Sanktioner för brott mot GDPR

2019-02-01

Nu har de första sanktionerna för brott mot GDPR sett dagens ljus.

Österrike (oktober 2018)

Första sanktionsavgiften beslutades av den österrikiska dataskyddsmyndigheten (DSB) efter att reglerna varit gällande i 4 månader. Sanktionsavgiften uppgick till 4 800 €. Ett företag hade installerat en kamera framför sitt verksamhetsställe och spelade in en stor del av trottoaren. Kameran var dessutom inte tillräcklig märkt för att informera om videoövervakningen. Vilket innebar att företaget brutit mot art 13 i GDPR. https://www.pressreader.com/austria/salzburger-nachrichten/20180919/281801399873241. Hundra dagar efter att GDPR trätt i kraft har den Österrikiska myndigheten 115 sanktionsavgiftsfall varav 79 från tiden innan den 25 maj 2018 och myndigheten har företagit 58 ex officio tillsynsärenden. 252 personuppgiftsincidenter har notifierats, https://www.trend.at/branchen/digital/tage-dsgvo-wutmails-10340789.

2. Tyskland (November 2018)
En tysk chat-plattform (knuddels.de) fick betala 20 000 € efter en personuppgiftsincident som gjorde att 330 000 användares personliga information inklusive lösenord och e-postadresser efter en hackerattack offentliggjordes på två webbsidor. Företaget hade lagrat lösenorden i klartext och bröt därför mot artikel 32.1 a i GDPR. Det var företaget självt som rapporterade incidenten till dataskyddsmyndigheten. Den lokala tyska dataskyddsmyndigheten berömde den personuppgiftsansvariga för dess samarbete och transparens rörande incidenten. Detta, tillsammans med den finansiella bördan som sanktionsavgiften skulle innebära för företaget, samt övriga omständigheter gjorde att sanktionsavgiften blev förhållandevis låg.  https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/

 3. Portugal (December 2018)

Ett portugisiskt sjukhus Centro Hospitalar Barreiro Montijo (CHBM) drabbades av två sanktionsavgifter uppgående till totalt 400 000 €. Vid en tillsyn genomförd av den portugisiska dataskyddsmyndigheten (Comissao Nacional de Proteccao de Dados (CNDP)) upptäcktes att det fanns 985 registrerade läkare i systemet med tillgång till patientuppgifter. Med det fanns endast 295 anställda läkare vid sjukhuset. Icke-klinisk personal kunde registrera ”medicinska” profiler för att få tillgång till patientuppgifter.

Dataskyddsmyndigheten kunde upprätta ett test-konto med samma obegränsade tillgång till uppgifter och det klarlades att nio socialarbetare hade fått tillgång till hemliga patientuppgifter. De två sanktionsavgifterna bestod av en på 300 000 € för att CHBM inte kunde skydda patienternas uppgifter och begränsa tillgången till patientuppgifterna. Den andra på 100 000 € beslutades för att CHBM inte kunde försäkra konfidentialitet, riktighet eller tillgänglighet och tillräcklig robusthet i it-systemet för patientbehandlingar.

Beslutet är överklagat.

4. Frankrike (2019)

Den franska dataskyddsmyndigheten CNIL har beslutat om sanktionsavgift på 50 miljoner € för att inte följt bestämmelserna i GDPR. Google ansåg att det var den Irländska myndigheten som skulle pröva fallet eftersom Googles Europeiska huvudkontor ligger där men CNIL lät sig inte övertygas och menade istället att Google LLC (det amerikanska bolaget) inte hade något huvudkontor i Europa och att den gällande uppfattningen är att alla dataskyddsmyndigheter har jurisdiktion över företaget. Utöver detta så frågade CNIL alla dataskyddsmyndigheter i EU om de ansåg sig ha ensam jurisdiktion över Google LLC, och ingen myndighet ansåg att så var fallet.

Google hade inte tillhandahållit tillräcklig information till användarna om deras dataskyddspolicy och har inte gett användarna tillräcklig kontroll över hur deras personuppgifter används. Bland annat genom att när man köpt en ny Android-telefon så tillhandahölls inte informationen i förhand, man kan i princip aktivera operativsystemet utan att registrera ett Google-konto men samtidigt anges att enheten fungerar bättre med ett Google-konto. Google anses bryta mot artikel 12.1 och 13.1. Google menade att de uppfyllde kriterierna i artiklarna. CNIL ansåg emellertid att informationen enligt art. 12.1 inte är tillräckligt klar och tydlig eftersom man inte i förhand får information om hur informationen ska användas. Vilket är särskilt viktigt när det rör komplexa, tekniska eller oförutsägbara personuppgiftsbehandlingar.  Informationen enligt artikel 13 var dessutom spridd i flera olika dokument; ”Privacy Policy” och ”Terms of Use”. Dokumenten var dessutom klickbara vilket gör informationen fragmenterad och svår att överblicka. Givet detta ansåg CNIL att informationen om personuppgiftsbehandlingen var för svår att hitta för användarna.

För att få information om hur geo-data används måste man först gå igenom ”Review the Privacy Policy och Terms of Service” sedan klicka på ”more options”, sedan klicka på ”Learn more” för att kunna se lokalisationshistoriken och se den tillgängliga texten.

I de två exemplen var man tvungen att utföra minst fem olika aktiva åtgärder för att få tillgång till informationen, sex när det gällde geo-data.

För att få information om hur länge uppgifter sparas är det först efter fyra klick som man kan få tillgång till informationen.

Kombinationen av ett stort antal olika åtgärder för att få information med icke tydliga rubriker på dokumenten uppfyller inte kravet på tillräckligt klar och tydlig information om personuppgiftsbehandlingen. CNIL konstaterar dessutom att den personuppgiftsansvariges databehandling är mycket omfattande och ingående. Den personuppgiftsansvarige samlar data från en mängd olika källor från den som använder telefonen som e-post (Gmail), Youtube, Google Home, Google sökningar, Playstore, Google Photo, Google Play, Google translate, Play books, Google maps och användarens aktiviteter när denna använder tredjepartsapplikationer som använder Google Analytics. Givet den stora mängd och olika typer av data som inhämtas och behandlas är det tydligt att användarna har svårt att överblicka konsekvenserna av behandlingen. Liksom hur hela livscykeln av personuppgifter behandlas av den personuppgiftsansvariga.

Utöver detta har Google – som förlitar sig på samtycke för sin personuppgiftsbehandling – brutit mot artikel 4.11 och 7 i GDPR om grunderna och villkoren för samtycke. När en användare vill ändra vissa parametrar i användarkontot måste användaren klicka på ”more options”. På samma sätt när en användare skapar ett konto för första gången måste användaren klicka på ”more options” innan man klickar på skapa konto för att kunna se och ändra hur personuppgiftsbehandlingen utförs. De personliga inställningarna för kontot är dessutom förinställt så att personuppgiftsbehandling för individualiserad marknadsföring godkänns vilket betyder att användaren aktivt måste avsäga sig denna personuppgiftsbehandling om man inte accepterar sådan personuppgiftsbehandling.  Om inte användaren klickar på ”more options” måste användaren acceptera användarvillkoren för Google och godkänner att Google får använda informationen som i enlighet med vad som angetts i villkoren och i ”privacy policy:n” för att kunna färdigställa kontot. CNIL noterar att även om användaren har möjlighet att göra ändringar innan kontot skapas så måste användare vidta en aktiv åtgärd för att få tillgång till alternativen för kontots inställningar. Användare kan därmed skapa kontot och acceptera alla behandlingar utan att använda funktionen ”more options” och se vilken personuppgiftsbehandling som godkänns. Därför anser CNIL att samtycke inte är inhämtat på rätt sätt genom att det inte lämnats som en aktiv handling där användare specifikt och uttryckligt godkänt behandlingen. Förfarandet innebär således inte inhämtande av ett giltigt samtycke. Att alla behandlingar dessutom är förinställda som godkända och denna möjlighet var inte heller översatt utan lämnades på engelska. Samtycke till personuppgiftsbehandling kan inte heller lämnas genom samma handling genom vilken man godkänner villkor för användning av en viss produkt. Förinställda godkännanden eller opt-out behandlingar som kräver en aktiv handling för att slippa behandling accepteras inte. Samtycke för behandling av personuppgifter för individualiserad marknadsföring ansågs mot bakgrund av detta inte inhämtad på ett sätt som är i enlighet med GDPR.

Varför blev sanktionsavgiften så hög?

  1. Brottet rör grundläggande bestämmelser i GDPR om lagligheten av personuppgiftsbehandlingar.
  2. Google har ännu inte kommit till rätta med dessa problem och den olagliga behandlingen pågick fortfarande när beslutet fattades.
  3.  Allvarligheten av den aktuella överträdelsen påverkas av att pressuppgifter avseende miljontals användare behandlas olagligt och att Google genomför en mycket omfattande personuppgiftsbehandling. Bristen på transparens rörande denna omfattande behandling samt bristen på samtycke för individualiserad marknadsföring är ett allvarligt brott på skyddet för enskildas privatliv.
  4. Ovan nämnda omständigheter ska också kontrasteras med Googles affärsmodell, särskilt rörande behandlingen av personuppgifter och den nytta som Google drar av dessa behandlingar.

Sammantaget har hänsyn även tagits till Googles ställning på marknaden för operativsystem, allvarligheten i bristerna och beslutets allmänna signalvärde.

Även om en sanktionsavgift på 50 miljoner € kan uppfattas som mycket pengar så är det lågt i förhållande till vad som kan dömas ut enligt GDPR. Maximalt belopp som kan dömas ut är 4 % av omsättningen vilken för Google koncernen uppgick till cirka 34 miljarder $ enbart för sista kvartalet 2017.

 Google har ännu inte angett som de ska överklaga beslutet, de har fyra månader på sig att bestämma sig.

5. Sverige (2019)

Datainspektion har i oktober 2018 gjort en bred granskning av dataskyddsombuden för 362 verksamheter som är skyldiga att utse personuppgiftsombud. 66 verksamheter har granskats närmare, av dessa var 35 myndigheter och 31 privata aktörer. Av dessa verksamheter har de som redan utsett personuppgiftsombud (7 verksamheter) när regelverket trätt i kraft och de som inte är skyldiga att anmäla personuppgiftsombud avslutats utan åtgärd. I 57 ärenden har datainspektionen tilldelat verksamheten en reprimand för att inte ha utsett och anmält ett dataskyddsombud. Sanktionsavgift kan dömas ut, men på grund av den korta tiden som förordningen varit gällande. Två verksamheter, som varken utsett eller meddelat kontaktuppgifter till dataskyddsombudet till Datainspektionen har erhållit föreläggande av myndigheten. Här finns en sammanställning med information om vilka företag och myndigheter som ingick i tillsynen och om de fick en reprimand eller inte.

Datainspektionen har inlett tillsyn mot Google den 21 januari 2019 efter anmälan av Sveriges konsumenter. Tillsynen rör hur Google skaffar sig tillgång till lokalisationsuppgifter av användare som använder mobiltelefonoperativsystemet Android genom det så kallade ”Location History” och ”Web & App Activity” som skulle kunna vara i strid med artiklarna 5, 6, 7, 12, 13 och 25 i GDPR.  Datainspektionen har ställt ett antal frågor till Google som ska besvaras senast den 1 februari 2019, se länk ovan.

Vem får skörda frukterna av sanktionsavgifterna? 

Sanktionsavgifterna tillfaller staten i det land som dömer ut dem 6 kap. 5 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.