Datainspektionen har undersökt om drygt 400 företag och myndigheter har utsett ett dataskyddsombud. Enligt dataskyddsförordningen, GDPR, är alla myndigheter och även vissa företag skyldiga att utse ett dataskyddsombud och meddela det till Datainspektionen.
– Det är en väldigt viktig roll för att öka medvetenheten och regelefterlevnaden av GDPR, vilket är skälet till att vi prioriterat detta som vår första GDPR-granskning, säger Datainspektionens generaldirektör Lena Lindgren Schelin.
I början av oktober stod det klart att Citybuss i Piteå var ett av flera granskade kollektivtrafikbolag som riskerade reprimander. Vd Niklas Hedkvist var dock inte orolig då han menade att Citybuss inte behöver utse något dataskyddsombud.
– Vi har inget kundregister och vi har ingen kameraövervakning. Det är det de kollar på inom kollektivtrafiken. Att registrera sig på busskortet är frivilligt och allt det sker via länstrafiken och vi är hänvisade till deras dataskyddsombud, sa han.
Nu får Niklas Hedkvist rätt. Datainspektionen konstaterar efter sin granskning att Citybuss i Piteå inte behandlar personuppgifter på ett sådant sätt att bolaget omfattas av skyldigheten att utse ett dataskyddsombud.
– Det känns bra, även om vi redan visste det. Vi hade pratat med dem och förstod att vi hade gjort rätt då vi inte har något kundregister eller kameraövervakning, säger Niklas Hedkvist till PT.
Granskningen visar att majoriteten av de granskade organisationerna har anmält och utsett ett dataskyddsombud i tid. Det är en marginell skillnad i efterlevnaden av reglerna mellan myndigheter och privata aktörer. Vissa branscher utmärker sig dock negativt. Det gäller särskilt teleoperatörer där fyra av åtta bolag inte levt upp till kraven. Av de 51 fackförbund som fanns med i urvalet hade närmare 25 procent brister.
Av totalt 66 tillsynsärenden har Datainspektionen beslutat att ge reprimander i 57 fall. I två fall har tillsynsobjekten fått ett föreläggande och sju fall har avslutats utan åtgärd.
– Eftersom det gått så pass kort tid efter att GDPR infördes den 25 maj, har vi stannat vid att utfärda reprimander. Men, skulle vi framöver konstatera fortsatta brister när det gäller dataskyddsombud så kan även administrativa sanktionsavgifter bli aktuella, säger Lena Lindgren Schelin.