Nya riktlinjer och praxis rörande sanktionsavgifter enligt GDPR

Under maj månad har det kommit nya riktlinjer och praxis som rör sanktionsavgifter enligt GDPR. Dels har EDPB meddelat en riktlinje om hur administrativa sanktionsavgifter enligt GDPR ska beräknas, dels har Kammarrätten upphävt förvaltningsrättens och IMY:s beslut att fem sjukhus och regioner ska betala sanktionsavgift enligt GDPR och uttalat sig generellt avseende beviskrav för utdömande av sanktionsavgifter.

EDPB riktlinje 04/2022

Vid sitt möte den 12 maj 2022 beslutade EDPB (Europeiska Dataskyddsstyrelsen) att anta en ny riktlinje om hur administrativa sanktionsavgifter ska beräknas. Beräkningen av bötesbeloppet avgörs av tillsynsmyndigheten i det aktuella landet, i enlighet med reglerna i GDPR. Syftet med riktlinjen är att skapa en harmoniserad metod och principer för beräkningen av sanktionsavgifter, så att olika dataskyddsmyndigheter behandlar lika fall lika.

Metoden som EDPB slagit fast består i korthet av följande fem steg.

1. Identifiering av de aktuella överträdelserna.
2. Bedömning av överträdelsernas allvarlighet samt den granskade organisationens omsättning/storlek för att komma fram till ett s.k. ”startbelopp”.
3. Ökning eller minskning av startbeloppet beroende på om det föreligger några förmildrande och/eller försvårande faktorer.
4. Kontroll av att den slutliga sanktionsavgiften inte överstiger det lagstadgade maxbeloppet.
5. Analys av att sanktionsavgiften är effektiv, proportionerlig och avskräckande.

Arbetet med riktlinjen har bedrivits i en arbetsgrupp inom EDPB, där IMY (Integritetskyddsmyndigheten) varit ordförande tillsammans med den nederländska dataskyddsmyndigheten.

Kammarrätten mål: 4471-21, 4511-21, 4540-21, 4548-21, 4611-21

Den 16 maj upphävde Kammarrätten förvaltningsrättens och IMY:s beslut att fem regioner och sjukhus skulle betala sanktionsavgifter enligt GDPR.

Kammarrätten konstaterade att frågan om beviskrav varken uppställs i GDPR eller behandlas i förarbetena till dataskyddslagen. Med hänvisning till likheterna med straffrätten menade Kammarrätten å ena sidan att det ska ställas höga krav på IMY:s bevisning för att sanktionsavgift ska få beslutas. Å andra sidan måste beaktas att syftet med sådana ingripanden är att bevaka bl.a. intresset för fysiska personers skydd för sina personuppgifter. Beviskravet kunde därför inte ställas lika högt som för en fällande dom i brottmål. Kammarrätten ansåg därför att beviskravet ska vara detsamma som gäller för att påföra skattetillägg, dvs. det ska klart framgå att förutsättningarna för att besluta om administrativ sanktionsavgift är uppfyllda.

Enligt Kammarrätten hade IMY i målen inte kunnat bevisa att sjukhusen och regionerna hade brustit i sina skyldigheter enligt GDPR att säkerställa en lämplig säkerhetsnivå vid tilldelning av behörigheter i journalsystemen. Det hade därför inte funnits skäl att påföra sanktionsavgifter.

Läs mer här:

Guidelines 04/2022 on the calculation of administrative fines under the GDPR | European Data Protection Board (europa.eu)

Nya riktlinjer om sanktionsavgifter och polisens användning av ansiktsigenkänning (imy.se)

Fem sjukhus och regioner slipper sanktionsavgift enligt EU:s dataskyddsförordning – Sveriges Domstolar