I september förra året ringer juristen Joakim Söderberg, som arbetar med dataskyddsfrågor, upp växeln på Region Uppsala för att ställa några frågor om en dataläcka från lokaltrafiken. Under samtalet får han reda på att regionen spelar in det.
Han anser att inspelningen bryter mot dataskyddsförordningen, GDPR, och väljer efter en dialog med regionen att anmäla ärendet till Integritetsskyddsmyndigheten, IMY.
– Själva klagomålet i sig är ointressant. Det är ganska grundläggande, om de spelar in ett samtal måste de kunna motivera varför. Det intressanta är att IMY lägger ner ärendet utan att utreda det, säger Joakim Söderberg.
Enligt GDPR, som trädde i kraft 2018, kan en EU-medborgare som anser att ett företag eller en organisation behandlat dennes personuppgifter felaktigt anmäla det till en nationell tillsynsmyndighet. I Sverige ligger ansvaret på IMY, den myndighet som fram till 2021 hette Datainspektionen.
Men exakt hur en tillsynsmyndighet ska hantera ett sådant klagomål är mindre klarlagt. Trots flera domar från EU-domstolen – och det är den frågan som nu ställs på sin spets.
I Joakim Söderbergs fall skickade IMY ett informationsbrev till Region Uppsala med information om att ett klagomål inkommit om en misstänkt överträdelse av GDPR. Myndigheten gjorde ingen egen utredning, och kräver ingen respons. De förlitar sig på att regionen självmant åtgärdar sin eventuella brist – och kommer bara att utreda frågan vidare om det påstådda problemet kvarstår och fler personer anmäler regionen.
Under förra året mottog myndigheten över 3 600 klagomål om brott mot GDPR. Hälften lades ner, 20-30 procent ledde till informationsbrev och ungefär var femte anmälan resulterade i någon form av utredning.
Efter IMY:s beslut om att bara skicka ett informationsbrev överklagade Joakim Söderberg fallet till förvaltningsrätten. I juli kom domen där rätten går på myndighetens linje och menar att IMY har gjort tillräckligt.
Under tiden har Joakim Söderberg fått jobb på österrikiska Noyb (None of your business), en ideell organisation vars grundare Max Schrems har gjort sig ett namn genom att driva en rad rättsprocesser kring dataskydd hela vägen upp till EU-domstolen. Han har bland annat lyckats få två viktiga avtal för dataöverföring mellan USA och Europa ogiltigförklarade, något som fått stora effekter för företag och myndigheter.
Nu har Noyb valt att driva Joakim Söderbergs fall vidare. De har överklagat till kammarrätten och säger sig vara beredda att driva frågan hela vägen till EU-domstolen.
– Känslan man får som enskild person är att GDPR inte fungerar i Sverige och jag som person står rättslös, säger Joakim Söderberg.
På IMY håller man med om att rättsläget kring vilka krav som finns på att utreda klagomål är komplext. Men myndigheten menar samtidigt att de bedömer att de gör tillräckligt i dag.
– Det är en ganska komplicerad fråga som handlar om hur man ska tolka olika domar från EU-domstolen. Vi har gjort en tolkning som vi tror är den rätta, och de har argument för sin sida. Jag tycker att våra argument är starkare, men det ska bli spännande att se vad Kammarrätten kommer fram till, säger Albin Brunskog som är enhetschef på IMY.
Ni uppger att informationsbreven har bra effekt, hur vet ni det?
– Dels förekommer det att de som skickat klagomål hör av sig och säger att det löst sig, och det förekommer också att organisationen vi skickat informationsbrev till hör av sig och vill visa att de gjort rätt för sig. Men vi har ingen statistik över hur många procent som leder till rättelse.
Han säger att om Noyb får rätt kan det leda till att myndigheten behöver prioritera om sin verksamhet. Det kan dels resultera i längre handläggningstider, dels leda till att IMY behöver dra ner på annan verksamhet, som att vägleda företag och organisationer som är osäkra på hur de ska följa GDPR.
– En aspekt Noyb inte belyser är hur vi kan göra störst nytta för så många som möjligt med befintliga resurser. Deras argumentation är inriktad på hur man gör störst nytta i det enskilda fallet. Hade vi haft lika många handläggare som vi har klagomål hade jag nog hållit med, men vi måste fokusera på att göra maximal nytta per arbetad timme, säger Albin Brunskog.
– Jag tänker att det för den enskilde kan det vara värt mer att vi kan skicka ut ett informationsbrev inom några veckor och det leder till en rättelse, än att det ett år senare kommer en återkoppling om att någon gjort fel.
Daniel Westman som är jurist med fokus på it-frågor menar att fallet är svårbedömt och att det behövs mer vägledning från EU-domstolen i hur GDPR-överträdelser ska hanteras av tillsynsmyndigheter.
Han pekar också på att om Noybs krav på att varje enskilt ärende skulle behöva utredas skulle det innebära en stor utmaning för de ansvariga myndigheterna.
– Rent praktiskt skulle det kunna överbelasta alla dataskyddsmyndigheterna i EU. Det finns ingen brist på GDPR-överträdelser och om de vore skyldiga att lägga tid på alla klagomål skulle det få stora effekter. Så det måste finnas något slags rimlighetsbedömning, säger Daniel Westman.
Några av kriterierna som avgör om IMY utreder ett klagomål:
• Hur allvarlig är överträdelsen ur integritetssynpunkt?
• Hur många personer kan ha drabbats av samma överträdelse?
• Har det kommit samma typ av klagomål mot samma organisation tidigare?
• Hur sannolikt är det att organisationen åtgärdar problemet självmant om de blir uppmärksammade på det?
Källa: Integritetsskyddsmyndigheten
GDPR
Den nya europeiska dataskyddsförordningen trädde i kraft den 25 maj 2018 och ställer hårda krav på hur företag och organisationer får hantera personuppgifter.
Som personuppgifter räknas bland annat namn, adress, e-postadress, personnummer, telefonnummer, foton på personer och ip-adress.
Som privatperson har du bland annat rätt att få reda på när och hur ett företag behandlar dina personuppgifter, att få ta del av registerutdrag och begära att företag och organisationer raderar uppgifter om dig.
Källa: Integritetsskyddsmyndigheten
Läs mer:
Ny dom kan hindra Facebook från att flytta data från EU till USA
Hundratusen i protest mot delad patientdata i EU