Efter förra årets införande var det ganska tyst från Datainspektionen under en period. Nu börjar det dock hända saker och media skriver om granskningar som börjar göras. Vi bad Caroline Sundberg, advokat på Hannes Snellman att kort beskriva nuläget för uppföljningen av att GDPR efterlevs.
Just nu (augusti 2019) känns lite som stormens öga. Ett antal granskningar och initiativ har påbörjats av den svenska myndigheten och branschen har med skräckblandad förtjusning väntat på ett första utfärdande av en sanktionsavgift i Sverige, som nu slutligen har kommit. Datainspektionens första sanktionsavgift på 200 000 till Gymnasienämnden i Skellefteå kommun var förhållandevis låg i jämförelse med sanktioner som utdelats i andra europeiska länder. Att det inte blev något jättebelopp måste dock ses i ljuset av att det här var fråga om en kommun, där nivåer för sanktioner är lägre än för privata företag samt att de, trots allt, gjorde ett antal ärliga försök att efterleva personuppgiftsregleringen. Särskilt intressant i beslutet var dock inspektionens inställning till det offentligas möjlighet att använda samtycke som laglig grund. Det är en fråga som jag kommer att gå in på mer detaljerat under IT-rättsforum tillsammans med (förhoppningsvis) fler beslut som kommer under hösten.
Även värt att notera är att Sverige går in som ett av ordförandeländerna i den EU-arbetsgrupp som ska verka för att harmonisera sanktionsavgifter enligt GDPR. Arbetet kommer att ledas tillsammans med bl.a. Storbritannien som genom ICO har varit bland de mest aktiva tillsynsmyndigheterna samt utdelat bland de strängaste sanktionsavgifterna.
Många upplever att det är svårt att veta hur strängt man ska tolka GDPR. Vet vi något om hur Datainspektionen kommer att förhålla sig i praktiken?
Min uppfattning är att Datainspektionen har förståelse för det som är ”svårt” och därför sannolikt inte i onödan straffar de som genuint försöker att göra rätt, medan man kan ana en betydligt mer oförlåtande hållning gentemot de som Datainspektionen tycker ”borde veta bättre”. Jag tror, och hoppas, att många av de som oroar sig mest, gräver ner sig i detaljer och våndas är de som sannolikt kommer komma lindrigast undan vid en prövning. Det finns dock sannolikt fortfarande en hel del behandlingar där ute som, ur ett allmänt integritetsskyddsperspektiv, kommer att må gott av Datainspektionens bedömning och sanktioner.
Det har kommit några domar internationellt redan nu. Är det någon av dem som känns extra intressant för oss i Sverige att titta på?
I förhållande till GDPR är det främst beslut från tillsynsmyndigheter som har kommit. Det är väl värt att bevaka dessa och jag kommer ge en sammanfattning av de viktigaste under mitt föredrag. Jag tycker även man ska hålla utkik efter utgången i EU-domstolens pågående prövning av Standardavtalsklausulerna (SCC) och Privacy Shield (som möjliggör överföring av personuppgifter till bl.a USA) i det sk. ”Schrems II-målet” (C-311/18) samt tribunalens prövning av mål T-738/16 där intresseorganisationen La Quadrature du Net m.fl. för talan om att ogiltigförklara Privacy Shield. Dessa frågor är uppe för prövning i juli 2019 och förhoppningsvis får vi något besked under hösten avseende domstolarnas bedömning i frågan.
Vad har du för förväntningar på IT-rättsforum den 13 november och vad kommer du att bidra med?
Jag förväntar mig intressanta diskussioner och praktiska frågor från deltagarna. Dessa konferenser brukar ge en bra bild över de bekymmer som deltagarna främst brottas med vilket även är en bra indikation på vad vi kommer att arbeta med kommande året. Jag hoppas kunna bidra med en översikt över senaste utvecklingen av praxis avseende GDPR samt några tankar och reflektioner som uppstått hos oss som arbetat med dessa frågor på djupet sedan GDPR trädde i kraft.
Vill du veta mer? På IT-rättsforum kan du lyssna till Caroline och många andra intressanta föreläsningar. Läs programmet och anmäl dig här!
