Kan man försäkra sig mot administrativa sanktionsavgifter?
Risken för höga administrativa sanktionsavgifter var en av de största nyheterna som tillkom i och med att GDPR trädde i kraft och har av naturliga skäl varit i fokus sedan dess. Möjligheten att kunna försäkra sig mot risken för att drabbas av dessa konsekvenser har debatterats flitigt genom åren. I denna analys går vår expert Didrik Värmon igenom frågan i ljuset av ett rättsligt ställningstagande från Finansinspektionen (FI 2023:1).
GDPR OCH ADMINISTRATIVA SANKTIONSAVGIFTER
I EU:s dataskyddsförordning (2016/679), GDPR, finns ett antal medel som tillsynsmyndigheten har till sitt förfogande för att få personuppgiftsansvariga och personuppgiftsbiträden att följa GDPR samt annan gällande lagstiftning inom dataskydd. Av artikel 58.2 GDPR framgår alla så kallade ”korrigerande befogenheter” som varje tillsynsmyndighet har till sitt förfogande. Där framgår att myndigheten bland annat har rätt att utfärda varningar, reprimander, olika typer av förelägganden samt begränsa eller rent av förbjuda viss personuppgiftsbehandling (artikel 58.2 a–j GDPR). Av samma artikel (artikel 58.2 i) framgår även att tillsynsmyndigheten har en möjlighet att påföra den personuppgiftsansvarige eller personuppgiftsbiträdet en administrativ sanktionsavgift i enlighet med artikel 83 GDPR.
Av artikel 83 GDPR framgår vissa särskilda bestämmelser som gäller vid påförandet av administrativa sanktionsavgifter. Enligt denna artikel (artikel 83.1) är det tillsynsmyndighetens ansvar att säkerställa att varje administrativ sanktionsavgift är effektiv, proportionerlig och avskräckande.
Hur avgörs beloppsnivån för en specifik sanktionsavgift?
Av artikel 83.2 framgår även de kriterier som ska beaktas vid beräkningen av en administrativ sanktionsavgift. Dessa kriterier ska fungera som ett hjälpmedel för att tillsynsmyndigheten ska kunna säkerställa att en administrativ sanktionsavgift faktiskt är dels effektiv och avskräckande, dels proportionerlig i förhållande till såväl brottets allvarlighetsgrad som storleken på den personuppgiftsansvariges omsättning. Utöver vad som direkt framgår av artikel 83.2 finns även riktlinjer publicerade av Europeiska dataskyddsstyrelsen (EDPB) för tolkningen artikel 83 GDPR. Dessa riktlinjer är primärt riktade mot tillsynsmyndigheter i deras arbete när de påför den personuppgiftsansvarige administrativa sanktionsavgifter men kan även läsas av andra för att öka förståelsen för hur myndigheterna tänkt vid val av beloppsnivå gällande administrativa sanktionsavgifter.
Det som ska beaktas vid val av beloppsnivå är följande:
- a) Överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit i åtanke.
- b) Om överträdelsen skett med uppsåt eller genom oaktsamhet.
- c) Om och vilka skadelindrande åtgärder som vidtagits.
- d) Graden av ansvar hos den personuppgiftsansvarige eller personuppgiftsbiträdet med beaktande av de tekniska och organisatoriska åtgärder som genomförts av dem i enlighet med artiklarna 25 och 32 GDPR.
- e) Eventuella relevanta tidigare överträdelser som den personuppgiftsansvarige eller personuppgiftsbiträdet gjort sig skyldig till.
- f) Hur väl man samarbetat med tillsynsmyndigheten för att korrigera överträdelsen och minska eventuellt negativa konsekvenser.
- g) De kategorier av personuppgifter som påverkas av överträdelsen.
- h) Det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom, särskilt huruvida och i vilken omfattning den personuppgiftsansvarige eller personuppgiftsbiträdet anmälde överträdelsen.
- i) Om korrigerande åtgärder tidigare har förordnats mot den berörda personuppgiftsansvarige eller personuppgiftsbiträdet vad gäller samma sakfråga, samt hur väl dessa efterlevts.
- j) Tillämpandet av godkända uppförandekoder i enlighet med artikel 40 eller godkända certifieringsmekanismer i enlighet med artikel 42 GDPR.
- k) Eventuell annan försvårande eller förmildrande faktor som är tillämplig på omständigheterna i fallet, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen.
Maxnivå för administrativa sanktionsavgifter?
Vad som räknats upp i föregående avsnitt är dock inte det enda som tillsynsmyndigheten har att förhålla sig till vid påförandet av en administrativ sanktionsavgift. Utöver de kriterier som ska beaktas enligt artikel 83.2 GDPR finns även ett maxtak gällande beloppsnivå i antingen artikel 83.4 eller artikel 83.5 GDPR beroende på brottets allvarlighet. För mindre allvarliga förseelser kan man som högst påföra en sanktionsavgift på 10 miljoner euro eller 2 procent av den personuppgiftsansvariges (om det gäller ett företag) globala omsättning. För allvarliga förseelser kan man som högst påföra en sanktionsavgift på 20 miljoner euro eller 4 procent av den personuppgiftsansvariges (om det gäller ett företag) globala omsättning.
FÖRSÄKRINGAR MOT ADMINISTRATIVA SANKTIONSAVGIFTER
I vårt samhälle har det sedan länge funnits försäkringar mot eventuellt ekonomiskt ansvar i form av ansvarsförsäkringar. Det kan till exempel handla om att en advokatbyrå försäkrar sig mot eventuella skadeståndsanspråk som uppstår till följd av felaktig rådgivning eller en byggfirma som försäkrar sig mot anspråk på grund av skador som uppstår inom ramen för ett byggnadsprojekt. Det är med andra ord ingen nyhet att företag försäkrar sig mot eventuella anspråk. Detta är snarare en nödvändig komponent i samhället då det möjliggör viss typ av risktagande och hjälper företag att undvika konkurser på grund av enstaka misstag.
Att försäkra sig mot administrativa sanktionsavgifter är emellertid någonting annat. Till skillnad från en normal ansvarsförsäkring som handlar om att man ersätts vid civilrättsliga anspråk, innebär en försäkring mot administrativa sanktionsavgifter att man försäkrar sig mot konsekvenserna av en direkt regelöverträdelse. En sådan försäkring skulle kunna underminera rättssystemet och motverka regelefterlevnad. Å andra sidan skulle man kunna argumentera för att vi har avtalsfrihet i Sverige och att detta faller under denna princip.
Finansinspektionens ståndpunkt
Finansinspektionen (FI) är den myndighet i Sverige som utövar tillsyn över försäkringsverksamhet. FI har publicerat ett rättsligt ställningstagande där denna myndighet förklarar sin syn på möjligheten att erbjuda försäkringar mot administrativa sanktionsavgifter eller böter och om det är förenligt med god försäkringsstandard att tillhandahålla sådana försäkringar.
Ett försäkringsföretags rörelse ska drivas enligt god försäkringsstandard (4 kap. 3 § försäkringsrörelselagen [2010:2043]). Med god försäkringsstandard menas enligt FI att verksamheten ska överensstämma med en kvalitativt tillfredsställande standard hos en representativ krets av försäkringsgivare.
När det gäller denna typ av försäkringar anser FI att det finns en risk att de leder till en minskad motivation att följa lagar och andra regler, eftersom de undanröjer de rättsliga konsekvenserna av överträdelserna. Sådana försäkringar motverkar själva syftet med böter och sanktionsavgifter. Med det i åtanke anser FI att det inte kan anses vara förenligt med god försäkringssed att erbjuda denna typ av försäkringar.
Sammanfattningsvis är det inte möjligt att som tillståndspliktig försäkringsgivare erbjuda försäkringar mot administrativa sanktionsavgifter enligt GDPR.
Giltighet enligt försäkringsavtalslagen
Utöver FI:s ställningstagande för möjligheten att erbjuda försäkringar mot administrativa sanktionsavgifter, bör även frågan analyseras i ljuset av försäkringsavtalslagen (2005:104), FAL. Enligt 6 kap. 1 § första stycket FAL kan försäkringsersättning betalas för varje lagligt intresse som omfattas av försäkringen. Bestämmelsen är för försäkringsavtalets del ett förtydligande av den allmänna principen att avtal som strider mot lag och goda seder saknar rättsverkan. Exempel på när denna bestämmelse blir aktuell är när det är fråga om ersättning till kriminella eller annars lagstridiga verksamheter.
Gällande försäkringar mot administrativa sanktionsavgifter innebär denna bestämmelse att avtalsvillkoret troligen inte är bindande för parterna då sådana försäkringar rör ett olagligt intresse (Bengtsson, Försäkringsavtalsrätt, kommentaren till 6 kap. 1 § FAL, Karnov den 1 augusti 2022). Utöver att det enligt FI inte är tillåtet att erbjuda sådana försäkringar, innebär försäkringen en risk för försäkringstagaren då försäkringsavtalet inte är bindande (och försäkringsgivaren saknar därmed plikt att betala ut försäkringen).
Sammanfattningsvis talar även denna lag emot möjligheten att kunna försäkra sig mot administrativa sanktionsavgifter enligt GDPR.
Av Didrik Värmon, dataskyddsjurist.
Ursprungligen publicerad i JP ITnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. de senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 13 nov 2023
Regulatory Specialist, Max Matthiessen