Runt om i EU har det noterats hur klagomålen kring personuppgifts­hantering till de olika dataskydds­myndigheterna ökat lavinartat. Och på Data­inspektionen ser det likadant ut.

Sedan GDPR trädde i kraft den 25 maj har det kommit in drygt 1 200 klagomål. Drygt 2 400 incidenter har anmälts av företag och myndigheter – mer än en fördubbling sedan i slutet av september. Parallellt flödar frågorna in till Data­inspektionen både på mejl och telefon. Under året har runt 10 600 mejl och 8 000 telefonsamtal besvarats.

Fyra personer sysslar med att ta emot och svara på frågor varje dag – för ett år sedan var det två.

Camilla Sparr, jurist på Data­inspektionen, konstaterar att flödet av frågor tog fart för ungefär två år sedan när GDPR kom upp på företagens radar. Sedan dess ökade flödet stadigt för att få en tillfällig puckel med extra många frågor i maj när förordningen just trädde i kraft och sedan dess har det legat på en jämn, hög nivå.

– I början var frågorna mer omfattande – företag ställde ofta frågor om tolkningar. Men nu är det lite mer specifika frågor så det kan man kanske uppfatta som att man har grundläggande kunskaper, även om det finns de som fortfarande inte tagit tag i frågorna.

Sedan GDPR kommit på plats är det relativt jämnt fördelat mellan frågor från privatpersoner och företag.

Så vad handlar frågorna om?

– Vi har ingen statistik i detalj, men vi får mycket frågor om exempelvis rätten till register­utdrag, säger Camilla Sparr, jurist på Datainspektionen.

Både enskilda och personuppgifts­ansvariga undrar vad som ska lämnas ut och vilka undantag som finns. Även frågor kring radering av uppgifter och i vilka situationer man kan kräva att få uppgifter raderade är vanliga.

– Här är det viktigt att personuppgifts­ansvariga vet att den de har kontakt med är den person som den utger sig för att vara. Så där kommer en identifieringsfråga in. Enskilda kan uppleva att de behöver lämna ifrån sig mycket information för att få bort information.

Camilla Sparr berättar om företag som begär att man kommer in och visar legitimation eller att man ska skicka över kopior på identitetshandlingar.

Och det finns heller inget enkelt svar på frågan eftersom situationen och sammanhanget avgör vad som kan vara motiverat.

– Vi försöker lägga upp så mycket information och exempel som möjligt på vår webb för att underlätta, men en del frågor kommer vi fortsätta få eftersom det inte alltid finns raka svar.

Ett annat område där det kommer in frågor från allmänheten är de sajter som lägger ut person­uppgifter – som Ratsit och Mrkoll.

– Det får vi jättemycket frågor om. Men eftersom det handlar om sajter med utgivnings­bevis så omfattas de inte av GDPR. Så det ligger utanför vårt område.

Går det att märka om kunskaperna kring GDPR blivit bättre allteftersom?

– Ja, kunskapen och medvetenheten kring att det överhuvudtaget finns regler kring personuppgifter har absolut ökat. Många var inte medvetna om att vi hade personuppgifts­lagen tidigare. Och uppmärksamheten är ju större – inte minst hotet om sanktions­avgifter har lyft frågan till styrelserummen, säger Camilla Sparr.

Läs också: 
Första GDPR-granskningen klar – telekom och fackförbund sämst
GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler