GPDR - snart kommer första besluten

Att GDPR trädde i kraft den 25 maj i år har nog inte undgått många. Datainspektionen har gått igenom sina första tillsynsärenden där cirka 80 verksamheter har granskats. Granskning har framförallt varit riktad mot verksamheter som normalt behandlar känsliga personuppgifter i stor omfattning. Det vill säga t.ex. myndigheter, fackförbund, försäkringsbolag, teleoperatörer och banker.

Några av de granskade är Forex Bank, Telia, Tele2 och fackföreningen Finansförbundet.

Påföljderna av dessa granskningar kan man i dagsläget bara spekulera om. De granskade kan givetvis klara sig helt utan påföljd, få en varning eller tvingas betala en administrativ sanktionsavgift. Sanktionsavgiften kan bli ofantligt hög vid allvarliga överträdelser.

Avgiften kan bli så hög som 20 miljoner euro eller 4% av bolagets globala årsomsättning, beroende av vilket belopp som är högst. För något mindre allvarliga överträdelserna gäller halva avgiften, det vill säga ett maxbelopp på 10 miljoner euro eller 2% av den globala årsomsättningen. Vår bedömning är att maximala sanktionsavgifter inte kommer att tillhöra till vanligheten och främst drabba de absolut största aktörerna.

Vad datainspektionen kommer fram till tror vi på Avanta kan bli avgörande för hur GDPR-överträdelser kommer att behandlas i framtiden. I och med att det är ett relativt nytt och komplext regelverk blir rättspraxis vägledande och ger oss en första inblick i potentiella följder vid överträdelser.

Datainspektionen har även kommunicerat att de drar igång flera större granskningar under hösten. Syftet med dessa granskningarna ska bland annat vara att skapa vägledning gällande de nya dataskyddsreglerna. Fokus kommer delvis att ligga vid samtycket som rättslig grund för att samla in och använda personuppgifter.