Tre frågor om Datainspektionens fokusområden framöver 

Deloittes avdelning Legal besvarar tre frågor om GDPR och Datainspektionens kommentarer om utvecklingen av myndighetens arbete: 

Vad säger Datainspektionen om de senaste två åren och tiden framåt? 

Datainspektionen förklarar att de under de två första åren har befunnit sig i en uppstartsfas med fokus på att komma igång med ett nytt arbetssätt. Framöver kommer de nu dock att stärka fokus på en mer effektiv tillsynsverksamhet och på hanteringen av cyberangrepp. De har under de två första åren redan inlett ett flertal tillsynsärenden, där Datainspektionens högsta sanktionsavgift varit mot Google med en sanktionsavgift på 75 miljoner kronor. 

Datainspektionen fortsätter även att arbeta mycket med att försäkra en harmoniserad tillämning av GDPR inom EU/EES och då även en enhetlig användning av sanktionsavgifter genom samarbete inom EDPB (den europeiska dataskyddsstyrelsen). 

Under kommande år, från och med den 1 januari 2021, kommer Datainspektionen även att byta namn till Integritetsskyddsmyndigheten. 

Vad innebär arbetet med enhetlig användning av sanktionsavgifter? 

De nationella dataskyddsmyndigheterna kan besluta om att företag ska betala en administrativ sanktionsavgift om de bryter mot reglerna i GDPR. Avgiften kan uppgå till så mycket som fyra procent av företagets globala årsomsättning eller 20 miljoner kronor, beroende på vilket belopp som är högst. Sanktionsavgifterna ska vara effektiva, proportionerliga och avskräckande. Inom offentlig sektor är sanktionsavgifterna dock lägre.

Den högsta sanktionsavgiften som har utdömts sedan GDPR infördes är British Airways sanktion på 240 miljoner euro 2019 och det är den brittiska tillsynsmyndigheten som toppar listan över högsta utdömda sanktionsavgifterna. Vad gäller antalet utdömda sanktionsavgifter ligger Spanien, Rumänien och Tyskland som topp tre. Sverige finns inte med på topplistorna för varken högst antal eller högst summa av sanktionsavgifter. En möjlig anledning till detta kan vara att Datainspektionen hittills har haft stort fokus på offentlig sektor, där taken för sanktionsavgifterna är lägre.

Sverige gick under 2019 in som ett av ordförandeländerna i EU-arbetsgruppen som ska arbeta för harmonisering av sanktionsavgifter enligt GDPR. Syftet med arbetet är att skapa en enhetlig bedömning av sanktionsavgiftens storlek vid samma regelbrott. Att detta arbete är en prioriterad fråga för Datainspektionen bekräftades även vid den digitala tvåårskonferensen den 25 maj 2020. 

Hur väljer datainspektionen vilka de utövar tillsyn mot? 

Datainspektionen utövar tillsyn där det ger bäst effekt för de enskildas fri- och rättigheter och för att skydda den enskildes integritet. De flesta tillsynsärenden initieras antingen baserat på Datainspektionens egna, mer långsiktiga, omvärldsspaning, eller utifrån den information som inkommer till myndigheten i form av anmälningar, klagomål och tips. Samtidigt betonar Datainspektionen att en frånvaro av anmälningar om incidenter kan ge dem en signal om vad de kan behöva granska. Tillsynen kan ske genom skriftväxling eller inspektion på plats, eller en kombination av de båda. 

För att klara en tillsyn av Datainspektionen är det mycket viktigt att ha ett välfungerande dataskyddsarbete inom alla organisationer. Ett bra dataskyddsarbete kan underlättas av att ha ett bra dataskyddsombud. Mer information om dataskyddsombud kan ni få här .

Är ni intresserade av ett externt dataskyddsombud eller har frågor om dataskydd, kontakta gärna oss via kontaktuppgifterna nedan. 

*Informationen ska vare sig ses som rådgivande eller uttömmande. För rådgivning i enskilda fall vänligen kontakta oss via nedan kontaktuppgifter