Utökade sanktioner från tillsynsmyndigheten
Den kanske mest ingripande förändringen till följd av Kommissionens förslag av den 25 januari 2012 till ny dataskyddsförordning (”förslaget”) är att de sanktioner som kan åläggas den som gör sig skyldig till överträdelser mot regleringingen sannolikt blir avsevärt strängare. Hittills har regleringen om skydd för personuppgifter kännetecknats av relativt milda sanktioner. Målet med tillsynen har snarare varit att den lagstridiga behandlingen av personuppgifter ska upphöra än att den som gjort sig skyldig till lagstridig behandling av personuppgifter ska straffas, med undantag för vissa särskilt allvarliga överträdelser som utgör brott mot personuppgiftslagen.
Dagens sanktionssystem är utformat så att tillsynsmyndigheten, när den konstaterar att lagstridig personuppgiftsbehandling sker eller riskerar att ske, genom påpekanden eller liknande ska försöka få den personuppgiftsansvarige att vidta rättelse. Först om rättelse inte sker får tillsynsmyndigheten, efter att ha givit den personuppgiftsansvarige tillfälle att yttra sig i icke brådskande fall, förelägga den personuppgiftsansvarige vid vite att vidta rättelse. Enligt den rådande regleringen finns alltså en möjlighet för den personuppgiftsansvarige att undgå ekonomiska sanktioner från tillsynsmyndigheten (skadestånd till den vars integritet har kränkts behandlas inte i detta inlägg) genom att efter påpekandet efterleva lagens krav.
Enligt förslaget är tillsynsmyndigheten skyldig att utfärda sanktioner som är effektiva, proportionella och avskräckande med hänsyn till bland annat hur allvarlig överträdelsen är, om den skett med uppsåt eller av oaktsamhet samt i vilken utsträckning samarbete med tillsynsmyndigheten sker för att komma till rätta med överträdelsen. Endast i vissa angivna undantagsfall kan tillsynsmyndigheten välja att i stället för böter utfärda en skriftlig varning utan påföljder. De maximala bötesbeloppen är mycket höga och bestäms för företag till ett visst procenttal av årlig global omsättning.
Böter om 250 000 euro eller upp till 0,5 procent av årlig global omsättning kan utgå bland annat om rutiner för att ge information till den registrerade saknas, eller om begäran om information inte tillgodoses i god tid.
Böter om 500 000 euro eller upp till 1 procent av årlig global omsättning kan utgå bland annat om rätt information inte lämnas till den registrerade, om rätten att bli glömd eller att få uppgifter raderade inte respekteras eller om skyldigheten att föra dokumentation inte uppfylls.
Böter om 1 000 000 euro eller upp till 2 procent av årlig global omsättning kan utgå bland annat om behandling sker utan stöd i lagen eller utan samtycke, om olaglig behandling sker av känsliga personuppgifter, kraven på säkerhetsrutiner och ”data protection by design and default” inte efterlevs, interna policies inte upprättas, registrerades invändning mot behandling av vissa personuppgifter inte hörsammas, skyldigheten att rapportera personuppgiftsbrott till tillsynsmyndigheten inte efterlevs personuppgiftsombud inte utses när så krävs eller om olaglig personuppgiftsöverföring till tredje land sker.
LIBE-utskottet (Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor), som är det utskott inom Europaparlamentet som ansvarar för lagstiftningsprocessen, har den 21 oktober 2013 röstat fram ett kompromissförslag varigenom kommissionens förslag delvis har förändrats. Enligt kompromissförslaget, vilket per dagens datum inte har publicerats i sin helhet, kommer de ekonomiska sanktionerna att vara ännu strängare än kommissionens förslag, samtidigt som möjligheten till alternativa sanktioner tycks öka.
Enligt Europaparlamentets kompromissförslag kan böter utgå om upp till 100 miljoner euro eller 5 procent av årlig global omsättning, men det står tillsynsmyndigheten fritt att välja andra sanktioner i form av skriftlig varning vid den första, oavsiktliga överträdelsen eller i form av återkommande och reguljära revisioner av efterlevnaden av dataskyddsförordningen.
Varken förslaget eller Europaparlamentets kompromissförslag ger möjlighet för nationella tillsynsmyndigheter att avvika från kravet på effektiva, avskräckande och proportionerliga sanktioner, vilket innebär att det inte finns utrymme för den svenska Datainspektionen att anta en mer ”slapphänt” praxis vad som föreskrivs i förslaget.
De höga bötesbeloppen och kanske särskilt det faktum att dessa för företag kommer att ställas i relation till den årliga globala omsättningen, kommer att göra det nödvändigt för alla organisationer, och då särskilt de större företagen, att göra en genomgripande översyn av den personuppgiftsbehandling som förekommer. Det återstår att se om och i vilken grad sanktionssystemet kommer att förändras under den fortsatta behandlingen av förordningen i Europaparlamentet och Rådet.