När GDPR, de nya dataskyddsreglerna, trädde i kraft i maj 2018 drog många en lättnadens suck. Efter månader av hårt arbete drogs takten ner även om det på många håll fortfarande återstod en del.

Men i takt med att Datainspektionen dragit igång granskningar – över 30 olika ärenden just nu – så har oron ute på företagen att man ska råka ut för onödiga sanktioner eller dålig publicitet ökat och GDPR-arbetet har tagit ny fart enligt Kristoffer Andersson, GDPR-specialist på revisions- och rådgivningsföretaget PwC Sverige.

– Nu när det börjat komma avgöranden – ett i Sverige och flera ute i Europa har många börjat bli lite osäkra och titta på sina implementeringar igen, säger han.

Allt fler frågor under senare tid

Under senare tid har han som GDPR-specialist märkt av allt fler frågor både internt från kolleger men även från revisorer och andra utifrån.

– Från att under våren ha fått frågor från någon ny organisation varje vecka börjar det nu ramla in någon ny organisation som har frågor kring GDPR varje dag.

En vanlig fråga gäller hur man hanterar tredjepartsavtal – där man låter en underleverantör sköta personuppgiftsbehandlingen men enligt dataskyddslagen i huvudsak är ansvarig om något inte sköts som det ska.

– Där finns en oro inte minst av att det kan handla om långa kedjor med underleverantör på underleverantör på underleverantör – det är svårt att ha koll på vart det tar vägen.

En annan vanlig fråga handlar om molntjänster.

– Det pågår många molnmigreringsprojekt i Sverige just nu och där vill man känna sig trygg med vart data tar vägen och om det är rätt att lägga ut vissa uppgifter hos de stora molnleverantörerna.

Hur ofta ska stickprov tas?

Samtidigt har insikten i att GDPR-arbetet inte tar slut ökat och mognaden ökat konstaterar Kristoffer Andersson. Nu handlar det mycket om hur det ska inkorporeras i det vanliga arbetet – hur ofta stickprov ska tas, hur ofta dokumentationen ska uppdateras och så vidare.

– Redan när man börjar planera en förändring i organisationen måste de här frågorna komma in och då vill man hitta former för det.

Dessutom börjar arbetet med dataskydd inte bara handla om att undvika sanktioner utan också om att öka sin konkurrenskraft.

– Om det finns två likvärdiga aktörer på en marknad så kan man vinna på att visa sig vara den som behandlar personuppgifter på ett sjyst sätt, säger Kristoffer Andersson.

Gustav Linder, jurist på Datainspektionen, håller med om att trycket kring GDPR tycks öka.

– Ja det kan man nog säga – vi har märkt av ett ökat tryck nu på hösten även om vi haft ett ganska konstant högt tryck sedan början av 2018, säger han.

Första beslutet om sanktionsavgift

Även om en del av det kan ha att göra med att verksamheterna kommit igång igen efter sommarsemestrar så kopplar han det också till att det första och hittills enda beslutet om en administrativ sanktionsavgift fattades i slutet av augusti.

Sanktionsavgiften i sig ökar uppmärksamheten.

– Men det handlar också om att det kommer en mer detaljerad vägledning i samband med ett beslut, säger Gustav Linder.

När de enskilda granskningarna ska vara klara vill Datainspektionen inte sätta datum för men tanken är att det ska komma beslut löpande och att de då förtydligar hur GDPR ska tillämpas inom olika områden vartefter.

– Där sätter vi ner ner foten och säger hur man ska göra i en konkret situation och klargör olika frågor ur ett rättsligt perspektiv.

Han tycker det är bra att intresset ökar.

– Att människor arbetar aktivt med efterlevnaden av regelverket är en positiv utveckling. De här frågorna blir ju allt mer aktuella i samhället i stort.

Läs också: 
Skellefteå överklagar GDPR-bot för ansiktsigenkänning
Microsoft ändrar i Office för att få GDPR-godkänt
GDPR: Här är allt du behöver veta om EU:s dataskyddsregler