Lite mer än ett år har passerat efter GDPR:s ikraftträdande och 2019 inleddes relativt lugnt gällande tillsynsärenden och sanktionsnivåer runt om i Europa. Nu när det är dags att summera det gångna året framträder dock en väsentligt annorlunda bild. Under våren rådde lugnet före stormen – nu har det blåst upp till hård kuling, om inte storm.
I skrivande stund kan vi summera 2019 till den smått otroliga summan – € 405 000 000 eller € 0.45 miljarder i meddelade sanktionsavgifter inom EU/EES. Det ska dock understrykas att totalbeloppet för 2019 inte är helt fastställd för året. Beslut som rör de allra största sanktionsbesluten har överklagats varvid resultatet kan komma att skrivas ner betydligt. Med detta sagt finns det fortfarande utrymme för fler sanktionsbeslut innan 2020, och som vi sett från i år så kan mycket hända på en månad.
Trenderna och attityderna för 2019 visar dock en tydlig bild. Tillsynsmyndigheter runt om i Europa har definitivt accelererat sin tillsynstakt och det finns inget som talar för en avmattning för 2020 och framåt. Det står även klart att tillsynsmyndigheterna inte räds i att ta i med hårdhandskarna och till och med tillgripa de allra högsta sanktionsnivåerna. Låt oss titta på den mest uppmärksammade praxisutvecklingen i Sverige och runt om i Europa för att se vilka slutsatser som kan dras av sanktionsåret 2019.
Den 20 augusti i år meddelade Datainspektionen sitt sanktionsbeslut gentemot gymnasienämnden i Skellefteå. Genom medierapportering hade Datainspektionen fått kännedom om ett försöksprojekt med ansiktsigenkänning för att registrera elevers närvaro. En granskning inleddes varpå brister bland annat gällande konsekvensbedömning (artikel 35) kunde konstateras, samt att det saknades laglig grund (artikel 6 och 9) för dess behandling. Beslut om administrativ sanktion om SEK 200 tkr meddelades. Valet att tillgripa böter istället för mildare korrigerande åtgärder motiverades med att överträdelserna rörde känsliga uppgifter om barn (biometriskdata) i beroendeställning till skolan (det vill säga en extra känslig och utsatt miljö), varpå någon annan påföljd än böter inte kunde göras gällande.
Slutsats: Utan närmare eftertanke skulle den relativt ringa bötessumma om SEK 200 tkr som meddelades av Datainspektionen kunna ses som den första prejudicerande bötesbeloppsnivån för likande framtida händelser. Min egen bedömning är mycket mer restriktiv. Sett till de specifika omständigheterna i ärendet (begräsningar i antal personer och tid som överträdelserna avsåg) vart detta ett närmaste idealiskt pilotärende för Datainspektionen att provtrycka sina befogenheter på.
Vad gäller framtida bötesbeloppsnivåer skulle det vara föga förvånande om inte den svenska Datainspektionen skulle närma sig de betydligt högre beloppen som meddelats i Frankrike, Tyskland och Storbritannien, något som dock återstår att se. Värt att notera dock är att det pågår ett antal gransknings-och tillsynsärenden där beslut väntas inom kort.
Till skillnad från Datainspektionen i Sverige – drämde den brittiska motsvarigheten till rejält under sommaren 2019. I sin första monetära sanktion under GDPR meddelade ICO att flygbolaget British Airways (BA) får böta hissnande cirka € 204 miljoner, eller motsvarande cirka 1,5 % av bolagets globala omsättning för brott mot dataskyddsförordningen. BA:s överträdelserna grundar sig på en större personuppgiftsincident till följd av en extern cyberattack mot BA:s hemsida. Attacken som utfördes var mycket sofistikerad och i stor skala, cirka 500,000 av BA:s kunder beräknas ha berörts.
Knappt hann krutröken kring ICO:s beslut skingras förrän det var dags igen. Redan nästföljande dag meddelade ICO sin nästa sanktionsbomb. Hotellkedjan Marriott International ålades en sanktionsavgift om ca: € 110 miljoner (motsvarande ca: 3% av bolagets globala omsättning) för en snarliknande IT-säkerhet- och personuppgiftsincident.
Även i Marriotts fall rörde det sig om en storskalig personuppgiftsincident – cirka 30 miljoner kunduppgifter runt om i Europa, varav 7 millioner tillhörde personer i Storbritannien. En annan intressant detalj med Marriotts fall är att säkerhetsincidenten och intrånget kunde spåras tillbaka till ett bolagsförvärv av ”Starwood hotels group” som Marriott gjort några år före upptäckten. Något förenklat så kunde intrånget spåras till ett komprimerat IT-system hos ”Starwood hotels group” som utsatts för extern attack. När förvärvande IT-system sedermera integrerades in i Marriotts IT-miljö var spridningen ett faktum och även Marriotts kunder drabbades av intrånget.
Det ska nämnas att både Marriott och British Airways har överklagat ICO:s sanktionsbeslut och att processerna är pågående.
Slutsats: Från brittiskt håll kan vi konstatera att ICO har intagit en hårdför position gällande kraven på skydd av den personliga integriteten. Detta gäller även om företagen själva är utsatta för brott. Företag med exponering mot Storbritannien bör säkerställa att informationssäkerheten har en hög nivå och att återkommande granska- och uppdatera sin informationssäkerhet för att inte riskera drabbas av höga sanktionsavgifter. En annan viktig tankeställare är att företag bör försäkra sig om att en noggrann IT-Due Dilligence görs i samband med eventuellt bolagsförvärv.
Även Tyskland verkar röra sig mot att vilja utdöma mång-miljonbelopp för personuppgiftsincidenter och överträdelser mot GDPR. Något som bekräftades under sommaren 2019 genom lanseringen av en ny beräkningsmodell för beräkning av sanktionsavgifter.
Först ut med en sanktion under den nya beräkningsmodellen var Fastighetsbolaget die Deutsche Wohnen SE (Deutsche Wohnen) – som meddelades en sanktion om € 14,5 miljoner för underlåtenhet att implementera adekvata och GDPR-anpassade datalagrings- och raderingsprocesser. Fastighetsbolaget hade sparat personuppgifter om hyresgäster längre än nödvändigt och hade således ingen laglig grund för dessa behandlingar. Vidare menade tillsynsmyndigheten att Deutsche Wohnen också bröt mot privacy-by-designreglerna i artikel 25 genom att inte tillräckligt GDPR-anpassa sina IT-system.
Värt att notera i sammanhanget är att tillsynsmyndigheten ansåg – trots det smått historiska bötesbeloppet om € 14,5 miljoner att bolaget kom lindrigt undan. Tillsynsmyndigheten menade att bolaget kunde ha gjort betydligt mer och det faktum att Deutsche Whonen medvetet installerat och under långt tid använt ett arkivsystem som inte tillät radering av personuppgifter såg som särskilt graverande.
Slutsats: Med sanktionen mot Deutsche Wohnen har Tyskland definitivt klivit över tröskeln och anslutit sig till EU-klubben för mångmiljonböter där Frankrike och Storbritannien redan ingår. Med sanktionsbeslutet mot Deutsche Wohnen står det klart att tyska tillsynsmyndigheter lägger stor vikt vid hanteringen av registerförteckning, effektiva gallringsrutiner och återkommande kontroller. Vidare bör användandet av IT-infrastruktur som exempelvis inte medger möjligheten till radering, rättelse, rätten att bli glömd ses som särskilt riskfyllt. Företag med exponering mot Tyskland gör klokt i att kontrollera eventuellt gamla ”restlistor” från implementeringstiden för att säkerställa att alla IT-system uppfyller ovan integritetskrav.
I Danmark åkte det danska taxibolaget -Taxa 4×35 (Taxa) på en sanktionsavgift motsvarande €160,754 eller ca: 2,8 % av bolagets globala årsomsättning för brott mot principen av om dataminimering.
Taxa lagrade insamlade personuppgifter längre en vad den laglig grunden medgav och där med i strid mot artiklarna 5 & 6 i dataskyddsförordningen.
En intressant omständighet att belysa är att TAXA inför ikraftträdande av GDPR – hade vidtagit ”vissa” dataminimeringsåtgärder (såsom gallringsrutiner för namn och adresser). Dock visade tillsynen mot bolaget att TAXA sparade kunders telefonnummer, samt datum, GPS-koordinat och geo-information om start-och stop – väsentligt mycket längre.
Bolaget anförde bland annat IT-tekniska skäl (kostnaden och tekniska utmaningar för bolaget att omvandla telefonnummer till unika ID-nummer) och ett legitimt intresse att behandla uppgifterna. TAXA menade att kunders telefonnummer utgjorde väsentlig del i TAXA:s kunddatabas, och att telefonnummer i sig ändock kan likställas med ett anonymiserat kundnummer om bolaget raderade namn och annan information kopplat till ett specifikt nummer.
Denna förklaring godtogs inte av Danska Datatillsynet som menad att IT-tekniska skäl inte utgjorde skäl nog för att motivera en längre lagringsgrund än vad annars skulle vara tillämpligt. Bolaget saknade således laglig grund för sin behandling – och tilldelades en rekommendation om administrativ sanktion. Enligt dansk lag måste eventuella sanktioner meddelade av Datatillsynet fastställas av allmän domstol. TAXA har överklagat.
Slutsats
Även om utgången inte var helt oväntad dvs. med en fällande rekommendation, så blev vi faktiskt lite tagna på sängen över att det blev en 2+% sanktion. Ibland räcker lite långt, men inte i detta fallet. TAXAS försök till att anonymisera personuppgifterna bedömdes som otillräckliga och en viktig slutsats som vi kan dra är att den personliga integriteten står över företagens IT-tekniska behov. Från danskt håll skulle det sannolikt krävas särskilt ömmande eller specifika skäl (oskäligt betungande eller inte tekniskt möjligt) för att vinna gehör med en liknande argumentation.
Mot bakgrund av utfallet i TAXA 4×35 ska det bli spännande att följa om miljonböterna utgör begynnande praxis i Danmark, och om domstolen bekräftar Datatillsynets påföljdsrekommendation. Till dess bör företag med exponering mot den danska marknaden försäkra sig om att inte lagra personuppgifter längre än nödvändigt. Vid användning av anonymiseringsmetoder bör företag även försäkra sig om att dessa är tillräckliga.
Med tanke på den snabba tillsynsutvecklingen under 2019, så kommer 2020 med stor sannolikhet bli ett mycket spännande år. Huruvida vi kommer se den allra första 4 % sanktionen återstår att se men det ligger helt klart i farans riktning om vi beaktar utvecklingen runt om i Europa
Oavsett vad som sker framgent – lämnar vi 2019 med ett par viktiga insikter och lärdomar. Rent konkret innebär utvecklingen på sanktionsområdet att företag-och organisationer kan börja precisera sin faktiska GDPR-risk istället för att förlita sig på teoretiska-och spekulativa resonemang om eventuella sanktionsnivåer. För företag och organisationer torde därför en översyn- och granskning av tidigare års åtgärdsprogram, riskbedömningar och individuella riskkartor utgöra en klok ingångspunkt för 2020.
