Slutsatser från Integritetsskyddsmyndighetens tillsynsärenden

Dataskyddslagstiftningen har blivit ett alltmer komplext rättsområde och tillsynsmyndigheterna har blivit mer aktiva, vilket har medfört ett ökat antal tillsynsbeslut och domstolsprocesser. Dataskyddsförordningen har även gett tillsynsmyndigheterna kraftiga utrednings- och sanktionsbefogenheter. Men vad innebär det egentligen att bli utsatt för tillsyn? Inför dataskyddsförordningens inträde 2018 skrev vi en rapport på temat (Kahn Pedersens skriftserie 2018:1). Mycket har förändrats sedan dess – inte minst Integritetsskyddsmyndighetens (IMY) metod för tillsynsprocessen. Vi ser därmed ett behov av att göra en uppdaterad analys baserad på IMY:s nya rutiner för tillsyn och några av dess tillsynsbeslut – för att hjälpa verksamheter att förbereda sig inför en potentiell tillsyn. Kahn Pedersens dataskyddsexperter har valt att göra detta i form av en artikelserie. I första delen beskrev vi hur IMY:s tillsynsprocess går till och hur man kan förbereda sig för en eventuell tillsyn. I denna andra del av artikelserien analyserar Cecilia Enmark den tillsyn som IMY hittills har utfört och föreslår åtgärder för att minska risken för tillsyn.

I dataskyddssammanhang framhålls ofta att överträdelser av dataskyddsförordningen kan få kostsamma konsekvenser i form av höga administrativa sanktionsavgifter. Det är därför av intresse att närmare granska omfattningen, rättsfrågorna och utfallet av IMY:s tillsynsprocesser. Hur vanligt är det egentligen att en tillsyn leder till korrigerande åtgärder och vilka lärdomar kan dras av de tillsynsbeslut som hittills fattats?

Som beskrivits i artikelseriens första del har IMY:s tillsyn det senaste året främst tagit avstamp i specifika klagomål som lämnas in till myndigheten, istället för av IMY utvalda principiella frågor. Övergången till en primärt klagomålsbaserad tillsyn har sin bakgrund i att Europeiska dataskyddsstyrelsen (EDPB) år 2021 antog en riktlinje enligt vilken tillsynsmyndigheterna har en skyldighet att, i den utsträckning det är lämpligt, utreda varje klagomål som inkommer till myndigheterna.[1]

IMY uppger i sin årsredovisning avseende 2022 att klagomålen kan avslutas på tre olika sätt; utan åtgärd, genom att en tillsyn inleds eller genom utskick av informationsbrev. Det sistnämnda innebär att IMY i ett brev informerar en aktör om att ett klagomål mot dem har mottagits, samt upplyser om rättsläget rörande den fråga som klagomålet baseras på. Syftet med informationsbreven är att uppmuntra aktören att själv kontrollera om det funnits några brister i hanteringen och åtgärda dessa. När ett informationsbrev skickas gör IMY således inte någon bedömning av klagomålet. IMY har i sitt budgetunderlag för 2022 – 2024 uppskattat att ca 40 procent av klagomålen efter granskning kommer att kunna avslutas med informationsbrev eller avskrivning. Närmare hälften av ärendena bedöms kunna avgöras genom en enklare form av tillsyn, och resterande klagomål beräknas leda till tillsyn av mer omfattande karaktär.

Av IMY:s årsredovisning avseende 2022 framgår att 119[2] tillsynsärenden inleddes, och 101 tillsynsärenden avslutades under 2022.[3] Med tanke på att motsvarande siffror för föregående år var 101 inledda och 32 avslutade tillsynsärenden indikerar 2022 års siffror att en effektivisering av handläggningen skett. Trots detta uppger IMY att de fortfarande inte inleder och avslutar tillsyn i önskvärd utsträckning, varför myndigheten fortsatt kommer att prioritera arbetet med tillsynsärenden. I kombination med IMY:s nyligen förstärkta budget är det således möjligt att tillsynsärenden kommer att inledas i högre utsträckning de kommande åren.

Frågor i fokus för IMY:s tillsyn

IMY:s tillsyn har varit av varierande karaktär. Tillsynen har riktats mot såväl regioner, kommuner och statliga myndigheter som mot företag av varierande storlek inom olika verksamhetsområden. Från att tidigare ha behandlat olika typer av överträdelser talar mycket för att tillsynsärendena framöver kan bli mer likartade i sin karaktär. Detta då framtida tillsynsärenden i de allra flesta fall kommer att härröra från klagomål där registrerade har ansett att deras rättigheter enligt dataskyddsförordningen har kränkts.

Dessa typer av tillsynsärenden har förstås även förekommit tidigare. Som exempel kan nämnas ett nu överklagat[4] beslut (DI-2020-10533) där Spotify tilldelades en reprimand med anledning av brister i de registrerades rätt till tillgång (artikel 15) och rätt till rättelse av personuppgifter (artikel 16). IMY ansåg bland annat att det inte var tillräckligt att besvara klagandens begäran om tillgång (registerutdrag) genom att hänvisa till Spotifys online-tjänst med standardinformation om hur enskilda kunde utöva sina rättigheter och möjlighet att ladda ner sin data. Därtill bedömde IMY att Spotify inte hade hanterat eller underlättat för klaganden att utöva sina rättigheter i enlighet med artikel 12.2 då Spotify angett att det inte var tekniskt möjligt att genomföra den registrerades begäran om rättelse (i detta fall en adressuppgift), och istället uppmanat den registrerade att skapa ett nytt konto dit bolaget kunde överföra klagandens uppgifter.

I sammanhanget bör även nämnas tillsynsärenden rörande registrerades rätt till information. I ett överklagat[5] beslut mot Klarna (DI-2019-4062) behandlades flera aspekter kopplade till information till registrerade, vilket har gett viss vägledning om hur IMY anser att sådan information bör vara utformad. Klarnas information till de registrerade ansågs vara bristfällig på flera punkter vilket medförde att IMY beslutade om en sanktionsavgift på 7,5 miljoner kronor. IMY fann bland annat att informationen om mottagarna eller kategorier av mottagare som skulle ta del av personuppgifterna (artikel 13.1 e), inte uppfyllde kravet på öppenhet. IMY fäste här vikt vid att det saknades förklaring av vilken information som lämnas till svenska respektive utländska kreditupplysningsföretag, vilket kunde leda till missuppfattningar hos den registrerade. IMY fann också att informationen om överföring av personuppgifter till tredjeland inte uppfyllde artikel 13.1 f dataskyddsförordningen, då det framgick att säkerhetsåtgärder skulle vidtas vid tredjelandsöverföring men inte var och hur den enskilde kunde få tillgång till eller erhålla handlingar gällande de nämnda skyddsåtgärderna. Vidare framgick också att personuppgifter kunde överföras till länder utanför EU/EES, men inte till vilka tredjeländer.

Andra frågor som behandlats av IMY:s tillsynsärenden under de senaste två åren har bland annat rört

• om den personuppgiftsansvarige har hanterat begäran om radering från registrerade i enlighet med dataskyddsförordningen och inom dess tidsfrister,
• om registrerades rätt till tillgång till personuppgifter och begäran om rättelse har hanterats av den personuppgiftsansvarige utan onödigt dröjsmål,
• om information som den personuppgiftsansvarige efterfrågat för att bekräfta den registrerades identitet i samband med begäran från den registrerade om att utöva sina rättigheter under dataskyddsförordningen var nödvändig,
• om den personuppgiftsansvarige har uppfyllt sin skyldighet att underlätta för de registrerade att utöva sina rättigheter,
• om den personuppgiftsansvarige uppfyllt sin informationsskyldighet gentemot de registrerade vid användande av s.k. Facebook-pixlar, samt
• om automatisk ifyllnad av personuppgifter på en hemsida har varit förenlig med dataskyddsförordningen.

Utfallet av IMY:s tillsynsärenden

Vid en genomgång av utfallet av avslutade tillsynsärden under åren 2018 – 2022 kan konstateras att reprimander har delats ut vid 94 tillfällen. Reprimand är därmed den vanligast förekommande korrigerande åtgärden, följt av föreläggande, vilket delats ut 47 gånger. Totalt har 28 stycken administrativa sanktionsavgifter delats ut under åren 2018 – 2022.[6]

Det är långt ifrån alla tillsynsärenden som resulterar i korrigerande åtgärder. De 101[7] tillsynsärendena som avslutades under 2022 resulterade i beslut om 65 korrigerande åtgärder mot tillsynsobjekt som brutit mot dataskyddsförordningen. Dessa korrigerande åtgärder bestod av fyra administrativa sanktionsavgifter, en varning, en rekommendation och ett förbud mot fortsatt behandling. Vidare delades 31 reprimander och 27 förelägganden ut, vilket är betydligt fler än under 2021 då motsvarande siffra var 6 reprimander och 5 förelägganden. Även detta tycks ha sin förklaring i de klagomålsbaserade tillsynerna, då IMY uppgett att dessa ofta har en mer begränsad omfattning och många gånger leder till reprimander istället för sanktionsavgifter. Det är således troligt att vi i framtiden kommer se en fortsatt trend där tillsynsärenden på grund av sin karaktär kommer att leda till reprimander och förelägganden snarare än administrativa sanktionsavgifter.

Administrativa sanktionsavgifter

Enligt dataskyddsförordningens artikel 83 ska tillsynsmyndigheterna säkerställa att de administrativa sanktionsavgifterna är effektiva, proportionerliga och avskräckande. Avgiftens storlek avgörs delvis utifrån tillsynsobjektets globala omsättning, vilket innebär att avgiften för samma typ av överträdelse kan variera beroende på vilken omsättning olika företag har. Detta speglas exempelvis i ett tillsynsbeslut från år 2021 där Luxembourg National Commission for Data Protection påförde Amazon en administrativ sanktionsavgift på 746 miljoner euro – den hittills högsta administrativa sanktionsavgiften som utdelats under dataskyddsförordningen.

För att öka harmoniseringen av tillsynsmyndigheternas beslut antog EDPB våren 2022 riktlinjer gällande beräkning av administrativa sanktionsavgifter. Nytt är framförallt en beräkningsmodell med syfte att förenkla beräkningen av avgifterna genom att fastslå en ”utgångspunkt”. Enligt riktlinjerna ska tillsynsmyndigheterna anpassa avgifterna efter omständigheterna i det enskilda fallet, vilket innebär att det fortsatt inte kommer vara helt enkelt att förutse storleken på eventuella administrativa sanktionsavgifter. IMY lyfter i sin senaste årsredovisning fram att det trots riktlinjerna fortfarande inte finns en EU-gemensam praxis avseende storleken på avgifterna. Även om riktlinjerna inte är tvingande bedömer vi att de med stor sannolikhet kommer få genomslag framöver och, i takt med mer praxis från europeiska tillsynsmyndigheter, bidra till mer förutsebarhet avseende sanktionsavgifternas storlek.

Förhållandevis få av IMY:s beslut har efter avslutad tillsyn inneburit att administrativa sanktionsavgifter har påförts tillsynsobjektet – det senaste året utdömdes administrativa sanktionsavgifter i endast 4 av de 101 avslutade tillsynsärendena. Vid artikelns författande har IMY fattat beslut om påförande av administrativ sanktionsavgift vid ett tillfälle under år 2023, vilket innebär att totalt 29 av IMY:s tillsynsärenden resulterat i administrativa sanktionsavgifter. Av dessa uppgick den lägsta administrativa sanktionsavgiften till 20 000 kronor, och den högsta till 75 miljoner kronor[8].

Vad gäller bestämmelserna i dataskyddsförordningen som överträtts i dessa 29 tillsynsärenden kan sägas att artikel 32 (säkerhet i samband med behandlingen) är vanligt förekommande då denna överträtts i 16 av tillsynsbesluten. Ett flertal av tillsynsbesluten som utmynnat i administrativa sanktionsavgifter har också rört registrerades rättigheter. Utöver detta kan det noteras att överträdelser av artiklar i många fall ansetts vara så pass allvarliga att även artikel 5 (Principer för behandling av personuppgifter) har överträtts. Så har varit fallet i 24 av de 29 tillsynsärenden som lett till administrativa sanktionsavgifter.

Sammanfattande analys: Riskmitigerande åtgärder med utgångspunkt i IMY:s genomförda tillsyn

Det bör understrykas att dataskyddsförordningen inte bara bör efterlevas för att minska risken för tillsyn och kostsamma sanktionsavgifter, utan för att skyddet för fysiska personer vid behandling av personuppgifter, en grundläggande rättighet, ska respekteras. Dataskyddsförordningens vaga bestämmelser kan emellertid vara svårtolkade i vissa fall.

Den förflyttning som skett hos IMY till primärt klagomålsinitierad tillsyn indikerar att större fokus framöver kan komma att läggas på verksamheter som inte uppfyller de registrerades rättigheter enligt dataskyddsförordningen. I ljuset av IMY:s tillsynsärenden bör följande åtgärder vidtas för att i större grad säkerställa registrerades rättigheter, efterleva dataskyddsförordningen och därmed även minska risken för tillsyn:

• Inför en rutin för uppdatering av era informationstexter. När dataskyddsförordningen började tillämpas 2018 upprättade många företag en eller flera policyer gällande deras personuppgiftsbehandling. Dessa informationstexter bör rutinmässigt och med jämna mellanrum uppdateras för att säkerställa att informationen på korrekt och komplett sätt återger den personuppgiftsansvariges behandlingar och beaktar tillkommande rättspraxis.
• Säkerställ att informationen är lättillgänglig och tydlig. Det är viktigt att dataskyddsinformationen presenteras på ett tydligt sätt för de registrerade. Detta innebär bland annat att redogöra för de registrerades rättigheter enligt dataskyddsförordningen på ett korrekt sätt, att specificera vilka tredje länder som kan bli aktuella för överföring, att se till att relevant information finns allmänt tillgänglig och, om flera tjänster erbjuds, tydligt lista ändamålen med personuppgiftsbehandlingen för respektive tjänst. Användning av olika typer av tabeller kan underlätta för att presentera informationen på ett tydligt sätt.
• Skapa rutiner för att tillvarata registrerades rätt till tillgång. Dataskyddsförordningens artikel 15 ger den registrerade rätt att av den personuppgiftsansvarige få bekräftelse på huruvida dennes personuppgifter behandlas och i så fall få tillgång till personuppgifterna, tillsammans med viss därtill kopplad information. Genom att på förhand skapa en rutin för hur sådana förfrågningar ska hanteras internt minskar risken för fördröjning eller felaktig hantering av registrerades begäran. Tänk också på att det inte är tillräckligt att endast hänvisa den registrerade till en onlinetjänst för att möta detta krav.
• Var noggrann med tidsfrister för radering av uppgifter. En registrerad har enligt artikel 17 dataskyddsförordningen rätt att utan onödigt dröjsmål få sina personuppgifter raderade under vissa särskilt angivna förutsättningar, vilket ska ske utan onödigt dröjsmål. Till exempel ska detta ske om den registrerade har återkallat det samtycke som behandlingen grundat sig på, eller om personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlats in. IMY har ett flertal gånger inlett tillsyn efter anmälningar om att personuppgifter inte raderas utan onödigt dröjsmål. Det är av denna anledning viktigt att utsedda personer i organisationen har kunskap och tydliga instruktioner kring hur och inom vilken tidsfrist begäran om radering ska hanteras.
• Rätta er efter eventuella informationsbrev från IMY. Trots att ett informationsbrev i sig inte föranleder korrigerande åtgärder från IMY eller beslut om tillsyn, bör mottagaren av ett informationsbrev noga överväga vilka åtgärder som bör vidtas med anledning av informationsbrevet. En förutsättning för att IMY ska skicka ut informationsbrev är att det är första gången ett klagomål riktas mot en viss brist i en viss verksamhet, samt att IMY bedömer att det är sannolikt att mottagaren tar del av informationen och vid behov vidtar åtgärder. Om ett klagomål hanterats av IMY genom ett informationsbrev, och inga åtgärder vidtagits, lär detta öka risken för att en tillsyn inleds vid ett nytt klagomål rörande samma påstådda överträdelse.
• Håll dig uppdaterad. Trots att dataskyddsförordningen varit tillämplig i snart fem år finns det fortfarande många aspekter som inte är helt klarlagda. Överföringar till tredjeland och användandet av tjänster som kan innebära sådana överföringar, såsom Google Analytics, är exempel på frågor som diskuterats flitigt de senaste åren. I skrivande stund finns ett antal intressanta pågående tillsynsärenden hos IMY, exempelvis gällande användandet av så kallade Facebook-pixlar och om automatisk ifyllnad av personuppgifter på en hemsida ska anses förenlig med kraven i dataskyddsförordningen. Dataskyddsarbete är inte något som kan ”checkas av” vid ett tillfälle utan är ett pågående arbete, varför det är viktigt att hålla sig uppdaterad om nyheter på området, exempelvis genom att prenumerera på nyheter från IMY.

Sammanfattningsvis kan sägas att många av de klagomål som inkommer till IMY kommer att avskrivas eller hanteras genom informationsbrev. Alla tillsynsärenden resulterar inte heller i att IMY konstaterar att en överträdelse skett. Att ett tillsynsärende inleds behöver således inte alltid innebära att korrigerande åtgärder kommer att påföras tillsynsobjektet. Vidare har endast ett i sammanhanget fåtal svenska tillsynsärenden – hittills 29 stycken, utmynnat i en administrativ sanktionsavgift. Övergången till klagomålsbaserad tillsyn kommer dessutom sannolikt att resultera i fler åtgärder i form av reprimander och förelägganden och färre administrativa sanktionsavgifter. Det finns dock mycket som talar för att en ökad tillsyn från IMY är att vänta då tillsyn kommer vara ett prioriterat område framöver.

Viktigt att nämna i detta sammanhang är också att om IMY i ett tillsynsärende skulle konstatera att personuppgiftsbehandling har skett i strid med dataskyddsförordningen finns alltid möjligheten att överklaga beslutet för att få en överprövning av IMY:s bedömning. Detta kommer vi redogöra för mer ingående i nästa del av Kahn Pedersens artikelserie.

Missa inte heller de andra delarna av Kahn Pedersens artikelserie om att försvara sig mot Integritetsskyddsmyndigheten:

Del 1 – Att förbereda sig inför Integritetsskyddsmyndighetens tillsyn

[1] Jfr. artikel 57.1 f. dataskyddsförordningen.

[2] I IMY:s årsredovisning anges att totalt 120 tillsynsärenden rörande dataskydd och brottsdatalagen inleddes under 2022, varav 1 inlett tillsynsärende rörde brottsdatalagen.

[3] I IMY:s årsredovisning anges att 104 tillsynsärenden rörande dataskydd och brottsdatalagen avslutats under 2022, varav 3 avslutade tillsynsärenden rörde brottsdatalagen.

[4] Förvaltningsrätten i Stockholm, målnr. 34169-21.

[5] Förvaltningsrätten i Stockholm, målnr. 7679-22.

[6] Siffrorna i detta stycke är baserade på den statistik som IMY uppgett i sin årsredovisning för 2021 och 2022.

[7] I IMY:s årsredovisning anges att 104 tillsynsärenden rörande dataskydd och brottsdatalagen avslutats under 2022, varav 3 avslutade tillsynsärenden rörde brottsdatalagen.

[8] Efter överklagan till Kammarrätten har dock denna sanktionsavgift nu fastställts till 50 miljoner kronor.