Sedan GDPR gick skarpt för ett år sedan har man hunnit med tillsyn i 72 fall och 23 är fortfarande under beredning. Men ännu har inga sanktionsavgifter utdömts.
Detta trots att exempelvis den första granskningen där man tittade på drygt 360 verksamheter – både myndigheter och privata – för att se om de utsett och anmält dataskyddsombud i tid slutade med att 57 fick reprimander.
– Ett tungt skäl till att det inte blev några sanktionsåtgärder var att det var första gången och lagstiftningen var helt ny, säger Nazli Pirayehgar, jurist vid Datainspektionen, som var en av talarna vid Datainspektionens konferens Ett år med dataskyddsreformen.
– Men när vi firar två år med GDPR så kommer även Sverige att ha använt sina sanktionsmöjligheter och alla andra åtgärder som finns i verktygslådan.
Tillsynen på Datainspektionen sker efter två spår – dels tittar man på riskområden som identifierats och väljer ut sedan ut objekt som är lämpliga för tillsyn inom något av de områdena.
Det kan handla om både nya företeelser som ansiktsigenkänning och om verksamheter där man identifierat att det finns särskilda risker – det handlar om hälso- och sjukvård, rättsväsendet, detaljhandel, större inkassobolag och skolan.
Ett av de tillsynsärenden som pågår ringar in två av de sakerna och gäller hur en skola använt ansiktsigenkänning för närvaroregistrering.
När det gäller hälso- och sjukvården så granskas just nu åtta vårdgivare, fyra universitetssjukhus, tre privata och en nätläkare.
Och en annan teknik man tittar närmare på är hur SL tänker använda de kroppsburna kameror som på försök används av biljettkontrollanterna.
– Där vill vi veta hur de resonerar kring lagligheten när det gäller de personuppgifter som samlas in, säger Nazli Pirayehgar.
Det andra spåret för tillsyn är händelsestyrd som exempelvis de tre tillsynsärenden mot olika aktörer som kommit i spåren av 1177-läckan – Voice Integrate Nordic, Medhelp och Inera.
En annan större granskning är den där man tittar på hur Google hanterar sina användares platsdata – efter klagomål från konsumentorganisationen Sveriges konsumenter.
Nyligen inleddes också tillsyn mot Klarna där man tittar på hur personuppgifterna behandlas.
Inför det kommande året ska Datainspektionen se till att få snurr på tillsynsverksamheten framhåller generaldirektören Lena Lindgren Schelin.
– Där måste vi börja spänna bågen och döma ut sanktioner. Jag tror att de flesta kommer att hamna i processer i förvaltningsdomstolar och då kommer vår verksamhet att bli ännu mer genomlyst – och det tror jag ökar lärandet och kvaliteten, säger hon.
– I dag har vi väldigt många ärenden som gäller företag med verksamhet i flera länder och vi måste få fart på dem. Då kommer det att skapas ännu mer praxis.
Lena Lindgren Schelin hoppas också att fler ska sluta se dataskyddsreformen som en bromskloss.
– Många ser det som ett skavsår som hindrar innovation i stället för något som är nödvändigt för en hållbar digitalisering. Man tror att delade data innebär att man har tillgång till alla data.
I stället handlar det snarare om att man kanske använt data som man inte haft rätt att använda och att man måste sluta med det.
– Det är lite som att man ger barn godis en tisdag för att man är trött. Sedan ser barnen det som att de ska fortsätta få godis – men då måste man ta tillbaka den rättigheten. Somliga kan ha samkört sådant de inte har rätt till och då svider det att man nu inte får samma utväxling inom exempelvis forskning och innovation, säger hon.
– Det är en utmaning att vända på beteenden.
Läs också:
Så många GDPR-incidenter har anmälts efter ett år med nya lagen
GDPR: Här är allt du behöver veta om EU:s dataskyddsregler
