Företag riskerar GDPR-avgifter i miljardklassen för bristande informationssäkerhet

Jonas Ledendal

Lagförslag | Sverige | 2019-07-18

För något mer än ett år sedan, den 25 maj 2018, blev EU:s dataskyddsförordning (GDPR) tillämplig i Sverige och alla andra medlemsstater.

För något mer än ett år sedan, den 25 maj 2018, blev EU:s dataskyddsförordning (GDPR) tillämplig i Sverige och alla andra medlemsstater. En av de uppmärksammade nyheterna var möjligheten att påföra höga sanktionsavgifter vid en överträdelse av förordningen. Datainspektionen, den svenska tillsynsmyndigheten, har sedan förra året inlett ett flertal granskningar enligt det nya regelverket, men ännu inte använt sig av denna möjlighet. Sanktionsavgifter har däremot förekommit i ett antal andra medlemsstater, men varit förhållandevis blygsamma. Den hittills högsta avgiften uppgick till 50 miljoner EUR (ca. 529 miljoner svenska kronor) och påfördes Google av tillsynsmyndigheten i Frankrike. Förra veckan meddelade dock den brittiska tillsynsmyndigheten, Information Commissioners Office (ICO), att den avser att påföra British Airways respektive hotellkoncernen Marriott International de första GDPR-avgifterna i miljardklassen.

British Airways och Marriott International

I ett tillkännagivande den 8 juli 2019 meddelade ICO att myndigheten hade för avsikt att påföra British Airways en sanktionsavgift på 183 miljoner GBP (ca. 2,1 miljarder svenska kronor) för överträdelse av GDPR, vilket motsvarar 1,5 % av bolagets totala årsomsättning 2017. I september 2018 anmälde British Airways till ICO att de hade utsatts för ett dataintrång som berörde ca 500 000 kunders personuppgifter. Personuppgiftsincidenten omfattade bl.a. inloggningsuppgifter, kontokortsuppgifter, namn, adress och bokningsuppgifter. Efter en omfattande granskning fann den brittiska tillsynsmyndigheten att incidenten möjliggjorts på grund av flygbolagets bristande informationssäkerhet. Dataintrånget bestod i att trafik till British Airways officiella webbplats styrdes om till en falsk webbplats som utgav sig för att vara flygbolagets. På den falska webbplatsen samlade nätbedragarna härefter in kundernas uppgifter. Säkerhetsföretaget RiskIQ har gjort bedömningen att det troligen rörde sig om en s.k. ”cross-site scripting attack”, vilket innebär att hackare utnyttjar en sårbarhet för att injicera skadlig kod på en webbplats. I ett annat tillkännagivande den 9 juli 2019 meddelade ICO att myndigheten hade för avsikt att även påföra hotell- och restaurangkoncernen Marriott International en avgift på 99 miljoner GBP (ca. 1,2 miljarder svenska kronor) för en liknande överträdelse av GDPR. Personuppgiftsincidenten, som anmäldes till ICO i november 2018, berörde 339 miljoner kunders personuppgifter, varav ca. 30 miljoner var bosatta i EES. Incidenten tros ha haft sin upprinnelse i ett intrång som skedde 2014 i hotellkedjan Starwoods datasystem. Ett bolag som Marriott förvärvade 2016. Den brittiska tillsynsmyndigheten anser att Marriott brustit i sin ”due diligence” i samband med förvärvet samt att bolaget även kunde ha gjort mer för att säkra sina datasystem. ICO:s ställningstaganden är inte slutliga och båda bolagen har nu möjlighet att yttra sig till myndigheten. Både British Airways och Marriott har meddelat att de har för avsikt att bestrida.

Säkerhet för personuppgifter

Den gemensamma nämnaren i de ovanstående ärendena är att den personuppgiftsansvarige enligt tillsynsmyndigheten inte uppfyllt dataskyddsförordningens krav på säkerhet för personuppgifter. Det är inte olagligt att bli utsatt för dataintrång, men förordningen ställer krav på att den personuppgiftsansvarige enligt artikel 5.1 f i GDPR behandlar personuppgifterna på ett sätt som säkerställer lämplig säkerhet för dessa (principen om integritet och konfidentialitet). Syftet med bestämmelsen är att förhindra eller förebygga en personuppgiftsincident, såsom dataintrång, men även att personuppgifter raderas eller ändras av en olyckshändelse, såsom ett datahaveri. För att uppfylla sin skyldighet måste den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder. En precisering av hur långt skyldigheten sträcker sig och vilka åtgärder som måste vidtas framgår av artikel 32 i GDPR. Skyldigheten att vidta sådana åtgärder följer den risk-baserade ansats som kännetecknar hela den nya unionsrättsliga dataskyddsregleringen. En skyddsåtgärd ska vara proportionerlig till den risk som behandlingen innebär för de registrerades fri- och rättigheter. Åtgärderna ska minska denna risk och inte vara mer långtgående än vad som är nödvändigt bl.a. med hänsyn till incidentens sannolikhet och allvar. Om en personuppgiftsincident ändå inträffar måste den personuppgiftsansvarige enligt artikel 33 i GDPR utan onödigt dröjsmål, senast inom 72 timmar, anmäla detta till den behöriga tillsynsmyndigheten. När det finns en hög risk för de registrerade ska enligt artikel 34 i GDPR även dessa skyndsamt underrättas.

Det som i första hand är olagligt är alltså att inte ha vidtagit tillräckliga åtgärder för att minska risken för en incident samt i andra hand att underlåta att i tid anmäla en sådan till tillsynsmyndigheten. Kraven på informationssäkerhet i samband med behandling av personuppgifter är heller inte nya, utan motsvarande regler fanns i 1995 års dataskyddsdirektiv och den numera upphävda svenska personuppgiftslagen (PUL). Det rör sig alltså inte primärt om höjda krav, utan en precisering av de krav som gällt sedan tidigare. Det som i första hand tillkommit genom GDPR är att det krav på incidentanmälan och att informera registrerade, som tidigare fanns i det sektorsspecifika direktivet om integritet och elektronisk kommunikation i allt väsentligt förts över till dataskyddsförordningen. I samband med EU:s dataskyddsreform tillkom dock även annan lagstiftning om förbättrad säkerhet i nätverk och informationssystem. Nya krav på säkerhet har införts genom lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (informationssäkerhetslagen), som trädde i kraft den 1 augusti 2018 och införlivar direktiv (EU) 2016/1148.

Sanktionsavgifter och ansvar

Genom principen om ansvarsskyldighet i EU:s dataskyddsförordning förtydligas också att det är den personuppgiftsansvarige som har ansvar för att vidta dessa åtgärder samt att kunna visa att behandlingen lever upp till förordningens krav (artikel 5.2 i GDPR). När det gäller säkerhetsåtgärder har ett personuppgiftsbiträde, den som utför behandling för någon annans räkning, dessutom en egen fristående skyldighet att vidta sådana åtgärder. Den som överträder förordningen kan drabbas av höga sanktionsavgifter, som för företag kan uppgå till 20 miljoner EUR eller upp till 4 % av den totala globala årsomsättningen (artikel 83.5 i GDPR). Om överträdelsen avser bristande säkerhetsåtgärder, underlåtenhet att anmäla en incident eller att underrätta de registrerade om en sådan, gäller dock ett tak på 10 miljoner EUR eller 2 % av årsomsättningen. För svenska myndigheter kan avgiften enligt 6 kap. 2 § dataskyddslagen dessutom som mest uppgå till 20 miljoner respektive 10 miljoner kronor. Det senare är tillåtet enligt GDPR (artikel 83.7 i GDPR), men kan potentiellt snedvrida konkurrensen när stat eller kommun bedriver konkurrensutsatt verksamhet i myndighetsform. Exempelvis såsom är fallet med kommunala grund- och gymnasieskolor. Sanktionsavgifter på upp till 10 miljoner kronor kan också tas ut enligt informationssäkerhetslagen. Det som förändrats med GDPR är alltså i första hand möjligheten att utkräva ansvar för bristande informationssäkerhet och andra överträdelser. Här spelar möjligheten att påföra sanktionsavgifter en viktig avskräckande roll.

Under de första nio månaderna sedan GDPR blev tillämplig anmäldes sammanlagt 64 684 incidenter till de nationella tillsynsmyndigheterna. Av dessa utgjorde 2 263 anmälningar till Datainspektionen under 2018. Sanktionsavgifter har som nämnts ovan hittills aldrig använts i Sverige och har varit förhållandevis blygsamma i andra medlemsstater. En tysk social media-plattform (”Knuddels.de”) som utsattes för ett dataintrång och hade lagrat 330 000 användarnas lösenord okrypterat – en allvarlig säkerhetsbrist – påfördes exempelvis endast en avgift på 20 000 EUR (ca. 211 000 svenska kronor). Det är förståndigt av de europeiska dataskyddstillsynsmyndigheterna att inte tävla om vem som kan ta ut den högsta avgiften, men för systemets trovärdighet måste avgifterna vara kännbara. De första nio månadernas sammanlagda sanktionsavgifter i hela EU/EES uppgick till 55 955 871 EUR, varav 90 % utgjordes av den ovannämnda avgift som Google påfördes i Frankrike. Den senare var förvisso hög, men knappast avskräckande för ett företag som omsatte 136 miljarder USD under förra året. Erfarenheterna från PUL visar dessvärre att regleringen måste ha tänder för att dataskyddskulturen ska förändras på ett avgörande sätt. Det är därför, utan att föregripa utgången i British Airways och Marriott, intressant att tillsynsmyndigheterna börjat använda den övre skalan i påföljdssystemet. Det är också intressant att följa utgången i bl.a. de tillsynsärenden som Datainspektionen inlett med anledning av den uppmärksammade läckan av personuppgifter i de system som användes av 1177 Vårdguiden. Att slarva med IT-säkerheten bör inte löna sig.

EU