Ett år med GDPR

Ett år har gått sedan dataskyddsförordningen (GDPR) började gälla. Förordningen har väckt stort intresse och engagemang för frågorna kring den personliga integriteten och hur personuppgifter behandlas. Men vilka åtgärder har samhället vidtagit och har GDPR och åtgärderna egentligen lett till något resultat?

Bakgrund

Ett av de huvudsakliga syftena med GDPR är att åstadkomma ett enhetligt och likvärdigt skydd av personuppgifter, men även att inte hindra det fria flödet av personuppgifter inom den Europeiska unionen (EU). Något som väckt stor uppmärksamhet i förordningen är att den som hanterar personuppgifter på ett felaktigt sätt kan påföras sanktionsavgifter som kan bli ekonomiskt mycket kännbara. Vad gäller situationen i Sverige har Datainspektionen publicerat en nationell integritetsrapport för 2019 som ger en översikt över utvecklingen avseende skyddet av våra personuppgifter. Till detta kommer den tillsyn som Datainspektionen utövat under det gångna året och vad som därvid framkommit.

Integritetsrapporten

Datainspektionens nationella integritetsrapport är en del av myndighetens fortlöpande arbete med att följa och beskriva utvecklingen på integritetsskyddsområdet. Rapporten behandlar särskilt hur långt arbetet har kommit hos dem som ansvarar för behandlingen av personuppgifter för att se till att de nya kraven enligt GDPR uppfylls. Rapporten beskriver även allmänhetens kännedom om och inställning till frågor om integritet och dataskydd.

Inledningsvis redogör rapporten för de förändringar som GDPR medfört för Datainspektionen och dess arbete. Som myndighetens huvuduppdrag anges att arbeta för att människors rättigheter skyddas i samband med behandling av personuppgifter och att granska att lagar och andra regler följs. Det borde därmed vara mot den bakgrunden som Datainspektionens olika beslut och åtgärder ska ses och att det är dessa ändamål som myndighetens arbete alltid ska uppfylla.

Datainspektionens tillsynsärenden

Enligt Datainspektionens tillsynsplan för 2019–2020 ska tillsynen baseras på tre aspekter, nämligen prioriterade rättsområden, specifika branscher eller verksamheter, eller nya företeelser. Under den närmaste tiden kan vi räkna med att Datainspektionen kommer att kontrollera vem som är personuppgiftsansvarig respektive personuppgiftsbiträde, hur samtycken uppfyller kraven enligt GDPR samt när kreditupplysningslagstiftningen eller GDPR är tillämplig på vissa tjänster. Tillsyn kommer även att avse behandlingen av personuppgifter inom hälso- och sjukvården, skolan och rättsväsendet. Därtill kommer tillsyn att ske beträffande arbetsgivarnas behandling av de anställdas personuppgifter, platsdata i mobila operativsystem, personuppgifter i detaljhandeln, betalningsförmedlares köphistorik, personuppgifter om viseringar (VIS) inom EU och personuppgiftsbehandling inom inkassoverksamhet. Dessutom kommer vissa tekniska företeelser att granskas, såsom ansiktsigenkänning.

Datainspektionen har under 2019 inlett tillsyn på flera håll, men någon sanktionsavgift har ännu inte beslutats. Myndigheten tror dock att det kommer att bli aktuellt redan under 2019. Det saknas dock rättspraxis som kan ge vägledning på området, vilket kan medföra vissa svårigheter.

Slutsatser

Datainspektionen uppmärksammar själv i sin årsredovisning för 2018 att kapaciteten för att genomföra tillsyn är angeläget för att GDPR ska få genomslag, ett effektivt integritetsskydd och tilltron till Datainspektionen. Det ska ses mot bakgrund av att de registrerade statistiskt sett knappast har någon anledning att räkna med att deras klagomål kommer att leda någon vart. Samtidigt ger den rättspraxis som utvecklats avseende skadeståndsbeloppens storlek, 3000–5000 kronor, knappast heller de registrerade något egentligt incitament att försöka tillvarata sin rätt i våra domstolar, särskilt när det i praktiken också är uteslutet för de registrerade att få ersättning för sina kostnader för juridiskt biträde i sådana mål.

De fakta som framgår av Datainspektionens integritetsrapport 2019, årsredovisningen 2018 och tillsynsplanen 2019–2020 jämte föreliggande rättspraxis ger anledning för de registrerade att fråga sig om det är meningsfullt att inge klagomål till Datainspektionen eller att föra skadeståndstalan vid domstol. Härigenom blir det också tveksamt om GDPR i praktiken har lett till något förstärkt skydd för den personliga integriteten. Enligt artikel 82 och skäl 146 bör den registrerade kunna få full och effektiv ersättning för den skada som lidits. Det kan ifrågasättas om de skadeståndsnivåer som gäller enligt svensk rättspraxis och som ligger mellan 3000–5000 kronor kan anses effektiva och en jämförelse med vilka skadeståndsnivåer som tillämpas i andra EU-länder borde vara av intresse.

Vill du ta del av advokat Conny Larsson analys i sin helhet?

Läs då mer om informationstjänsten JP ITnet.

Publicerad 19 jun 2019