Månader har gått sedan GDPR trädde i kraft och ibland hörs kommentarer att ingenting hände. Finns det en orsak till att vi inte sett mängder av böter utdömda trots att vi fått en anstormning av incidenter till Datainspektionen? Nu i mitten av september har Datainspektionen fått in över 1.000 incidenter till myndigheten, men enligt vad vi erfar har inga av dessa incidenter har hittills föranlett till en åtgärd från myndigheten än. Datainspektionen inledde efter 25 maj en granskning utifrån ett antal aktörer som ej rapporterat in dataskyddsombud som borde gjort det enligt GDPR.
Sidan DI Digital rapporterar att 66 olika aktörer ska få sin dom inom två veckor. Granskningen som initierades efter 25 maj var utifrån att dessa organisationer saknade dataskyddsombud när lagen vann laga kraft. Detta borde vara lätt åtgärdat av organisationerna, så att man kan anta att DI har gått vidare med djupare granskning av dessa organisationer.
DI Digital skriver att det är 2 privata vårdgivare, 13 fackförbund, 3 kollektivtrafikbolag, 5 teleoperatörer, 5 försäkringsbolag, 3, banker och 35 myndigheter som granskas. Det skall bli intressant att se vilken påföljden blir av dessa granskningar. Denna kommer att visa vägen för hur DI agerar i framtiden.
Övriga europa
Hur ser det ut i resten av länderna där GDPR gäller. I England dömde ICO, deras motsvarighet till Datainspektionen nyligen ut maxbeloppet enligt den tidigare lagstiftningen på 500,000 pund till Equifax. Händelsen som var upphov till denna böter inträffade under 2017 och påverkade 15.2 miljoner brittiska medborgare. Orsaken till den kraftiga böterna var det stora antalet personuppgifter som läckts kopplat till den bristande respekt som Equifax hade visat för Informations och IT-säkerhet. Värt att nämna är att i detta fallet var det inte GDPR utan 1998 års lagstiftning som tillämpades.
Ett av få fall där GDPR´s lagstiftning hunnit tillämpats är i Tyskland, även om inte några böter har utdömts. En av Tysklands lokala tillsynsmyndigheter, Unabhängiges Landeszentrum für Datenschutz (ULD) som finns i den tyska delstaten Schleswig-Holstein har använt sig av GDPR för att tvinga en organisation att upphöra med behandling av uppgifter via webkameror. Detta fallet var förberett innan GDPR trädde i kraft och utformat för ett snabbt avgörande. Men vid sidan om dessa exempel är det har det fortfarande inte märkts några böter eller sanktioner från Europas tillsynsmyndigheter.
Varför har det inte dömts ut några böter eller sanktioner än?
Det enkla svaret enligt tillsynsmyndigheterna och många intressegrupper som håller på med dataskydd är att det helt enkelt är för tidigt än. Ett normalt ärende som inkommit till en tillsynsmyndighet måste först beredas och sedan låta den anmälde organisationen komplettera sitt svar med åtföljande kompletteringar. I normalfallet tar denna process månader, samtidigt som tillsynsmyndigheterna har fullt upp med sina övriga åtaganden med att informera, utbilda och normera hur GDPR skall tolkas. I Sverige har vi dessutom sedan tidigare en kultur som bygger på förelägganden snarare än sanktioner. Detta kan även ha betydelse för hur framtiden kommer att te sig.
Men, om ett år kan vi blicka tillbaka och veta hur det gick…
Länkar
https://iapp.org/news/a/heres-why-the-first-gdpr-fines-could-still-be-months-away/
https://www.breakit.se/artikel/15654/snart-faller-datainspektionens-forsta-gdpr-dom
