Många har jobbat ända in i kaklet med att få allt i ordning inför den nya dataskyddslagen som träder i kraft i dag. Så vad händer nu? Kommer miljonböterna att dundra ut från Datainspektionen?
– Nej, det står ingen stormtrooper-armé på Datainspektionen redo att rycka ut som en del verkar tro, säger Agnes Hammarstrand, advokat på advokatfirman Delphi.
I stället kommer Datainspektionen att fortsätta med att granska företag om än med utökade resurser.
– Tillsynsmässigt tror jag inte det sker något dramatiskt.
Och David Frydlinger, advokat på advokatfirman Lindahl, är inne på samma spår. Han tror inte att vi kommer att se enorma bötesbelopp dömas ut i närtid.
– Jag får känslan av att Datainspektionen kommer fortsätta ta en proaktiv roll med bra stöd och råd och det är bra. Man kan tänka sig att de i första hand kommer att agera mot stora organisationer som underlåtit att försöka anpassa sig.
Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler
Och beskedet från Datainspektionen går på samma spår. Visserligen har antalet jurister utökats bland annat för att möta det utökade ansvaret – från 50 är man nu uppe i 70 och ytterligare tio ska anställas. Men någon direkt rivstart lär vi inte märka av.
– Vi fortsätter vår löpande verksamhet med att ge information, ta emot klagomål och inleda tillsyn. Vi arbetar på en tillsynsplan för hösten 2018 och jag kan inte säga när den kommer att vara klar. Det vi vet att vi ska börja med är att vi ska granska att alla de myndigheter som ska utse ett dataskyddsombud har gjort det, det har vi kommit överens med de andra nordiska dataskyddsmyndigheterna om, säger Elisabeth Jilderyd, jurist och internationell samordnare på myndigheten.
Läs också: Håll ögonen på EPR – nästa EU-smocka efter GDPR
Både David Frydlinger och Agnes Hammarstrand tror dock att trycket från privatpersoner kommer att öka.
– Jag tror att många individer kommer att utöva sina rättigheter. Det är ju bara att titta på alla mejl som sköljer in – en del blir irriterade över att de finns i register de inte kände till och inte samtyckt till och de kommer att anmäla och registrera sig för att bli bortglömda, säger Agnes Hammarstrand.
Och David Frydlinger noterar också att risken finns att en del tror att det är skadestånden till enskilda personer som gått upp när det i själva verket är den administrativa sanktionsavgiften som kan gå upp till 20 miljoner euro eller 4 procent av den globala omsättningen för privata företag.
De höga böterna är det som kanske stressar företagen mest och visst kommer det att utdömas böter.
– Ja, det måste ju Datainspektionen göra. Men jag vet inte om det är proportionellt till rädslan ute på vissa företag. Det är ju inte så att man får respit för att bryta mot lagen mer i början, den tiden är slut nu men däremot är det ju inte alla behandlingar som är så allvarliga att de resulterar i böter utan det finns även andra sanktioner, säger Agnes Hammarstrand.
Läs också: GDPR-stressad? Här är våra 5 bästa artiklar om EU:s nya datalagstiftning
För Datainspektionens del är det också nytt att använda sig av sanktionsavgifter.
– Det är ju det som ger oss nya muskler kan man säga och det är inget vi gjort tidigare så det får vi lära oss. Då får vi göra en bedömning i varje enskilt fall och titta på kriterierna i förordningen, säger Elisabeth Jilderyd.
– Där har vi också ett nära samarbete med de andra dataskyddsmyndigheterna i EU så att vi får en gemensam praxis och hamnar på samma nivå. En del av de andra länderna har ju också haft sanktionsavgifter tidigare och har en vana vid det.
Agnes Hammarstrand har noterat två olika hållningar bland företagen – de som är oproportionerligt rädda men också de som är för avslappnade.
– De rädda fokuserar ofta på fel saker. Men så finns det många, ganska stora, företag som inte förstått att det här är en lagstiftning som gäller – att följa den är en förutsättning för att driva företag.
Trots att tiden nu är ute så är faktiskt de flesta inte klara med sitt GDPR-arbete konstaterar David Frydlinger. Arbetet med att få hygienfaktorerna på plats kan mycket väl pågå i ett år till även om det inte sker på samma nivå.
– Men jag tror att folk kommer att vakna upp på måndag och inse att jorden inte gick under. Stämningen precis innan har varit hysterisk och nu kan vi kanske gå tillbaka till en mer sansad approach och en ordnad plan. Nu ser jag fram emot en mer rimlig puls, säger David Frydlinger.
Båda två påpekar också att det här är ett arbete som inte tar slut ens när organisationer och processer anpassats.
– Du blir aldrig klar utan du ska jobba med dataskydd hela tiden, säger Agnes Hammarstrand.
Och i en tid av ökad digitalisering är frågan ständigt aktuell.
– Om ett företag ska dra igång ett AI-program så måste man fundera på hur man får behandla personuppgifterna. Dessutom kommer det fler lagar och regler – som EPR, European privacy regulation, säger David Frydlinger.
