Noyb vs. IMY
Kritik mot IMY:s hantering av GDPR-klagomål i Sverige
Under de senaste åren har Integritetsskyddsmyndigheten (IMY) fått kritik från noyb (None of Your Business), en ideell organisation som arbetar för stärkt dataskydd och ökad integritet inom EU. Kritiken handlar om hur IMY hanterar klagomål från personer som anser att deras personuppgifter har behandlats olagligt.
Enligt noyb kräver dataskyddsförordningen GDPR att alla klagomål ska behandlas seriöst och att ansvariga myndigheter ska vidta åtgärder när det finns misstanke om överträdelser. Noyb menar att IMY i många fall inte har levt upp till dessa skyldigheter. Kritiken gäller att myndigheten, enligt noyb, ofta har vidarebefordrat klagomål till de företag som anklagats för att ha brutit mot GDPR och därefter avslutat ärendet utan ytterligare granskning.
Noyb menar att IMY inte utreder GDPR-klagomål tillräckligt
Enligt noyb kvarstår problemet trots en dom från Högsta förvaltningsdomstolen i november 2023, där det fastställdes att den som lämnar in ett klagomål har rätt att få ett beslut i sitt ärende. Noyb anser att IMY även efter domen inte har genomfört de utredningar eller vidtagit de åtgärder som krävs för att hantera misstänkta överträdelser av GDPR.
Organisationen menar att detta riskerar att försvaga skyddet för individers rättigheter och att många därför kan uppleva att deras rätt till dataskydd inte upprätthålls fullt ut i Sverige. Frågan har därmed blivit en viktig del av diskussionen om hur GDPR-tillsyn ska fungera i praktiken och vilket ansvar nationella dataskyddsmyndigheter har.
Rättsprocessen mellan noyb och IMY kan få stor betydelse
För närvarande har noyb överklagat frågan till Kammarrätten i Stockholm i ett försök att få en ny rättslig prövning av IMY:s arbetssätt. Målet är att få fastslaget att myndigheten måste göra mer omfattande utredningar av inkomna klagomål enligt GDPR.
Enligt noyb kan ärendet vid behov även föras vidare till EU-domstolen. Om organisationen får rätt skulle det kunna få stor betydelse för hur IMY och andra dataskyddsmyndigheter inom EU hanterar klagomål i framtiden. Det skulle också kunna påverka hur resurser prioriteras mellan enskilda klagomål och mer proaktiv tillsyn.
SWEDMA:s chefsjurist om tolkningen av reglerna
SWEDMA:s chefsjurist Mattias Grundström menar att reglerna kan tolkas på olika sätt. Enligt honom behöver en dataskyddsmyndighet, som IMY i detta fall, informera den klagande om hur processen går och vad utgången av klagomålet blir. Han framhåller att detta inte nödvändigtvis ger ett entydigt stöd för noyb:s tolkning.
Mattias Grundström påpekar också att svenska tillsynsmyndigheter i dag har rätt att själva välja vilka ärenden de driver. Om noyb skulle få rätt i processen kan det enligt honom innebära att dataskyddsmyndigheter i Europa behöver betydligt mer personal för att hantera klagomål, eller att de måste prioritera ned annat proaktivt tillsynsarbete.
Han lyfter därför vikten av att hitta en balans i hur myndigheter använder sina resurser, så att de både kan ge ett effektivt skydd för individers rättigheter och samtidigt behålla fokus på andra viktiga områden inom dataskydd och integritet.
Vad noyb vs. IMY betyder för dataskydd i Sverige
Fallet mellan noyb och IMY har blivit en viktig fråga för hur GDPR, personuppgifter och tillsyn av dataskydd ska fungera i Sverige. Utfallet kan få betydelse för både enskilda individer, företag och myndigheter, och kan påverka hur klagomål om personuppgifter hanteras framöver.
Frågan handlar i grunden om hur starkt skyddet för individers rättigheter ska vara i praktiken, och hur långt en dataskyddsmyndighets ansvar sträcker sig när ett klagomål kommer in.
