Logga in

Glömt ditt lösenord?

Kan man försäkra sig mot administrativa sanktionsavgifter?

dataskydd-Kan-man-forsakra-sig-mot-administrativa-sanktionsavgifter-huvudbild.jpg

Risken för höga administrativa sanktionsavgifter var en av de största nyheterna som tillkom i och med att GDPR trädde i kraft och har av naturliga skäl varit i fokus sedan dess. Möjligheten att kunna försäkra sig mot risken för att drabbas av dessa konsekvenser har debatterats flitigt genom åren. I denna analys går vår expert Didrik Värmon igenom frågan i ljuset av ett rättsligt ställningstagande från Finansinspektionen (FI 2023:1).

GDPR OCH ADMINISTRATIVA SANKTIONSAVGIFTER

I EU:s dataskyddsförordning (2016/679), GDPR, finns ett antal medel som tillsynsmyndigheten har till sitt förfogande för att få personuppgiftsansvariga och personuppgiftsbiträden att följa GDPR samt annan gällande lagstiftning inom dataskydd. Av artikel 58.2 GDPR framgår alla så kallade ”korrigerande befogenheter” som varje tillsynsmyndighet har till sitt förfogande. Där framgår att myndigheten bland annat har rätt att utfärda varningar, reprimander, olika typer av förelägganden samt begränsa eller rent av förbjuda viss personuppgiftsbehandling (artikel 58.2 a–j GDPR). Av samma artikel (artikel 58.2 i) framgår även att tillsynsmyndigheten har en möjlighet att påföra den personuppgiftsansvarige eller personuppgiftsbiträdet en administrativ sanktionsavgift i enlighet med artikel 83 GDPR.

Av artikel 83 GDPR framgår vissa särskilda bestämmelser som gäller vid påförandet av administrativa sanktionsavgifter. Enligt denna artikel (artikel 83.1) är det tillsynsmyndighetens ansvar att säkerställa att varje administrativ sanktionsavgift är effektiv, proportionerlig och avskräckande.

Hur avgörs beloppsnivån för en specifik sanktionsavgift?

Av artikel 83.2 framgår även de kriterier som ska beaktas vid beräkningen av en administrativ sanktionsavgift. Dessa kriterier ska fungera som ett hjälpmedel för att tillsynsmyndigheten ska kunna säkerställa att en administrativ sanktionsavgift faktiskt är dels effektiv och avskräckande, dels proportionerlig i förhållande till såväl brottets allvarlighetsgrad som storleken på den personuppgiftsansvariges omsättning. Utöver vad som direkt framgår av artikel 83.2 finns även riktlinjer publicerade av Europeiska dataskyddsstyrelsen (EDPB) för tolkningen artikel 83 GDPR. Dessa riktlinjer är primärt riktade mot tillsynsmyndigheter i deras arbete när de påför den personuppgiftsansvarige administrativa sanktionsavgifter men kan även läsas av andra för att öka förståelsen för hur myndigheterna tänkt vid val av beloppsnivå gällande administrativa sanktionsavgifter.

Det som ska beaktas vid val av beloppsnivå är följande:

  • a) Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit i åtanke.
  • b) Om överträdelsen skett med uppsåt eller genom oaktsamhet.
  • c) Om och vilka skadelindrande åtgärder som vidtagits. 
  • d) Graden av ansvar hos den personuppgiftsansvarige eller personuppgiftsbiträdet med beaktande av de tekniska och organisatoriska åtgärder som genomförts av dem i enlighet med artiklarna 25 och 32 GDPR.
  • e) Eventuella relevanta tidigare överträdelser som den personuppgiftsansvarige eller personuppgiftsbiträdet gjort sig skyldig till.
  • f) Hur väl man samarbetat med tillsynsmyndigheten för att korrigera överträdelsen och minska eventuellt negativa konsekvenser.
  • g) De kategorier av personuppgifter som påverkas av överträdelsen.
  • h) Det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom, särskilt huruvida och i vilken omfattning den personuppgiftsansvarige eller personuppgiftsbiträdet anmälde överträdelsen.
  • i) Om korrigerande åtgärder tidigare har förordnats mot den berörda personuppgiftsansvarige eller personuppgiftsbiträdet vad gäller samma sakfråga, samt hur väl dessa efterlevts.
  • j) Tillämpandet av godkända uppförandekoder i enlighet med artikel 40 eller godkända certifieringsmekanismer i enlighet med artikel 42 GDPR.
  • k) Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen.

Maxnivå för administrativa sanktionsavgifter?

Vad som räknats upp i föregående avsnitt är dock inte det enda som tillsynsmyndigheten har att förhålla sig till vid påförandet av en administrativ sanktionsavgift. Utöver de kriterier som ska beaktas enligt artikel 83.2 GDPR finns även ett maxtak gällande beloppsnivå i antingen artikel 83.4 eller artikel 83.5 GDPR beroende på brottets allvarlighet. För mindre allvarliga förseelser kan man som högst påföra en sanktionsavgift på 10 miljoner euro eller 2 procent av den personuppgiftsansvariges (om det gäller ett företag) globala omsättning. För allvarliga förseelser kan man som högst påföra en sanktionsavgift på 20 miljoner euro eller 4 procent av den personuppgiftsansvariges (om det gäller ett företag) globala omsättning.

FÖRSÄKRINGAR MOT ADMINISTRATIVA SANKTIONSAVGIFTER

I vårt samhälle har det sedan länge funnits försäkringar mot eventuellt ekonomiskt ansvar i form av ansvarsförsäkringar. Det kan till exempel handla om att en advokatbyrå försäkrar sig mot eventuella skadeståndsanspråk som uppstår till följd av felaktig rådgivning eller en byggfirma som försäkrar sig mot anspråk på grund av skador som uppstår inom ramen för ett byggnadsprojekt. Det är med andra ord ingen nyhet att företag försäkrar sig mot eventuella anspråk. Detta är snarare en nödvändig komponent i samhället då det möjliggör viss typ av risktagande och hjälper företag att undvika konkurser på grund av enstaka misstag.

Att försäkra sig mot administrativa sanktionsavgifter är emellertid någonting annat. Till skillnad från en normal ansvarsförsäkring som handlar om att man ersätts vid civilrättsliga anspråk, innebär en försäkring mot administrativa sanktionsavgifter att man försäkrar sig mot konsekvenserna av en direkt regelöverträdelse. En sådan försäkring skulle kunna underminera rättssystemet och motverka regelefterlevnad. Å andra sidan skulle man kunna argumentera för att vi har avtalsfrihet i Sverige och att detta faller under denna princip.

Finansinspektionens ståndpunkt

Finansinspektionen (FI) är den myndighet i Sverige som utövar tillsyn över försäkringsverksamhet. FI har publicerat ett rättsligt ställningstagande där denna myndighet förklarar sin syn på möjligheten att erbjuda försäkringar mot administrativa sanktionsavgifter eller böter och om det är förenligt med god försäkringsstandard att tillhandahålla sådana försäkringar.

Ett försäkringsföretags rörelse ska drivas enligt god försäkringsstandard (4 kap. 3 § försäkringsrörelselagen [2010:2043]). Med god försäkringsstandard menas enligt FI att verksamheten ska överensstämma med en kvalitativt tillfredsställande standard hos en representativ krets av försäkringsgivare.

När det gäller denna typ av försäkringar anser FI att det finns en risk att de leder till en minskad motivation att följa lagar och andra regler, eftersom de undanröjer de rättsliga konsekvenserna av överträdelserna. Sådana försäkringar motverkar själva syftet med böter och sanktionsavgifter. Med det i åtanke anser FI att det inte kan anses vara förenligt med god försäkringssed att erbjuda denna typ av försäkringar.

Sammanfattningsvis är det inte möjligt att som tillståndspliktig försäkringsgivare erbjuda försäkringar mot administrativa sanktionsavgifter enligt GDPR.

Giltighet enligt försäkringsavtalslagen

Utöver FI:s ställningstagande för möjligheten att erbjuda försäkringar mot administrativa sanktionsavgifter, bör även frågan analyseras i ljuset av försäkringsavtalslagen (2005:104), FAL. Enligt 6 kap. 1 § första stycket FAL kan försäkringsersättning betalas för varje lagligt intresse som omfattas av försäkringen. Bestämmelsen är för försäkringsavtalets del ett förtydligande av den allmänna principen att avtal som strider mot lag och goda seder saknar rättsverkan. Exempel på när denna bestämmelse blir aktuell är när det är fråga om ersättning till kriminella eller annars lagstridiga verksamheter.

Gällande försäkringar mot administrativa sanktionsavgifter innebär denna bestämmelse att avtalsvillkoret troligen inte är bindande för parterna då sådana försäkringar rör ett olagligt intresse (Bengtsson, Försäkringsavtalsrätt, kommentaren till 6 kap. 1 § FAL, Karnov den 1 augusti 2022). Utöver att det enligt FI inte är tillåtet att erbjuda sådana försäkringar, innebär försäkringen en risk för försäkringstagaren då försäkringsavtalet inte är bindande (och försäkringsgivaren saknar därmed plikt att betala ut försäkringen).

Sammanfattningsvis talar även denna lag emot möjligheten att kunna försäkra sig mot administrativa sanktionsavgifter enligt GDPR.

Av Didrik Värmon, dataskyddsjurist.
Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. de senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 13 nov 2023

Didrik Värmon

Regulatory Specialist, Max Matthiessen

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Dataskyddsförordningen GDPR ur ett skolperspektiv

Dataskyddsförordningen GDPR ur ett skolperspektiv

Grundkurs i informationssäkerhet – den praktiska tillämpningen

Grundkurs i informationssäkerhet – den praktiska tillämpningen

Öppna data-lagen och dess legala krav

Öppna data-lagen och dess legala krav

Se alla kurser inom it och dataskydd

Tjänster

Se alla tjänster inom it och dataskydd

Nyheter

Kraftig ökning av cyberangrepp under förra året

IT och dataskydd

Antalet försök till cyberangrepp ökade kraftigt mot statliga myndigheter och leverantörer av samhällsviktiga tjänster under 2023. Det framgår av MSB:s årsredovisning av it-incidentrapporter. 

8 apr 2024

Dömde kammarrätten rätt i MedHelp-målet?

IT och dataskydd

Vår expert Monika Wendleby går i den här analysen igenom avgörandet utifrån olika EU-rättskällor.

8 apr 2024

Värdet av spårbarhet ur GDPR-synvinkel

IT och dataskydd

I denna analys reder vår expert Jakob Söderbaum ut begreppen, beskriver behovet och förutsättningarna för att jobba med spårbarhet med utgångspunkt i GDPR, och framhåller värdet av spårbarhet i den digitala miljön ur dataskyddssynvinkel.

12 mar 2024

Se alla nyheter inom it och dataskydd

JP Infonets webbplatser använder cookies för att fungera på ett bra sätt. Genom att välja "acceptera" samtycker du till att cookies används. Läs mer

  • Inloggning och sessionshantering

    Kakor som används för att avgöra vilka sidvisningar som hör till samma användarbesök. Behövs för inloggning samt optimering.

    Cookie-namn:
    • .JpLogin
    • ASP.NET_SessionId
    Godkännande av kakor

    Denna kaka används för att hålla reda på vilka kakor som användaren accepterat att vi lagrar.

    Cookie-namn:
    • jp-cookies
    Federerad inloggning

    Denna kaka sätts för användare som använder federerad inloggning.

    Cookie-namn:
    • FedAuth
    Kursutvärderingar

    Denna kaka sätts för användare som skickat in kursutvärderingar.

    Cookie-namn:
    • CourseEvaluations
  • Filnedladdning

    Denna kaka håller reda på om användaren har lämnat sin e-postadress när den ska ladda ner en fil från den publika sajten.

    Cookie-namn:
    • JP_Download
    Webbkursexaminationer

    Kakan möjliggör för webbkursexamintioner för användare utan personligt konto.

    Cookie-namn:
    • ExamStudentId
    Solidtango

    Kaka som används för uppspelning av video. Används för att hålla en anonym användarsession.

    Cookie-namn:
    • JSESSIONID
    • _fanplay_session
    Twitter

    Sparar språkval för Twitter-flödet.

    Cookie-namn:
    • lang
    Google Analytics

    Denna kaka används för att särskilja användare.

    Cookie-namn:
    • _gali
    Form Apsis One

    Denna kaka används för inbäddade formulär.

    Cookie-namn:
    • form.apsis.one
  • Google Analytics

    Kakor som används för besöksmätning.

    Cookie-namn:
    • _ga
    • _gid
    • _gat
    Hot Jar

    Dessa kakor används för webbanalys funktionalitet och tjänster från hotjar.

    Cookie-namn:
    • _hjIncludedInSample
    • _hjid
    Upplysningscentralen (UC)

    Används för risksigillet i sidfoten på publik sajt.

    Cookie-namn:
    • www.uc.se
    Apsis One

    Används för att analysera användarbeteende och skräddarsy marknadsföring.

    Cookie-namn:
    • Apsis One
  • Google Advertising

    Kakor för Google Advertising

    Cookie-namn:
    • test_cookie
    • IDE
    ProspectEye (Apsis Lead)

    Kaka för att spara IP-adresser för att identifiera företag eller organisationer som besöker webbsidan.

    Cookie-namn:
    • 3135848f46