Sanktionsavgifter GDPR – så funkar det

Sanktionsavgifter GDPR – så funkar det

Datainspektionen är Sveriges tillsynsmyndighet med avseende på dataskyddslagstiftningen och specifikt utifrån GDPR (Dataskyddsförordningen på Svenska). Inspektionen tillämpar myndighetsbegreppet ”administrativ sanktionsavgift” för överträdelse av GDPR. Som ett samlingsbegrepp för mottagare av denna överträdelse, kan ”organisation” användas och med detta menas både företag (publika och privata) och myndigheter samt organsiationer i dagligt tal.

Datainspektionens verktyg för sin tillsyn är:

  • reprimand
  • varning
  • föreläggande att upphöra med viss personuppgiftsbehandling
  • sanktionsavgift

Datainspektionen har specificerat beloppsgränserna för sanktionsavgifter (”böter”) så här: ”Avgiften kan som mest vara 20 miljoner euro eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst. För de något mindre allvarliga överträdelserna gäller ett maxbelopp på 10 miljoner euro eller 2 procent av den globala årsomsättningen.”. Artikel 29-arbetsgruppen har per 2017-10-03 beslutat att följande bedömningskriterier ska utgöra grund för analys av överträdelsen och sanktionsavgiftens storlek och utgått från ”mindre överträdelse”-begreppet och allt därutöver inte är att anse såsom mindre:

  • ”Vid en mindre överträdelse eller om den sanktionsavgift som sannolikt skulle utdömas skulle innebära en oproportionell börda för en fysisk person får en reprimand utfärdas i stället för sanktionsavgifter. Vederbörlig hänsyn bör dock tas till överträdelsens karaktär, svårighetsgrad och varaktighet och huruvida den har skett uppsåtligen, vilka åtgärder som vidtagits för att lindra skadan, graden av ansvar eller eventuella tidigare överträdelser av relevans, det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom, efterlevnad av åtgärder som förordnats mot den personuppgiftsansvarige eller personuppgiftsbiträdet, tillämpning av en uppförandekod och eventuella andra försvårande eller förmildrande faktorer.”

Förordningen sätter ingen prislapp på specifika överträdelser; endast maximala belopp anges. Detta kan vara en fingervisning om att en överträdelse av skyldigheterna i artikel 83.4 betraktas som relativt sett mindre allvarlig än av dem i artikel 83.5. Vad som är en effektiv, proportionell och avskräckande reaktion på en överträdelse av artikel 83.5 beror dock på omständigheterna i fallet.

Det finns dock inga statiska ”bötesbelopp”. Artikel 83 i GDPR förevisar tydligt att för påförande av en administrativ sanktionsavgift – förutom att den intialt ska verka effektivt, proportionellt och avskräckande – ska hänsyn tas till bl.a. ”Graden av samarbete med tillsynsmyndigheten för att komma till rätta med överträdelsen och minska dess potentiella negativa effekter.”

Ett aktivt GDPR-arbete ger stora fördelar ekonomiskt, men också för företagets viktiga marknadspositionering och förvaltandet av dess goda namn!

Se t ex den nyligen utfärdade sanktionsavgiften på en halv miljard (!) av den franska tillsynsmyndigheten, CNIL, gällande Googles personuppgiftsbehandlingar där rekordsumman grundas på Googles otydliga information till sina användare om vilka personuppgifter som behandlas och de samtycken som formulerats av Google är inte tillräckligt specifikt uttryckta för sina användares förståelse att acceptera eller inte.

Överträdelser av GDPR kan stjälpa en organisation då medvetenheten hos kunderna, de registerade, stadigt ökar och i efterdyningarna av ”Cambridge Analytica” byter kunderna gärna leverantör om personuppgifter missbrukas eller inte ens säkras för obehörig åtkomst!

Den tyska tillsynsmyndigheten, LfDI, bedömde i slutet av 2018 att artikel 83 i dataskyddsförordningen var tillämplig då tjänsteleverantören, en tysk site, i allt medverkade i utredningen av överträdelsen (e-postadresser och lösenord hade hackats och läckts) genom att vara öppen och transparent mot tillsynsmyndigheten och på allvar själv utredde intrånget och påbörjade säkerhetshöjande åtgärder.

Datainspektionens kommande tillsynsområden för 2019-2020

Datainspektionen har per 2019-03-19 publicerat sin tillsynsplan avseende verksamhetsåren 2019–2020. Den kan ses som ett hjälpmedel för ”personuppgiftsbehandlare” att vara proaktiva.

Planen omfattar ett antal prioriterade områden där behandlingar kommer att bli föremål för Datainspektionens tillsyn som t ex:

  • Personuppgiftsansvarig och personuppgiftsbiträde – rollfördelning
  • Samtycke som rättslig grund
  • Arbetsgivarens behandling av anställdas personuppgifter

Myndighetstillsynen inriktar sig bl.a. mot följande verksamheter och branscher:

  • Hälso- och sjukvård
  • Skola
  • M.fl.

I Sverige har ännu inte Datainspektionen utdömt någon sanktionsavgift utan endast utfärdat reprimander. I Europa har dock flera nationella tillsynsmyndigheter redan under 2018 utfärdat sanktionsavgifter, maximala belopp och lägre – se ovan. Nu följer Sverige efter. Ingen har väl missat incidenten med tillhörande granskning av 1177 Vårdguiden. Man har också annonserat granskning av flera stora universitetssjukhus, nätläkar-appen Kry, ett gymnasium i Skellefteå och Google. Vem står näst på listan?

Författare: Jeanethe Karlsson, GDPR-juristen.se i samarbete med Cloudonline

By | 2019-05-15T21:03:10+00:00 maj 15th, 2019|Modern IT-Strategi|0 Comments
Loading...