Min första tanke är att Lena Lindgren Schelin är som klippt och skuren för uppdraget som generaldirektör för Datainspektionen. Hon har en bakgrund som jurist och har både forskat och disputerat i rättsvetenskap inom processrätt. Hon har jobbat på Justitiedepartementet, Brottsförebyggande rådet, Skolinspektionen och Ekobrottsmyndigheten. Och så gillar hon tuffa utmaningar.

– Jag tror att min något brokiga men breda bakgrund kommer väl till pass i mitt uppdrag här på Datainspektionen, säger hon klarsynt.

Varför blev det just du som utsågs till generaldirektör för Datainspektionen?
– Ja, det är väl egentligen en fråga för regeringen att svara på, men jag sökte jobbet eftersom jag har ett stort intresse för de frågor Datainspektionen driver. Den nya reformen som precis trätt ikraft har en stor potential och bidrog till att jag blev intresserad att driva utvecklingen. När Skolinspektionen bildades var jag med och byggde upp verksamheten, också det en tillsynsmyndighet. Jag har ett starkt intresse för ledningsfrågor och har ägnat mycket tid åt att utveckla mitt eget ledarskap.

Du har ju tidigare jobbat på Ekobrottsmyndigheten. Finns det några naturliga kopplingar till din nuvarande position på Datainspektionen?
– Man kan ju tycka att det är helt väsensskilt, men själv tycker jag inte att klivet är så långt mellan brottsbekämpning och tillsynsverksamhet även om verktygen inte är lika långtgående. Även på Datainspektionen genomförs granskning och vi kan kräva åtgärder och påföra administrativa sanktionsavgifter. Formellt är kanske den närmaste kopplingen att jag varit personuppgiftsombud på Ekobrottsmyndigheten. Jag arbetade för att rusta den verksamheten för den nya reformen och har jobbat aktivt med GDPR och dataskyddsdirektivet från den sidan.

Olika typer av nätbedrägerier har ökat mot företagare, är det något som Datainspektionen jobbar med/engagerar sig i?
– Den typen av aktivitet ligger utanför vårt ansvarsområde, det är en fråga för polis och åklagarmyndigheten. Vi engagerar oss inte i bedrägerier som sådana men kan vara med och uttala oss om hur du kan skydda dina personuppgifter och vilka risker som finns med att lämna ut uppgifter och lösenord och liknande. I vårt förebyggande uppdrag kan vi så klart vara behjälpliga.

Många tjänster digitaliseras, kan du se något speciellt hot med det eller blir allt bara bättre och säkrare?
– Digitaliseringen är en viktig faktor i den moderna samhällsutvecklingen. Vi måste nog acceptera att en digital framtid är det som kommer och är till det bättre. Vi måste därför ta till vara på de möjligheter digitaliseringen ger, men samtidigt verka för att det sker på ett så rättssäkert sätt som möjligt, där den personliga integriteten värnas. Vid utvecklingen av nya digitala tjänster måste från och med nu integritetsskydd byggas in från början. Det är en bra utveckling. Vi måste vara medvetna om att personliga uppgifter blivit en ny valuta, en handelsvara. Och vi måste hjälpa enskilda individer att förstå och förhålla sig något mer kritiska till vilka uppgifter de lämnar ifrån sig och vad de samtycker till, det är den senaste Facebookskandalen ett tydligt exempel på. Nu är vi i början av en ny era när det gäller dataskydd, GDPR ska stärka individers skydd mot olaglig användning av personuppgifter. En av de allra viktigaste prioriteringarna är att säkerställa att de digitala möjligheterna inte missbrukas.

Vad är det viktigaste för verksamma i redovisnings- och lönebranschen att tänka på när det gäller GDPR?
– Det är svårt för mig att exakt analysera de specifika utmaningarna i olika branscher, men rent krasst handlar det om att se över hur ansvarsförhållandena ser ut. Det är viktigt att man klargör vem som är personuppgiftsansvarig och att man som personuppgiftsbiträde följer de råd och anvisningar som utarbetats. Detta görs genom avtal med huvudmannen. Generellt handlar det alltså om ordning och reda – och förhoppningsvis råder god ordning och reda i redovisnings- och lönebranschen. Det grundläggande är att säkerställa att man har rättslig grund och ett specifikt ändamål för sin behandling, inte samlar in fler uppgifter än nödvändigt samt säkerställer att enskildas rätt till information med mera kan tillgodoses. Dokumentation är alltid central. Har man ordning och reda och har analyserat sin personuppgiftsbehandling, då klarar man sig ganska långt.

Hur ser du på att många uppfattar GDPR som ännu en tung, administrativ börda?
– Jag har full förståelse för att GDPR upplevs så, det är inledningsvis en stor apparat att säkerställa att man har ordning och reda, och kontroll på alla processer. Enligt den gamla personuppgiftslagen, PuL, fanns en missbruksregel, ett undantag för ostrukturerade uppgifter, som jag upplever att många använt sig av väl flitigt. Då blir städjobbet lite större. De som följt PuL får faktiskt inte en så jobbig resa. Men jag önskar att man inte enbart ser GDPR som en börda utan även som ett tillfälle att påbörja ett mer systematiskt kvalitetsarbete. Har man en gång fått ordning är det lätt att löpande hålla den ordningen. Jag tror också att en verksamhet som lever upp till GDPR kan ha en konkurrensfördel, ett säljargument som visar att företaget behandlar personuppgifter på ett ansvarsfullt sätt.

Vad är det minsta jag som ”vanlig” småföretagare bör göra gällande GDPR?
– Man ska inventera hur man registrerar och använder personuppgifter i sin verksamhet, kontrollera att man har laglig grund för sin behandling och dokumentera vad man sparar och var. Rensa uppgifter som du inte får ha och spara inte uppgifter länger än du får. Se över dina it-lösningar och säkerställ att de erbjuder tillräcklig skyddsnivå för de uppgifter du behandlar.

^{Lena Lindgren Schelin  Foto: Datainspektionen}
Många upplever att GDPR använts lite som skrämselpropaganda för att till exempel öka försäljningen av kurser. Hur ser du på det?
– Även jag har suttit på kundsidan och fått fler mejl om dagen med erbjudanden om kurser. Stora rubriker som säger ”är du inte förberedd får du dryga böter”. Marknaden springer före och ser så klart ett tillfälle att profitera på den nya reformen. Att se det som skrämselpropaganda vill jag inte ställa mig bakom, jag är mer tacksam för att flera aktörer har satt fingret på en viktig fråga. Personuppgiftslagen har funnits i många år men har varit tandlös. Hotet om de administrativa sanktionsavgifterna har på så sätt redan nu fått en förebyggande effekt – att personuppgiftsansvariga investerar i kunskap om GDPR tycker jag är en bra väg att gå.

Kan du se några speciella utmaningar Datainspektionen står inför den närmaste tiden?
– Ja, vi har massor med spännande utmaningar framför oss, det var delvis därför jag sökte den här tjänsten. Vi har själva rustat oss inför GDPR, samtidigt som vi försöker hjälpa till att rusta omvärlden. Vi rekryterar för fullt och anställer runt 25 nya medarbetare. Vi har lanserat en ny webbplattform och har börjat jobba mer målgruppsanpassat. Det blir en spännande tid att ta oss an ett större och mer utåtriktat uppdrag samt att få alla nya personer på plats så snabbt som möjligt. Det blir en utmaning.

– En detalj som vi idag inte vet så mycket om är skyldigheten att rapportera personuppgiftsincidenter. Ett tappat usb-minne, en glömd väska med din arbetsdator i, intrång i servrar, att en anställd tagit del av uppgifter den inte har rätt till, att uppgifter exponerats till tredje land. Ja, listan kan göras lång. Idag har vi inte en aning om vad och hur många incidenter som kommer att rapporteras, det blir en både teknisk och personell utmaning. Sen är det så klart viktigt att vi kommer fram med en ny och stark praxis så att verksamheter vet hur den nya lagen ska tolkas. Det finns som sagt lite att bita i och jag ser med full tillförsikt fram mot att börja jobba med dessa frågor på allvar.