Artikkel 29-gruppen, som er EUs rådgivende arbeidsgruppe bestående av representanter for EU-landenes nasjonale datatilsyn, har kommet med en ny veiledning for bøter ved brudd på personvernforordningen. Selv om dette er en veiledning direkte for datatilsynene, får veiledningen betydning for behandlingsansvarlige og databehandlere som kan risikere å bryte forordningen.
Det er nå vel kjent nå at det maksimale nivået på bøter for brudd på personvernforordningen er det største av 20 mill. euro eller 4 % av global årlig omsetning for selskap (se artikkel 83 i forordningen). Bøter skal være effektive, forholdsmessige (dvs. stå i forhold til overtredelsen og konsekvensene) og preventive(dvs. skal virke avskrekkende og forhindre brudd), og dette er prinsipper som Datatilsynet må ta i betraktning for om bøter skal ilegges og hvor store bøtene skal være. Dersom bøter i det enkelte tilfelle ikke vil være ha den effekt som ønskelig, så anviser Artikkel 29-gruppen at bøter kan erstattes med en reprimande (kombinert med et pålegg om utbedring). Det er altså opp til Datatilsynet om det skal ilegges bøter i det enkelte tilfelle, eller om det kun skal gis en påpakning.
I artikkel 83 er det tatt inn en rekke momenter som skal tas i betraktning for om bøter skal ilegges og hva nivået på bøtene, og i veiledningen fra artikkel 29-gruppen er det gitt utfyllende kommentarer om hvordan disse momentene skal benyttes:
- Karakteren, alvorlighetsgraden og varigheten av overtredelsen, idet det tas hensyn til den berørte behandlingens art, omfang eller formål samt antall registrerte som er berørt, og omfanget av den skade de har lidd. Hvor alvorlig bruddet på forordningen er, og konsekvensene av bruddet, har altså betydning for om det skal ilegges bot og hvor stor boten blir. Her må de ulike faktorer vektes mot hverandre, og vi vil nok se flere eksempler på bøtenivåene mot hvor mange som er berørt. Et datasikkerhetsbrudd som Equifax-hendelsen i USA som fikk betydning for over 143 millioner registrerte, ville nok ha medført bøter opp mot maksimalgrensene etter personvernforordningen. Varigheten av bruddet vil også ha betydning, og da spesielt i sammenheng om bruddet var kjent for den behandlingsansvarlige og/eller databehandleren, men det ikke ble iverksatt tiltak eller varslet, se nedenfor.
- Om overtredelsen ble begått forsettlig eller uaktsomt, dvs. skyldgraden for den behandlingsansvarlige eller databehandleren. Som eksempel på brudd som kan medføre bøter nevnes det i veilederen det at man samler opplysninger om konkurrenters ansatte eller kunder i den hensikt å bedre sin egen konkurransesituasjon (som Taxiforbundets overvåking av Uber-sjåfører). Andre eksempler er å endre personopplysninger for å gi inntrykk av at resultater er oppnådd, eller omsette/overføre personopplysninger uten at dette er lovlig (som at samtykke mangler). Også det at retningslinjer ikke følges, å ikke implementere sikkerhetstiltak, ikke oppdatere sikkerhetsoppdateringer i programvare mv. kan medføre bøter og ha betydning for nivået på bøtene. Også det om virksomheten har fulgt råd fra personvernrådgiveren (personvernombudet) vil kunne ha betydning. Det presiseres i veilederen at det at det er manglende eller få ressurser vil ikke medføre at bøter ikke ilegges eller reduseres, siden det skal følges en risikobasert tilnærming ved behandling av personopplysninger.
- Tiltak for å begrense skaden som de registrerte har lidd truffet av den behandlingsansvarlige eller databehandleren. Det presiseres i veiledningen at den ansvarlige part skal gjøre alt denne kan for å redusere konsekvensene av en overtredelse for de individuelle registrerte som er involvert. Gjør man dermed ikke det man kan, kan dette påvirke nivået på boten som gis. Praksis fra personverndirektivet viser at det kan virke inn positivt for vurderingen av bøter om de ansvarlige har innrømt bruddet og tatt ansvar for bruddet ved å iverksette tiltak for å redusere konsekvensene, som å kontakte de som kan ha mottatt opplysninger feilaktig, slette opplysninger mv.
- Den behandlingsansvarliges eller databehandlerens grad av ansvar, idet det tas hensyn til de tekniske og organisatoriske tiltak de har gjennomført. Det ansvar de ansvarlige har må vurderes mot de tiltak som er iverksatt for å forhindre bruddet i første rekke. Er det implementer de informasjonsikkerhetstiltak som kan forventet, det er benyttet innebygd personvern (privacy by design), er det implementert personvernrutiner i organisasjonen mv., så vil dette ha betydning for om bot ilegges og størrelsen på denne. Det er avgjørende at behandlingsansvarlig har foretatt de vurderinger denne skal ha tatt (og kan dokumentere dette), og Datatilsynet vil forespørre i et slikt tilfelle om den behandlingsansvarlige «gjorde det det kunne være forventet at denne gjorde».
- Eventuelle relevante tidligere overtredelser begått av den behandlingsansvarlige eller databehandleren vil ha betydning. Har det vært tidligere overtredelser av den ansvarlige, vil dette virke inn på boten. Det vil ha betydning om overtredelsen er tilsvarende som tidligere, eller om dette er en ny overtredelse, selv om begge tilfellene vil ha betydning.
- Graden av samarbeid med tilsynsmyndigheten for å bøte på overtredelsen og redusere de mulige negative virkningene av den. Samarbeider den ansvarlige, gir tilsynsmyndighetene nødvendig informasjon, innsikt i systemer mv. såfremt dette har betydning for å redusere konsekvensene av bruddet, så vil dette påvirke bøtenivået.
- Kategoriene av personopplysninger som er berørt av overtredelsen, herunder om det er spesielle kategorier personopplysninger (sensitive personopplysninger) eller andre personopplysninger av stor betydning for de registrerte (som passord, epost, økonomisk informasjon), er personopplysningene direkte identifiserbare, vil opplysningene kunne være skadelige for de registrerte om de kom uvedkommende i hende, var opplysningene pseudonymiserte, var opplysningene krypterte osv.
- Hvordan fikk tilsynsmyndigheten fikk kjennskap til overtredelsen, særlig om og eventuelt i hvilken grad den behandlingsansvarlige eller databehandleren har underrettet om overtredelsen. Siden behandlingsansvarlig har en plikt til å varsle tilsynsmyndigheten ved brudd, så kan ikke varsling virke formildende på bøter, men det kan derimot virke skjerpende at varsel ikke ble gitt.
- Er det gitt pålegg overfor den berørte behandlingsansvarlige eller databehandler av Datatilsynet knyttet til samme forhold, kan det ha betydning for om bøter skal gis (som har sammenheng med tidligere overtredelser ovenfor).
- Om godkjente atferdsnormer eller godkjente sertifiseringsmekanismer er overholdt. Dersom den behandlingsansvarlige eller databehandleren har holdt seg innenfor de normer som gjelder, så kan dette virke formildende eller tilsi at bot ikke skal gis. Men forholdet må allikevel vurderes i det enkelte tilfelle, for det kan være at risikoen for brudd var så klart at ekstra aktsomhet eller tiltak skulle vært iverksatt.
- Andre skjerpende eller formildende faktor ved saken, f.eks. økonomiske fordeler som er oppnådd, eller tap som er unngått, direkte eller indirekte, som følge av overtredelsen. Dette viser at hver sak må vurderes for seg, og at det kan være forhold som ikke er nevnt ovenfor, som kan ha betydning for vurderingen.
I tillegg skal det være harmonisering av hvordan reglene etterleves i EU, slik at nivået på bøter som ilegges i andre land vil påvirke nivået på bøter som Datatilsynet ilegger i Norge.
Veiledningen har ikke mange eksempler som er vanlig for veiledninger fra Artikkel 29-gruppen, men det vil nok komme en rekke praktiske eksempler når forordningen får virkning etter 25. mai 2018.
Veiledningen finnes her. (pdf).