inriktning för 2022-2025 som beskriver var vi som dataskyddsmyndighet vill vara inom de kommande åren.

Ny strategisk inriktning

Vår strategiska inriktning tar sitt avstamp i vår vision om ett tryggt informationssamhälle där vi tillsammans (med det omgivande samhället) värnar den personliga integriteten. För att den visionen ska bli verklighet krävs en rad saker. Inte minst måste allmänheten få bättre kännedom om vilka rättigheter de har enligt GDPR, för att kunna utnyttja dessa rättigheter och också göra aktiva val för att skydda eller begränsa spridningen av sina personuppgifter. Här finns det mycket arbete kvar att göra, det visar inte minst vår nyligen släppta rapport Digital integritet 2022 som pekar på att bara hälften av svenskarna fortfarande känner till GDPR.

I vår strategiska inriktning ser vi också behovet av att vi ger verksamheter bättre stöd och vägledning. Ett exempel är det särskilda uppdrag vi fått av regeringen att höja kunskapen om dataskyddsfrågor i innovationssystemet. Ju tidigare man får med dataskyddsfrågorna i innovationsprojekt, desto bättre. Helt nyligen lanserade vi en särskild innovationsportal på vår webbplats där vi steg för steg kommer att förse innovationsaktörer och andra intresserade med råd och vägledning i dataskyddsfrågor.

För att vi ska kunna lyfta dataskyddsfrågorna på alla nivåer i samhället behöver IMY jobba mer med vägledning och i ännu större utsträckning än idag bli en kunskapsbank för alla som arbetar med dataskyddsfrågor.

Rättsliga ställningstaganden

Som ett led i att ge mer stöd och kunskap lanserade vi i slutet av förra året en ny ”produkt”, rättsligt ställningstagande, som redogör för vår uppfattning i rättsliga frågor där det saknas vägledande domstolspraxis eller vägledning från den Europeiska dataskyddsstyrelsen (EDPB). I år har vi publicerat två sådana ställningstaganden.

Vi har även publicerat nationella vägledningar, till exempel en vägledning för politiska aktörer inför valet och den vägledning för integritetsanalys i lagstiftningsarbete som blev klar helt nyligen.

Harmoniseringen inom EU blir allt mer framträdande. För IMY har det alltid varit viktigt och prioriterat att vi är en aktiv deltagare i det europeiska samarbetet som sker i EDPB. På DSO-konferensen berättade vi om en vägledning för beräkning av sanktionsavgifter som tagits fram av EDPB, där vi från IMY lett arbetet. Denna vägledning är ute för publik konsultation, och vi hoppas kunna fatta beslut i EDPB under våren 2023.

En del av EDPB:s strategi är att göra samordnade åtgärder som utförs gemensamt av de olika europeiska dataskyddsmyndigheterna. I år undersökte ett antal nationella dataskyddsmyndigheter hur molntjänster används inom offentlig sektor. Vi publicerade resultatet från vår egen undersökning nyligen och en sammanfattande rapport kommer från EDPB tidigt nästa år.

Dataskyddsombudens roll och ställning

Nästa år är tanken att de europeiska dataskyddsmyndigheterna ska se närmare på dataskyddsombudens roll och ställning. Vi återkommer med mer information om det under nästa år.

GDPR fyller som sagt fem år nästa år och vi har kommit långt på vägen. Men vi har fortfarande en bit kvar att gå. Det vittnade tre inbjudna dataskyddsombud om i sitt panelsamtal på konferensen. Bland problemen som lyftes fram var att det fortfarande finns en omognad och bristande kunskap om dataskyddsfrågor i den egna organisationen och att det finns ett stort avstånd mellan lagen och den praktiska tillämpningen av GDPR i verksamheterna.

Ett annat problemområde som lyftes fram av ett ombud på ett bolag som agerar i hela Europa är bristen på harmonisering mellan olika EU-länder.

Exempel på lyckade åtgärder

De inbjudna ombuden berättade också om lyckade åtgärder i den egna verksamheten. I en verksamhet hade man tagit fram mallar, mallstöd och internutbildning för att stötta verksamheten när det behöver göras konsekvensbedömningar. I en annan verksamhet berättade ett dataskyddsombud om arbetet med att höja medvetenheten om dataskyddsfrågor ”ända ut i fingertopparna” i den egna organisationen, bland annat genom att introducera integritetsambassadörer i linjeverksamheten för att på så sätt skapa ringar på vattnet och nå hela organisationen.

I mitt slutanförande och framåtspaning tog jag upp tre saker som jag tycker är mycket viktiga inför kommande år.

• Omvärldsläget i dag, med i princip dagliga rapporter om olika former av cyberangrepp, sätter fingret på något väldigt viktigt – det bedrivs idag aktiv verksamhet för att komma över olika typer av information i vårt land. Cyberangrepp kan lamslå hela verksamheter och störa ut viktiga samhällsfunktioner. Cybersäkerhet, informationssäkerhet, it-säkerhet och dataskydd är olika dimensioner av samma fråga: Skyddet av vår personliga data och annan verksamhetsinformation. Därför är det viktigt att samtliga dessa frågor lyfts till verksamhetens högsta ledning och att det tas ett systematiskt helhetsgrepp om frågorna. Data- och integritetsskydd är inte något nödvändigt ont. Förlust av kontroll över de personuppgifter en verksamhet hanterar är idag en högst reell riskfaktor och därmed också en strategisk verksamhetsfråga.
• Vi är i början av EU:s digitala årtionde (2020-talet) där målet är att bygga upp en fri inre marknad där data, under kontrollerade former, kan flöda fritt. Vi har redan börjat se och kommer att få se en mängd lagstiftningsinitiativ som rör användning och delning av data inom EU/EES. ”The Big Five” har fått en ny innebörd – hit räknas Dataakten, Dataförvaltningsakten (DGA), Digitala marknadsakten (DMA), Digitala tjänsteakten (DSA) och AI-förordningen. Därutöver behandlas bland annat en akt om ett Europeiskt hälsodataområde och ett stort antal andra akter som kommer bli verklighet under de kommande åren och som i olika utsträckning kommer få påverkan på våra verksamheter.
• Jag är så glad och stolt över det arbete som ni dataskyddombud gör där ute. Det är ett gediget ansvarstagande och ett viktigt arbete att driva och utveckla förståelsen kring dataskyddsfrågorna i era organisationer. I år är det tredje året som vi hållit denna konferens i digital form. Hade ni varit på plats så hade ni alla fått en guldmedalj. Det förtjänar alla som kämpar med att få gehör och genomslag för dataskyddsfrågorna i den egna organisationen och därmed bidrar till ett tryggt informationssamhälle. Tack!

Som ni kanske vet fick IMY i höstens budgetproposition en rejäl höjning av våra anslag. Vi har redan påbörjat arbetet med att rekrytera närmare 50 nya medarbetare. För oss innebär det stora möjligheter att ta nästa steg i vår vision om ett tryggt informationssamhälle där vi tillsammans värnar den personliga integriteten. Med mer resurser kan vi göra mer, något vi hoppas att ni kommer att märka under nästa år.

Jag önskar er alla en riktigt God Jul och ett Gott Nytt år!

Lena Lindgren Schelin, generaldirektör