Det kan bli dyrt att ignorera GDPR

Även om många av oss har haft semester så fortsätter GDPR att leva sitt eget liv. Den 24 juli publicerade EU kommissionen en rapport* som ska ligga till grund för den utvärdering av GDPR som kommissionen kommer att genomföra under 2020. Rapporten kommenterar utvecklingen fram till idag, men det är speciellt en punkt jag tänkte reflektera lite kring, då den har en koppling även till Sverige och vår datainspektion.

Kommissionen uttrycker ett tydligt önskemål kring behovet av ett fördjupat samarbete mellan tillsynsmyndigheterna inom EU. Samtidigt meddelar den svenska Integritetsskyddsmyndigheten den 11 juli att man kommer att ta över ordförandeklubban för den arbetsgrupp inom EDPB som ska ta fram riktlinjer för att harmonisera sanktionsavgifterna för de som bryter mot förordningen. Arbetsgruppen består av representanter från Sverige, Holland och England.

När man tittar på vad man gjort i dessa länder hittills kan man inte låta bli att notera att den Brittiska Dataskyddsmyndigheten har aviserat att man avser utfärda vite mot British Airways på £123 miljoner (1,5 % av deras årliga globala omsättning), och mot Marriott International på £99 miljoner vilket, sannolikt är de hittills största beloppen som förekommit. I Holland pågår utredningar kring hantering av personuppgifter inom sjukvården och i Sverige vet vi att inspektionen bland annat tittar på 1177 Vårdguiden, Polisen samt Utbildningsnämnden och hur de har hanterat personuppgifter, men några större vitesbelopp har vi ännu inte sett.

Jag tror att det är mycket viktigt att inse att det kan bli kostsamt att ignorera detta. Det viktiga är givetvis att ständigt ha GDPR på agendan men när det gäller viten så är det sannolikt så att vi måste räkna med att i allt större utsträckning närma oss en europeisk nivå även i Sverige.

/Åke

* "Data Protection rules as trust-enabler in the EU and beyond – taking stock” Länk till rapporten här