Dataskyddsförordningen GDPR skulle skydda vår personliga integritet. Men i dag, fem år senare, har tillsynen brutit samman och techjättar kan fortsätta utnyttja svenska konsumenters personuppgifter ostraffat. Det menar Sinan Akdag, digital expert på Sveriges Konsumenter.
GDPR, som skulle stärka konsumenternas personliga integritet på nätet, har tappat styrfarten lagom till sitt femårsjubileum i dag den 25 maj. Det konstaterar Sveriges Konsumenter. Inte minst på grund av de långa handläggningstiderna vid anmälningar.
Häromdagen publicerades nyheten att Facebooks moderföretag Meta bötfälls med nära 14 miljarder kronor för att olagligt ha fört över europeiska användares persondata till servrar i USA. Bakgrunden är en tio år lång kamp för att få juridisk klarhet i att användardata som förs över till USA riskerar att utlämnas till amerikanska underrättelsetjänster och därför bryter mot EU:s dataskyddslagstiftning.
– Det är välkommet att Meta äntligen bötfälls och beordras avsluta överföringarna, men man ska komma ihåg att till och med 14 miljarder är lite av en fortkörningsbot för ett företag som Meta, säger Sinan Akdag.
Anmälde Google för fem år sedan
Sveriges Konsumenter har sedan GDPR kom varit aktiva med flera aktioner och anmälningar. Redan 2018 anmälde de tillsammans med andra europeiska konsumentorganisationer Google för illegal platsspårning.
Anmälningen mot Googles platstjänster – som tillåter företaget att geografiskt spåra konsumenter 24 timmar om dygnet med känsliga uppgifter som sexuell läggning, politisk åsikt och religiös åskådning – togs först upp av svenska Integritetsskyddsmyndigheten, IMY, och var nära ett avgörande när ärendet plötsligt fördes över till Irland. Sedan dess har utredningen gått i stå och Google har kunnat fortsätta utnyttja konsumenters persondata.
– Det här är symptomatiskt för hur tillsynen av GDPR har brutit samman. Så fort det handlar om gränsöverskridande fall som rör stora företag och många konsumenter tar utredningarna för lång tid. I väntan på utslag kan företag fortsätta kränka människors rättigheter, säger Sinan Akdag.
Tillsyn utan tydligt resultat
Andra uppmärksammade granskningar av bland annat Tiktok, Whatsapp och hela det digitala marknadsföringssystemet har slutat i inga eller mycket svaga åtgärder från tillsynsmyndigheternas sida. Nu varnar Sveriges Konsumenter för att dataskyddsförordningen kan förlora sin legitimitet.
– Det finns en stor risk att lagstiftningen förknippas mer med krångliga kryssrutor och paragrafrytteri än med ett skydd av våra grundläggande rättigheter. Och om den försvårar livet för den enskilda medborgaren snarare än för dem som tjänar pengar på att medvetet bryta mot reglerna, då är frågan vem som i slutändan vill ha kvar lagstiftningen, säger Sinan Akdag.
Sveriges Konsumenter förväntar sig att regeringen och Integritetsskyddsmyndigheten tar strid för svenska konsumenters grundläggande rättigheter och på EU-nivå arbetar för en bättre fungerande tillsynsprocess.
Tre åtgärder för att återupprätta GDPR
För att förtroendet för GDPR ska kunna återupprättas krävs effektivare utredningar, menar Sveriges Konsumenter och kräver följande:
- Inför tydliga bortre tidsgränser för olika utredningsåtgärder och för beslut från nationella dataskyddsmyndigheter, för att korta tiden mellan anmälan och upprättelse.
- Tillför mer pengar till nationella dataskyddsmyndigheter, inklusive Integritetsskyddsmyndigheten, för att korta administrativa handläggningstider.
- Tillse att den anmälande parten får samma insyn och möjlighet att påverka utredningen som det anmälda företaget, för att försäkra en schysst och rättvis spelplan.
Fakta om GDPR
EU:s dataskyddsförordning, GDPR, implementerades i Sverige den 25 maj 2018. Lagstiftningen var tänkt att stärka privatpersoners rättigheter i relation till företag och andra som samlar in personuppgifter om dem. Lagstiftningen kräver i grunden att du som konsument lämnar ditt samtycke till att dina personuppgifter samlas in eller används, men det finns vissa undantag.
Förordningens stora bötesbelopp, som kan uppgå till fyra procent av ett företags globala omsättning, rönte till en början stor uppmärksamhet.
Av den ideella dataskyddsorganisationen NOYB:s över 800 GDPR-anmälningar är 85 procent fortfarande oavslutade och 470 anmälningar har väntat på avgörande i mer än ett och ett halvt år.