Den nya, strängare dataskyddslagen GDPR kommer ställa högre krav på det svenska näringslivet att hantera personuppgifter på rätt sätt. Om man bryter mot reglerna är straffen dessutom betydligt mer kännbara än tidigare.
Ansvaret för att syna företagens GDPR-arbete och följa upp anmälningar från allmänheter ligger på Datainspektionen.
”Nu har vi fått en större verktygslåda. Den stora skillnaden är att vi får besluta om sanktionsavgifter, i stället för att bara ge ett föreläggande. Många gånger har vi fått kritik för att den gamla personuppgiftslagen var tandlös. Vi har också sett exempel på aktörer som inte har rättat sig efter våra beslut”, säger generaldirektören Lena Lindgren Schelin till Di Digital.
Läs mer: Nu är de nya reglerna här – så tacklar techjättarna GDPR
Datainspektionen har från och med i dag rätt att påföra bolagen en sanktionsavgift på uppemot 20 miljoner euro, motsvarande drygt 200 miljoner kronor, eller fyra procent av den globala årsomsättningen.
”Sanktionsavgifterna är med svenska mått mätt ganska höga. Alla medlemstater kommer tillsammans att ta fram en praxis för hur nivåerna ska se ut för olika typer av överträdelser, men troligtvis kommer de bli något högre än vad vi är vana vid i Sverige”, säger Lena Lindgren Schelin.
Det kan ta tid innan det finns en gemensam EU-praxis på plats. Tillsynsmyndigheternas beslut kan nämligen överklagas i domstol. En sådan process kommer alltså att krävas för att få till en gemensam rättslig vägledning.
Läs mer: E-handelsprofilen: ”Hysterin kring GDPR är som millenniebuggen”
Men redan nu går det att fastslå att de maximala bötesbeloppen sällan kommer dömas ut, enligt Lena Lindgren Schelin. För något mindre allvarliga överträdelser gäller nämligen en sanktionsavgift på 10 miljoner euro, motsvarande 100 Mkr, eller 2 procent av koncernens omsättning.
Förutom de ekonomiska straffen kan Datainspektionen också utfärda varningar och till och med förbjuda företag från att hantera personuppgifter.
”Det kommer att vara viktigt att statuera exempel. Det handlar om att visa respekt för de företag som faktiskt har investerat en massa pengar, resurser och tid för att bringa ordning och reda i sina system. Det är en trovärdighetsfråga att identifiera de aktörer som inte tar GDPR på allvar”, säger Lena Lindgren Schelin.
Datainspektionen kommer både följa upp tips från konsumenter och genomföra egna granskningar av företag. Dessutom har näringslivet en skyldighet i GDPR-lagen att själva rapportera dataintrång eller läckage av personuppgifter till myndigheten.
Läs mer: Våg av ”GDPR-brev” spås skölja över storbolagen
”Vi ska försöka identifiera de stora riskområdena, till exempel verksamheter som hanterar stora mängder eller särskilt känsliga personuppgifter. Där kan vi göra mest nytta. Det finns ingen anledning att springa efter alla. Det kommer vi inte att klara av och jag tror heller inte att det får så stora förebyggande effekter”‚ säger Lena Lindgren Schelin.
Datainspektionen har under det senaste året fått ökade ekonomiska anslag och resurser från regeringen. Parallellt med tillsynsuppdraget ska myndigheten fortsätta att ge rådgivande stöd till näringslivet om GDPR.