Det är nu ett år sedan EU-direktivet GDPR (General Data Protection Regulation) infördes. Kortfattat: Lagen som ska ge dig som privatperson större kontroll över dina egna data, vem som får hantera dem och hur.

Vad har egentligen hänt på ett år, och hur bra koll har vi på våra nya digitala rättigheter?

Vi frågade 2 000 läsare om deras tankar kring GDPR och resultatet visar tydligt att lagen ännu inte är helt glasklar. Hela 7 av 10 uppgav att de fortfarande inte vet hur de ska gå till väga för att kräva ut sina data från företag i enighet med GDPR. Dessutom återstår många frågor även för företagen som ska följa direktivet.

Läs även: Allt du behöver veta om gdpr

Daniel Westman är jurist och expert på it- och dataskyddsfrågor. Enligt honom är en av de största utmaningarna med GDPR att direktivet är så brett.

– GDPR täcker allt från små vardagliga frågor, till hela affärsmodeller för stora företag. Det är svårt, byråkratiskt och vagt – men också svårt att hitta ett annat sätt att reglera på. Det kommer att ta tid att tolka allt.

I Sverige har vi faktiskt haft liknande regler länge, till exempel personuppgiftslagen (PUL), men de har inte haft samma tyngd. Ett företag som bryter mot GDPR riskerar nu 20 miljoner euro eller upp till 4 procent av företagets årliga globala omsättning i böter.

Och Google har redan fått känna av detta. I början av 2019 dömde den franska motsvarigheten till Datainspektionen, CNIL, att Google betala böter på 50 miljoner euro (drygt en halv miljard kronor) eftersom företaget ansågs sakna transparens och tydlighet i hur de informerar sina användare om hur deras personliga data hanteras.

gdpr cookies
En av de mest synliga effekterna av GDPR: Cookie-frågor på varje sajt.

Frågan är dock hur mycket just den bötessumman påverkar en jätte som Google, då summan motsvarar ungefär 0,04 procent av företagets årsomsättning 2018 (källa: Alphabet).

– Det behövs väldigt höga sanktioner för att inte Google, Facebook och andra stora företag bara ska se böterna som en återkommande kostnad de kan räkna in i sin budget, säger Daniel Westman.

Tveksamt samtycke

Ett annat dilemma som har uppstått i och med införandet av GDPR är kravet på samtycke när det gäller cookies och tracking på webbplatser, appar och liknande. Du vet, de där irriterande meddelandena som numera dyker upp på varenda sajt. Att sajter inte bara får tracka dig hur som helst är förstås en god tanke, men det är inte alltid så enkelt med samtyckesbiten konstaterar Daniel Westman:

– Många har nog tänkt ”Oj, vad mycket meddelanden”, och reagerar på att GDPR skapat så mycket byråkrati. Och ett problem är att det här har blivit lite som med användarvillkor, kan den enskilda individen verkligen fatta de besluten? Kan det verkligen räknas som samtycke om man inte har koll på juridiken?

I vår undersökning är det också bara 7 procent som uppger att de läser igenom villkoren innan de godkänner cookies. 67 procent gör det ”ibland” och 26 procent gör det aldrig.

Daniel Westman menar dessutom att många företag har blivit väldigt duktiga på att få folk att tacka ja. Oavsett om det beror på snåriga villkor, attraktiva erbjudanden för att klicka ”ja”, eller om företaget buntat ihop flera tjänster så att du måste acceptera mer än det du vill ha. Många av de samtycken som ges i dag kan komma att visa sig inte vara giltiga i framtiden.

– Ett exempel på detta är Androidtelefoner som i princip inte fungerar alls om du inte tackar ja till allt Google vill att du ska tacka ja till. Är det verkligen samtycke då?

Många affärsmodeller bygger dessutom i dag helt på att samla in så mycket data som möjligt.
– Långsiktigt kan GDPR tvinga fram en förändring, men det krävs ordentliga resurser då de stora företagen har tusentals jurister, säger Daniel Westman.

Karin Lönnheden, stabschef på Datainspektionen, håller med om att företagen kan bli bättre, men är samtidigt positiv till utvecklingen.
– Lagstiftning och tryck från medborgarna kommer att öka kravet på transparens, men det kommer att ta tid och det vilar ett stort ansvar på företagen, säger hon.

Datainspektionen gdpr
Datainspektionen har fått in många ärenden sedan GDPR infördes.

Datainspektionen släppte nyligen en undersökning (Nationell integritetsrapport 2019) där myndigheten intervjuade svenskar om GDPR. I den undersökningen uppgav var fjärde person att de inte läser igenom användaravtal innan de tackar ja.

Både i Datainspektionens undersökning och i vår egen är det många som uppger en oro för hur deras uppgifter hanteras. 3 av 4 är oroliga i Datainspektionens undersökning och 7 av 10 uppger för PC för Alla att de undvikit att besöka sajter av osäkerhet för hur deras uppgifter ska hanteras.

Datainspektionen har även fått in många klagomål gällande GDPR-ärenden. Under 2018 fick myndigheten ta emot 1 800 ärenden, lika mycket som enbart under det första kvartalet 2019.

– Vi har sett en jättekraftig ökning och räknar med att få 5-7 000 ärenden under 2019, säger Karin Lönnheden.

Hon menar att den största utmaningen framöver är att få alla rutiner att fungera i praktiken. Det är mycket som ska tolkas och testas innan vi har en praxis på plats.

Läs även: Krönika: GDPR har gjort internet till ett VM i vilseledande webbdesign

Hög medvetenhet kring GDPR

Är det då någonting som har förändrats till det positiva? Jadå. Karin Lönnheden lyfter fram flera exempel. Bland annat att var sjätte svensk redan har använt sina GDPR-rättigheter, vilket visar på en hög medvetenhet. I yngre åldrar, 18-29, är siffran ännu högre med drygt var femte.

Vad gäller företagen har 3 av 4 gjort förändringar och det finns nu 7 500 registrerade dataskyddsombud på företag runt om i landet.

– En styrka med GDPR är att det är gemensamt för hela EU. Ett företag kan alltså inte bara byta land för att komma runt det. Nackdelen är att saker kan ta längre tid.

Både Daniel Westman och Karin Lönnheden är rörande överens om en positiv förändring GDPR har fört med sig: Medvetenheten har ökat.

– Det positiva med allt detta är att medvetenheten kring datahantering blivit större. Företag måste börja ha koll och se över processer. Gradvis kan detta bygga upp en ordentlig dataskyddskultur. Men det kommer att ta tid, säger Daniel Westman.