Dataskyddsombudens svar oroar
I maj i år fyller dataskyddsförordningen, GDPR, fem år (!). Dessutom fyller vi som myndighet 50 år i år. Båda dessa händelser firar vi med en särskild konferens den 25 maj i år. Så markera redan nu datumet i din kalender.
GDPR har alltså varit på plats i fem år. En nyhet i GDPR är skyldigheten att vissa organisationer måste utse ett dataskyddsombud och anmäla detta till oss på IMY. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Dataskyddsombudet spelar alltså en mycket viktig roll när det gäller att säkerställa att verksamheter följer och respekterar dataskyddsreglerna.
Därför är det oroande att den undersökning av dataskyddsombudens arbete som vi nyligen genomfört visar att knappt 4 av 10 av de dataskyddsombud som svarat på enkäten anser att den egna organisationen arbetar kontinuerligt och systematiskt med dataskyddsfrågor.
Okunskap om dataskyddsombudets roll
I december i fjol genomförde vi vår årliga konferens för datasskyddsombud. En del av agendan var ett panelsamtal med tre dataskyddsombud från olika typer av verksamheter. De problem som ombuden då förde fram var bland annat:
- Generell omognad och låg kunskap om dataskyddsfrågor i den egna verksamheten.
- Verksamheten kan uppleva att det blir övermäktigt med dataskyddsfrågor.
- Det är ett stort avstånd mellan lag och tillämpning. Ofta har den egna verksamheten inte samma problem med förståelsen vad gäller OSL och arkivlagstiftning.
- Verksamheten har svårt att förstå varför de måste ha ett dataskyddsombud. De har inte själva efterfrågat att ha ett dataskyddsombud.
- Verksamheten har inte kunskap om vad ett dataskyddsombud har för uppdrag och funktion.
Liknande efterenheter framkommer i vår senaste undersökning. I rapporten över undersökningen jämför vi årets resultat med den motsvarande undersökning som vi gjorde 2019. Det praktiska dataskyddsarbetet verkar ha kommit in i en ny fas jämfört med 2019. De initiala svårigheterna att förstå och implementera dataskyddsförordningen i den egna verksamheten verkar ha minskat tydligt, i varje fall i de organisationer som har svarat på undersökningen. Det är positivt eftersom det indikerar att kunskapsnivån kring dataskyddsfrågor sakta men säkert höjs.
Hinder för verksamheten
Däremot vittnar dataskyddsombuden nu om att det är en stor utmaning att bestämmelserna ses som ett hinder för verksamheten och att dataskyddsförordningen försvårar arbetet för den egna organisationen. Endast hälften av ombuden upplever att de får gehör för dataskyddsfrågor från ledningen.
Jag har sagt det förr och jag säger det igen: arbetet med dataskydd är en fråga för den högsta ledningen. I årets undersökning konstaterar vi att det krävs en aktiv ledning som gör nödvändiga prioriteringar för att ta dataskyddsarbetet till nästa nivå. Förvisso bör dataskyddsombudet ha en nära samverkan med andra relevanta roller som arbetar med informationshantering och säkerhetsfrågor i verksamheten, till exempel it-säkerhet, informationssäkerhet och cybersäkerhet. Men dataskyddsombudets uppdrag och roll måste vara förankrad i ledningen.
Det är ledningen som ger förutsättningarna – anger tonen, sätter ambitionsnivån, prioriterar resurser och utvecklingsmedel – samt beskriver vad som förväntas av medarbetarna i dataskyddsarbetet. Om inte högsta ledningen engagerar sig i dataskyddsfrågorna kommer verksamheten ha fortsatta utmaningar i implementeringen och efterlevnaden av dataskyddsreglerna och dataskyddsombuden en utmanande roll att fylla.
Dataskyddsarbetet är en ständigt levande fråga som kräver uthållighet. Det gäller nu att upprätthålla och vidareutveckla de landvinningar som gjordes efter att dataskyddsförordningen började tillämpas 2018. Det är fortsatt viktigt att löpande involvera dataskyddsombudet i frågor som rör informationshantering, personlig integritet och dataskydd inom verksamheten.
Måste ta ansvar
Givet utvecklingen i omvärlden är det nu särskilt viktigt att vi tar ett gemensamt ansvar för utvecklingen. Det är centralt att verksamheter säkerställer skyddet för sina informationstillgångar och därmed ökar motståndskraften mot dataintrång och cyberangrepp. En central take-away från årets konferens Folk och Försvar är de pågående och riktade cyberattacker som Sverige och Sveriges verksamheter utsätts för dagligen. Ett gott informationssäkerhetsarbete och skydd för de informationsmängder verksamheter hanterar är centralt för att bidra till att stärka totalförsvaret och samhällets robusthet. Varje verksamhet är en viktig länk i detta arbete. En säker och medveten hantering av personuppgifter bidrar till att stärka säkerheten för våra informationstillgångar och kommer allt mer vara en förutsättning för en livskraftig verksamhet.
Lena Lindgren Schelin, generaldirektör
Dataskyddsdagen 2023
Den 28 januari är den internationella dataskyddsdagen. Det är Europarådet som har utnämnt dagen till Data Protection Day. Runt om i Europa, och övriga världen, ordnas i anslutning till denna dag olika aktiviteter för att öka medvetenheten om hur personuppgifter samlas in och behandlas och vilka rättigheter man har som medborgare. Datumet har valts eftersom Europarådets Dataskyddskonvention antogs den 28 januari 1981.