Tar du med dig laptopen på semestern?
23 oktober, 2018GDPR och aktieboken – 4 saker om personuppgifter ni behöver tänka på
23 november, 2018Det har gått fem månader sedan GDPR började tillämpas. Håller ni med mig om att det har varit ovanligt tyst från Datainspektionen? Det kommer nästan inga pressmeddelanden alls jämfört med tidigare, och vi har knappt sett röken av vägledningar och checklistor annat än på väldigt generell nivå. Däremot har exempelvis den danska tillsynsmyndigheten gett ut flera bra och hyfsat praktiska vägledningar, och även den brittiska. I Österrike har man dömt ut de första sanktionsavgifterna.
Det kan finnas flera anledningar till att Datainspektionen inte gör så mycket väsen av sig just nu. Jag har själv jobbat där i åtta år under 1990-talet och känner varm för den myndigheten, även om man verkligen skulle kunna önska sig mycket mer action! Här kommer ett litet försvarstal:
- De har anställt många nya jurister och ni vet själva hur det är när man anställer många nya medarbetare. Det tar mycket tid att lära upp dem och det i sig tar tid från de seniora medarbetarnas ordinarie uppgifter. De har gått från 50 till 80 anställda under året och ska bli 100 före årsskiftet.
- Många erfarna medarbetare har gått vidare i karriären, deras kunskaper är väldigt eftertraktade nu. EU-kommissionen har räknat med att det behövs åtminstone ca. 70 000 nya personer som jobbar med dataskyddsfrågor inom EU pga. GDPR. Se där, kanske det kan gynna även din karriär och löneutveckling!
- Generaldirektören är ny och behöver bli varm i kläderna. Hon uttalade tidigt att förutsättningen för att hon skulle ta jobbet var att Datainspektionen skulle få mandat att ta mycket tydligare ställning i sina beslut. Det låter bra åtminstone i teorin, vi får se hur det blir i praktiken. Vi vill förstås att besluten ska ha en fast verklighetsförankring också, så att de går att tillämpa IRL.
- Jag har skickat in många frågor och det har en hel drös andra personer och organisationer också gjort. Häromdagen fick jag ett meddelande från registrator om att mitt senaste ärende fått diarienumret 19364. Alltså har de 19363 andra ärenden att ta ställning till också… Jag gissar att det är 10 gånger fler än tidigare så här års.
- De vill inte komma med några uttalanden utan att ha förankrat praxis med sina kolleger på de andra tillsynsmyndigheterna och inom den nya myndigheten EDPB, European Data Protection Board. Och det är ju faktiskt bra, vi vill inte ha vägledningar som inte visar sig hålla när de kommer högre upp i hierarkin.
Jag tror och hoppas att Datainspektionen kommer att bli en kraftfull tillsynsmyndighet så småningom. Jag ger inte upp! Jag tänker ibland på tiden när jag själv jobbade där och verkligen var med och påverkade inriktningen och besluten. Men jag var absolut inte särskilt insatt hur saker och ting fungerade IRL, förstod jag efteråt. Jag undrar hur de jobbar med det idag. Hur kan vi hjälpa dem med det? Har ni förslag?
5 Comments
Thanks for posting. I agree that it’s somewhat peculiar…I do hope it’s #5 and that there is some strategic thought behind the deafening silence – I prefer this over activist and uncoordinated guidance that is then thrown out but perhaps slightly more communication would be welcome by organizations and service providers alike. Regarding the resources, one additional explanation might be the 400+ audits they performed since May? https://www.datainspektionen.se/globalassets/dokument/ovrigt/2018-10-23-dso-granskning.pdf
Det låter ju mycket med 400+ tillsynsbeslut, men det är väl inte så resurskrävande att kolla mot sitt eget ombudsregister om någon har anmält ett dataskyddsombud. Det behövdes rimligen lite tankemöda för att fundera på de verksamheter som inte är myndigheter, men kvantitet innebär inte automatiskt kvalitet. Jag kan dock acceptera att man prövar sig fram, som sagt är det många nya medarbetare som ska trimmas in i tillsynsverksamheten.
Bra artikel! Tycker GD var tydlig när DI träffade IT-branschens förträdare, sanktionerna kommer.
Sanctions are coming…!
Det blir ju faktiskt spännande att se hur den svenska Datainspektionen, som inte tidigare har haft möjlighet att döma ut sanktionsavgifter till skillnad mot många andra dataskyddsmyndigheter, kommer att använda den här nya möjligheten att ge de personuppgiftsansvariga konkreta ekonomiska incitament att ta dataskyddsfrågorna på allvar. Jag tror inte att de kommer att vara de första som dömer ut riktigt stora summor, däremot är jag övertygad om att man kommer att följa de andra tillsynsmyndigheternas och dataskyddsstyrelsens praxis. Jag gissar att CNIL, den franska tillsynsmyndigheten, blir först att döma ut riktigt kännbara summor. Det är en riktigt tuff tillsynsmyndighet. Även tyskarna, holländarna, danskarna och portugiserna ligger bra till på min högst ovetenskapliga lista.
Japp, jag fick rätt, CNIL har dömt ut 50 miljoner euro i sanktionsavgifter till Google. Nu börjar det likna något :-).