Vi har alla hört talas om dem… sanktionerna i GDPR. Upp till det högsta av 20 mEUR eller 4 % av årsomsättningen för ditt företag eller koncern. Därtill löper företag och andra personuppgiftsansvariga och personuppgiftsbiträden risken att drabbas av skadeståndskrav från de drabbade. Så låt oss uppehålla oss lite vid dessa sanktioner. För även om Datainspektionens anslag för utförandet av de skyldigheter som ankommer på tillsynsmyndigheten är i minsta laget, enligt uppgift ca 5 mkr i extra anslag, så finns risken för kraftiga sanktioner ändå kvar. Det har även Datainspektionens generaldirektör Kristina Svahn Starrsjö insett vilket hon redogör för i Datainspektionens tidning Integritet i fokus 1/2017:

I nuläget anser jag att Datainspektionen inte har dessa resurser till sitt förfogande. Det anslag som vi fått för 2017 bedömer jag vara helt otillräckligt för att Datainspektionen ska kunna fungera som tillsynsmyndighet enligt förordningen. Därför har jag lämnat över ett kompletterande budgetunderlag till Justitiedepartementet där myndigheten äskar ytterligare ett antal miljoner kronor i anslag för 2017. Vi behöver bland annat införa en ny webbplats med stöd för säker kommunikation via webbformulär. Informationen därifrån ska med automatik kunna infogas i det digitala ärendehanteringssystemet som vi står i begrepp att upphandla. För att hantera den ökade mängden ärenden behöver vi också anställa ytterligare personal samtidigt som vi behöver höja kompetensen för samtliga anställda vad gäller bland annat språk och EU-rätt.

Även i personuppgiftslagen finns möjligheter till sanktioner, framförallt skadestånd och viten. Nivåerna på dessa sanktioner går dock inte att jämföras med sanktionerna i GDPR där även möjligheten till så kallade administrativa böter införs. De administrativa kostnaderna kan således, beroende på vilken artikel i förordningen som den personuppgiftsansvarige eller personuppgiftsbiträdet inte efterlever, uppgå till maximalt det högsta av 20 mEUR eller 4 % av koncernens årsomsättning.

En av anledningarna till att tillsynsmyndigheten vid bedömning av avgiftens tak ska titta på koncernens omsättning är naturligtvis att en mindre nogräknad personuppgiftsansvarig annars varit frestad att placera all personuppgiftsbehandling i ett eget bolag utan omsättning. Nu är det istället koncernen årsomsättning det föregående budgetåret som ska användas vid fastställandet av taket på de administrativa böterna. Men risken att tillsynsmyndigheten skulle utfärda administrativa avgifter i den storleksordningen får nog anses vara mycket liten för en personuppgiftsansvarig som ändå gjort det man kunnat för att säkra sin behandlingen. De högsta avgiftsnivåerna får rimligen istället anses kunna aktualiseras vid grova och upprepade övertramp som begåtts uppsåtligen.

Vid bedömningen av avgifternas storlek ska tillsynsmyndigheten enligt art 83 bland annat titta på:

  • Överträdelsens karaktär, svårighetsgrad och varaktighet
  • Behandlingens karaktär, omfattning och syfte
  • Antalet berörda
  • Den skada de berörda lidit
  • Har överträdelsen skett av oaktsamhet eller med uppsåt?
  • Om den ansvarige vidtagit åtgärder för att lindra skadan
  • Graden av ansvar hos den personuppgiftsansvarige eller biträdet med beaktande av de säkerhetsåtgärder som vidtagits
  • Tidigare överträdelser
  • Samarbetet med tillsynsmyndigheten
  • Vilken typ av personuppgifter som berörs (vanliga eller känsliga personuppgifter)
  • Det sätt överträdelsen kom till tillsynsmyndighetens kännedom
  • Om den personuppgiftsansvarige eller personuppgiftsbiträdet efterlevt tidigare beslut om säkerhetsåtgärder från tillsynsmyndigheten
  • Tillämpandet av godkända certifieringar och uppförandekoder
  • Andra försvårande eller förmildrande omständigheter, t.ex. ev. ekonomisk vinst som görs eller förlust som undviks genom överträdelsen.

Varje tillsynsmyndighet ska därtill säkerställa att påförande av administrativa sanktionsavgifter i varje enskilt fall är effektivt, proportionellt och avskräckande. Hur detta i praktiken kommer att fungera ska bli intressant att följa.