Under de två år som gått sedan dataskyddsförordningen, GDPR, infördes i maj 2018 har Datainspektionen tagit emot runt 3 000 klagomål per år som rör hantering av personuppgifter, vilket kan jämföras med de cirka 500 klagomål som myndigheten tog emot året innan GDPR började gälla.

– Ökningen av antalet klagomål tyder på att medborgarnas medvetenhet om och förväntan på att personuppgifter ska hanteras på ett korrekt sätt har ökat, säger Christina Torell som är analytiker på Datainspektionen.

Cirka en fjärdedel av klagomålen avser de rättigheter som förordningen ger medborgarna. Den vanligaste rättigheten som berörs i klagomålen är rätten till radering. Klagomålen handlar ofta om att personuppgifter inte raderats, trots att detta begärts. Den näst vanligaste rättigheten som berörs, är rätten till registerutdrag, där ett vanligt klagomål är att skriftlig information om vilka personuppgifter som verksamheterna hanterar har begärts, men inte erhållits.

– De här är viktiga rättigheter som syftar till att ge medborgarna större kontroll över hur deras personuppgifter hanteras. Mängden klagomål indikerar att företag och andra organisationer måste bli bättre på att leva upp till dessa rättigheter.

Mer än var tionde klagomål handlar om att medborgarna upplever att säkerheten i hanteringen av deras personuppgifter brister, till exempel att känsliga personuppgifter mejlas okrypterat.

– Det är viktigt att informera alla medarbetare i organisationen om verksamhetens regler och rutiner för hur personuppgifter ska hanteras och att se till att rutinerna hålls levande.

– Vi utreder dessa klagomål genom en mer begränsad granskning jämfört med andra granskningar som typiskt sett är bredare och innehåller mer komplexa juridiska frågeställningar. Här utreder vi typiskt enbart det specifika klagomålet från den enskilda, säger Nazli Pirayehgar som är jurist på Datainspektionen.

Dataskyddsförordningen, GDPR, ger enskilda rättigheter vad gäller hur företag och andra får hantera deras personuppgifter. Enskilda har bland annat rätt att begära ett registerutdrag för att få reda på vilka personuppgifter som en organisation har registrerat om dem, rätt att begära att personuppgifter ska tas bort eller rättas och rätt att invända mot att få marknadsföring skickat till sig.