När GDPR trädde i kraft 25 maj 2018 var det kanske många som förväntade sig att det skulle utdömdas dryga bötesbelopp – eller sanktionsavgifter som det heter i detta sammanhang – till syndare som inte följer lagen. Hur gick det egentligen? Vad har hänt under det första året som GDPR varit i bruk?
En sak kan vi slå fast direkt; Tillsynsmyndigheter runt om i Europa har agerat olika. Och följaktligen har även företag, myndigheter och privatpersoner agerar olika.  
I rapporterings-toppen ligger Nederländerna med 90 st rapporterade överträdeler per 100.000 invånare tätt föjd av Irland med 75 st rapporterade ärenden. Sverige ligger på 8:e plats med 25 st per 100.000 invånare (not; men inga utdömda sanktionsavgifter). Den inofficiella ligan för flest utdelade böter leds av Tyskland med över 60 utdömda sanktionsavgifter. Tyskland ligger annars på 11:e plats (not; efter Sverige) med 16 st rapporterade överträdelser per 100.000 inv.
Andra har lagt krut på större företag och förseelser som resulterat i riktigt stora sanktionsbelopp. Här leder Frankrikes motsvarighet till datainspektionen (CNIL) med hästlängder efter att ha tilldelat Google en böter på 57 miljoner €. Google har inte varit tillräckligt tydliga med vilken information de samlar in om sina användare och hur den behandlas. Vidare felar Google i samtycken rent allmänt, de är dessutom inte tillräckligt specifika.
I Portugal har ”CNPD” utdömt sanktionsavgifter motsvarande 400 k€ till ett sjukhus. Sjukhuset hade bl.a. inte fungerande behörighetsrutiner. T.ex. hade man 985 användare med doktor-profil men bara 296 anställda läkare. Vidare hade alla läkare obegränsad access till alla patientjournaler oavsett vilket område dom praktiserade inom.
Sveriges tillsynsmyndighet har haft en något passivare hållning till granskningar och sanktionsavgifter. Eller kan det vara så att vi har företag och organisationer som är så mycket bättre på att följa GDPR än våra grannar? Vi anser det osannolikt. Det är troligare att vår Dataskydds-inspektion varit sena ur startblocket. Vår bedömning är att det över tid kommer att ske en utjämning av såväl rapporterade överträdelser som utdömda sanktionsavgifter. Dvs ni som inte gjort er GDPR-läxa (tillsammans med Vårdguiden 1177 och några aktuella ärenden till i Sverige) det är hög tid att göra den nu!