GDPR har nu varit i kraft i åtta månader och vi börjar se de första fallen där tillsynsmyndigheterna tillämpar de skarpa bestämmelserna i förordningen. Eftersom GDPR är en förordning som gäller som direkt tillämplig lag i samtliga EU-länder så är den praxis som utvecklas av respektive tillsynsmyndighet vägledande även i Sverige. Myndigheternas resonemang kan därför ge vägledning om hur Datainspektionen kan förväntas resonera om sanktionsavgifter, eftersom det i GDPR uttryckligen anges att praxis om administrativa sanktioner för överträdelser ska harmoniseras.
20 000 euro för läckta lösenord
Den tyska tillsynsmyndigheten LFDI utdömde den 21 november 2018 sin första sanktionsavgift enligt GDPR. Fallet rörde ett sociala medier-företag som utsattes för ett intrång mot 330 000 användare. Företaget anmälde incidenten kort efter att ha fått kännedom om den och informerade även de berörda användarna omedelbart. Under utredningen upptäcktes att företaget hade lagrat sina användares lösenord i ren text utan kryptering – ett klart brott mot GDPR.
Trots den uppenbara säkerhetsbristen med ej krypterade lösenord som möjliggjorde incidenten valde tillsynsmyndigheten att utdöma en sanktionsavgift på 20 000 euro, vilket är lindrigt i förhållande till maxbeloppet. De tre främsta anledningarna till detta var:
1. Företaget vidtog omedelbara åtgärder för att förbättra sin it-säkerhet,
2. Företaget samarbetade med tillsynsmyndigheten under utredningen, och
3. Företaget skötte rapporteringen och sin informationsskyldighet med anledning av incidenten helt enligt regelverket.
Tillsynsmyndigheten påpekade här särskilt att sanktionsavgiften ska vara proportionerlig med hänsyn till omständigheterna och räknade företagets samarbetsvillighet som förmildrande.
Även tillsynsmyndigheten i Österrike resonerade på liknande sätt. Sanktionsavgiften måste vara proportionerlig i förhållande till omsättningen hos den personuppgiftsansvarige och omständigheterna i övrigt. Sanktionsavgiften blev i detta fall 4 800 euro för otillåten kameraövervakning.
400 000 euro för slarv med patientuppgifter
Den portugisiska tillsynsmyndigheten dömde i juli ut en sanktionsavgift på 400 000 euro till ett sjukhus för bland annat bristande säkerhet och åtkomstrutiner avseende patientuppgifter. Även här beaktades initiativ till åtgärder för att förbättra it-säkerheten och samarbetet med myndigheten. Försvårande var dock att sjukhuset inte självt rapporterade bristerna till myndigheten, vilket delvis berodde på avsaknad av dokumenterade interna rutiner.
Samarbeta och säkerställ interna rutiner
Slutsatsen vi kan dra av den praxis som börjar utvecklas inom EU är att tillsynsmyndigheterna tar hänsyn till samtliga omständigheter kring en överträdelse av GDPR som kan utgöra grund för sanktionsavgifter. Om verksamheten drabbas av en personuppgiftsincident lönar det sig att samarbeta i utredningen och att verka för att förebygga framtida incidenter.
För att undvika tunga sanktionsavgifter bör ni även se till att ha interna rutiner och dokument på plats för när och hur incidenter ska rapporteras till Datainspektionen och när ni ska informera registrerade. Ni bör även ha en tydlig rutin för vem som ytterst fattar beslut i bolaget om dessa frågor och en delegationsordning för beslut om sådana personer skulle vara frånvarande vid det aktuella incidentstillfället. Det lönar sig att ha förberett dessa rutiner i förväg eftersom de 72 timmar som bolaget har på sig att rapportera en incident går väldigt fort den dag då incidenten är ett faktum.
Läs också:
GDPR: Här är allt du behöver veta om EU:s dataskyddsregler
Google åker på GDPR-smocka – tvingas betala halv miljard
Befattning: Senior Associate, Advokat
Företag: Morris Law
Linkedin: Siri Mårtensson
E-post: siri.martensson@morrislaw.se
Expertområden: It-juridik, it-avtal, life science, personuppgiftsfrågor och immaterialrätt.
Bakgrund: Advokat specialiserad inom it, teknologi, media, life science, medtech och pharma. Stor erfarenhet från M&A-transaktioner, investeringsfrågor, kommersiella avtal och regulatorsiska frågor.
