Ny vägledning från Artikel 29-gruppen om GDPR:s administrativa sanktionsavgifter
I början av oktober publicerade Artikel 29-gruppen en ny vägledning om administrativa sanktionsavgifter enligt GDPR. I vägledningen förtydligas bland annat hur bedömningarna av de kriterier som finns fastslagna i artikel 83(2) GDPR ska göras. Detta är frågor som är av största relevans inte bara för tillsynsmyndigheter utan även för de som i dagsläget försöker anpassa sina verksamheter för att säkra framtida efterlevnad av det nya regelverket. Den fråga som de flesta organisationer ställer just nu är; vad krävs egentligen för att påföras en sanktion om 4% av den totala globala årsomsättningen?
Varje tillsynsmyndighet har genom artikel 58 GDPR fått verktyg genom vilka de har möjlighet att hantera bristande efterlevnad av dataskyddsreglerna. Utöver administrativa sanktionsavgifter finns en mängd andra åtgärder som tillsynsmyndigheten kan vidta. Artikel 29-gruppens vägledning har till syfte att åstadkomma gemensamma bedömningskriterier för hur och när dessa åtgärder ska vidtas, samt hur bedömningen av administrativa sanktionsavgifter ska göras.
I vägledningen anger inte Artikel 29-gruppen vilka typsituationer som ska föranleda sanktioner. Artikel 29-gruppen går inte heller in på specifika sanktionsbelopp för överträdelser, riktlinjer avseende sanktionernas storlek kommer att publiceras vid ett senare tillfälle. Vägledningen ger istället instruktioner kring hur tillsynsmyndigheterna i framtiden ska göra bedömningarna av överträdelserna.
Utgångspunkten vid en bedömning av en överträdelse är att se till dess karaktär. Karaktären av överträdelsen är avgörande för att ta ställning till vilken typ av åtgärd som ska vidtas. Av skäl 148 framgår att karaktären även ska beaktas vid bedömningen om det rör sig om en mindre överträdelse eller om den sanktionsavgift som sannolikt skulle utdömas skulle innebära en oproportionell börda om den personuppgiftsansvariga är en fysisk person. I dessa fall får en reprimand utfärdas i stället för sanktionsavgifter. Artikel 29-gruppen är dock tydliga med att påpeka att detta inte innebär att mindre överträdelser aldrig ska påföras sanktionsavgifter, istället ska även proportionalitet och lämplighet beaktas vid bedömningen.
Vidare informerar Artikel 29-gruppen om att överträdelser som på grund av dess karaktär bör falla in under artikel 83(4) och sanktionsintervallen på upp till 10 miljoner euro eller 2% av den totala globala årsomsättningen, inte utesluter tillsynsmyndighetens möjlighet att tillämpa den högre sanktionsnivån. Omständigheter som talar för en sådan situation är exempelvis upprepade överträdelser efter varning från tillsynsmyndigheten.
Vidare ska tillsynsmyndigheten även beakta svårighetsgraden, varaktigheten och antalet registrerade som drabbats av överträdelsen. Faktorer som tillsynsmyndigheten ska väga in i bedömningen är om det rör sig om flera överträdelser, om det är en enskild incident eller mer systematiska överträdelser, samt den skada som drabbat de registrerade. Även om inte tillsynsmyndigheten har till uppdrag att kompensera den registrerade, ska skadan denne lidit vägas in i bedömningen av sanktionsavgiftens storlek (för bedömning se skäl 75).
Något som lyfts av Artikel 29-gruppen som särskilt allvarligt och som talar för påförandet av sanktionsavgifter är om den personuppgiftsansvarige visat uppsåt eller försummelse i förhållande till överträdelsen. Omständigheter som indikerar avsiktliga överträdelser kan vara olaglig behandling som uttryckligen godkänts av den personuppgiftsansvarige, eller om behandling skett i strid med dataskyddsombudets råd. Vidare kan även underlåtenhet att upprätta eller följa policys, misstag och underlåtenhet att vidta tekniska och organisatoriska åtgärder tyda på försummelse vid behandlingen.
Artikel 29-grupper är däremot tydliga med att konstatera att även ansvarsfullt beteende som vidtagna åtgärder för att begränsa omfattning eller skadan av överträdelsen beaktas vid beräkningen av sanktionsavgiften. Det är en organisations skyldighet att tillse att det vidtagits tekniska och organisatoriska åtgärder i samband med behandlingen av personuppgifter. Även om sådana åtgärder inte ger bonuspoäng hos tillsynsmyndigheten är definitivt noggranna rutiner och förebyggande åtgärder något som kommer att räknas som en fördel.
En ytterligare viktig fråga som många företag har undrat över är vilka bolag som ska ingå vid beräknande av ”den totala globala årsomsättningen”. Även här är Artikel 29-gruppen tydlig, begreppet företag är baserat på definitionen av ekonomisk enhet och kan innefatta moderbolaget och alla berörda dotterbolag.
De ovan nämnda kriterierna är ett urval av vad som enligt Artikel 29-gruppen ska ligga till grund för tillsynsmyndigheters beslut om åtgärder. Bedömningarna ska alltid ha sin utgångspunkt i det enskilda fallet och ha till syfte att identifiera den mest effektiva, proportionerliga och avskräckande korrigeringsåtgärden för den aktuella överträdelsen. Som avslut kan konstateras att tydliga rutiner och preventiva åtgärder kommer att vara viktiga för att undvika eller begränsa risken för överträdelser och administrativa sanktionsavgifter.
Läs Artikel 29-gruppens vägledning här.