139 Prop. 2017/18:105 underlåtelse att rätta sig efter tillsynsmyndighetens förelägganden eller
beslut. En avgift kan då påföras med det högre maxbeloppet, dvs.
20 000 000 EUR eller 4 procent av den globala årsomsättningen, beroende på vilket belopp som är högst (artikel 83.5 e och 83.6).
Sanktionsavgiften fyller i dessa fall en vitesliknande funktion.
16.2 Sanktionsavgifter inom offentlig sektor
Regeringens förslag: Tillsynsmyndigheten får ta ut sanktionsavgifter även av statliga och kommunala myndigheter vid överträdelser av bestämmelserna i EU:s dataskyddsförordning. För mindre allvarliga överträdelser ska avgiften uppgå till högst 5 000 000 kronor och för allvarligare överträdelser till högst 10 000 000 kronor. Vid bestäm-mandet av avgiftens storlek i det enskilda fallet ska dataskydds-förordningens bestämmelser tillämpas.
Utredningens förslag överensstämmer delvis med regeringens. Utred-ningen föreslår högre maxbelopp. Vidare föreslår utredUtred-ningen att bestäm-melsens hänvisning till dataskyddsförordningen ska vara dynamisk, se avsnitt 5.1.2. Utredningens förslag har även en delvis annan utformning.
Remissinstanserna: En majoritet av remissinstanserna tillstyrker utredningens förslag eller har inga synpunkter på det. Ett antal instanser, bl.a. Polismyndigheten, Försäkringskassan och Myndigheten för vård- och omsorgsanalys, avstyrker förslaget i dess helhet. Några av de instanser som instämmer i att sanktionsavgifter ska kunna tas ut av myndigheter, bl.a. Företagarna och Stiftelsen för internetinfrastruktur, anser att avgiften ska uppgå till lika höga maxbelopp som för enskilda.
Andra remissinstanser som instämmer i utredningens bedömning i denna del, t.ex. Centrala studiestödsnämnden, Göteborgs universitet, Trafik-verket och Sveriges Kommuner och Landsting, anser att maxbeloppet tvärtom bör vara lägre än vad utredningen föreslår. Vidare menar några remissinstanser, bl.a. Statens skolverk, Falköpings kommun och Östergötlands läns landsting, att beloppet bör vara beroende av myndighetens storlek eller budgetram. Falköpings kommun och Jönköpings läns landsting anser att det behöver klargöras om kommunala bolag omfattas av förslaget.
Skälen för regeringens förslag: Enligt artikel 83.7 är det upp till varje medlemsstat att fastställa regler om och i vilken utsträckning sank-tionsavgifter ska kunna påföras offentliga myndigheter och organ i den medlemsstaten. Utredningen föreslår att svenska myndigheter ska kunna påföras sanktionsavgifter vid överträdelser av dataskyddsregleringen, dock med lägre högsta belopp än de som enligt dataskyddsförordningen gäller för privata aktörer.
Enligt regeringsformens terminologi, som bör användas även vid tolkningen av dataskyddsförordningen (se avsnitt 8.1), är alla offentliga organ utom riksdagen och kommun- och landstingsfullmäktige myndig-heter. Privaträttsliga organ är varken myndigheter eller offentliga organ, även om de utövar offentlig makt. Med anledning av Falköpings kommuns och Jönköpings läns landstings synpunkt kan det således konstateras att kommunala bolag bör anses som privata organ vid
Prop. 2017/18:105
140
tillämpningen av dataskyddsförordningen och att de därmed inte omfattas av utredningens förslag. Däremot omfattas de av de direkt tillämpliga bestämmelserna om sanktionsavgifter i dataskyddsförord-ningen.
Flera av de remissinstanser som är kritiska till utredningens förslag om att sanktionsavgifter ska kunna tas ut av myndigheter ifrågasätter sanktionsavgifternas effektivitet, främst i förhållande till statliga myndig-heter. Till exempel menar Göteborgs universitet att betalningen av en hög avgift minskar utrymmet för myndigheten att fullgöra sitt egentliga uppdrag och att sanktionsavgifter därför kan leda till att ytterligare medel måste tillföras, vilket skapar en rundgång i statskassan. Vidare framför bl.a. Polismyndigheten och Försäkringskassan att det i den offentliga sektorn − i motsats till den privata sektorn – redan finns en straffrättslig sanktion i form av tjänstefelsansvar, vilket vid sidan av möjligheten att vidta disciplinära åtgärder utgör ett skydd mot att enskilda tjänstemän i offentlig verksamhet gör sig skyldiga till grövre överträdelser. Dessutom påpekar de att myndigheten kan bli skadeståndsskyldig gentemot de registrerade.
Dessa invändningar skulle kunna framföras mot alla former av sanktionsavgifter mot myndigheter. Som framgår av utredningens redo-görelse har det dock på flera andra områden ansetts utgöra en effektiv och nödvändig sanktion att kunna rikta viten och sanktionsavgifter mot statliga och kommunala myndigheter. Som exempel kan nämnas vite enligt diskrimineringslagen och upphandlingsskadeavgift enligt lagen (2016:1145) om offentlig upphandling. I detta sammanhang förtjänar det också att nämnas att EU-kommissionen har föreslagit att sanktions-avgifter ska kunna tas ut av EU-institutionerna och andra unionsorgan vid överträdelser av den förordning som reglerar bl.a. institutionernas egen behandling av personuppgifter, parallellt med disciplinära påföljder för den ansvarige tjänstemannen (COM(2017) 8 final).
Vidare måste den enskildes intresse av skydd för sin personliga integritet anses väga lika tungt då uppgifter behandlas i det allmännas verksamhet som då behandlingen sker i den privata sektorn. För att utföra sina uppgifter måste såväl statliga som kommunala myndigheter behandla mycket stora mängder personuppgifter, ofta av känslig karaktär. Denna behandling måste givetvis ske i enlighet med data-skyddsregleringen. Vid tillsynsmyndigheternas granskning under senare år har det dock framkommit fall där myndigheter begått förhållandevis allvarliga överträdelser av dataskyddsregleringen. Det kan alltså inte tas för givet att myndigheter alltid följer regleringen om dataskydd.
Tjänstefelsansvar eller disciplinansvar på individnivå är enligt regeringens mening inte tillräckligt effektiva sanktioner mot systematiska överträdelser. För att komma till rätta med sådana överträdelser krävs ofta investeringar i förbättrad teknik eller tydliga riktlinjer från myndighetens högsta ledning. Vetskapen om att brister i personuppgifts-behandlingen skulle kunna leda till att höga sanktionsavgifter påförs, kommer enligt regeringens bedömning att leda till att myndighets-ledningen, i normalfallet, tillser att åtgärder vidtas för att regleringen ska följas. Beslut om att faktiskt påföra en myndighet sanktionsavgifter torde därmed mycket sällan behöva komma i fråga. Sanktionsavgifter skulle således fylla en viktig preventiv funktion, även när det gäller
141 Prop. 2017/18:105 heter, och innebära en verklig förstärkning av integritetsskyddet för
enskilda. Denna effekt kan inte enbart uppnås genom skadeståndsinsti-tutet, eftersom detta är beroende av att den registrerade driver en skade-ståndstalan.
Sammanfattningsvis menar regeringen, liksom utredningen, att övervägande skäl talar för att sanktionsavgifter ska kunna tas ut av statliga och kommunala myndigheter vid överträdelser av bestäm-melserna i dataskyddsförordningen.
Bestämmelsen i artikel 83.7 om medlemsstaternas möjligheter att bestämma i vilken utsträckning myndigheter ska kunna påföras avgifter innebär att medlemsstaterna har utrymme att bestämma ett tak för de belopp som kan påföras myndigheter. Visserligen kan det, i enlighet med vad Företagarna och Stiftelsen för internetinfrastruktur anför, framstå som rimligt att samma typ av överträdelse leder till samma typ av sanktion, oavsett om överträdelsen begåtts av en myndighet eller ett privat subjekt. Regeringen anser dock, i likhet med utredningen, att det maximala belopp som ska kunna påföras myndigheter bör ligga i paritet med andra sanktionsavgifter i svensk rätt och därmed vara väsentligt lägre än det högsta belopp som skulle kunna tas ut av ett företag enligt dataskyddsförordningen. Inom den privata sektorn kan en överträdelse av dataskyddsregleringen, förutom att kränka enskildas personliga integritet, medföra otillbörliga konkurrensfördelar som snedvrider den inre mark-naden. Någon sådan ekonomisk vinning, på bekostnad av andra aktörer på marknaden, kan myndigheter inte dra. Här kan också noteras att i kommissionens förslag till den förordning som reglerar institutionernas och unionsorganens egen behandling av personuppgifter sätts belopps-gränsen för sanktionsavgifterna betydligt lägre än enligt dataskydds-förordningen. En institution ska enligt förslaget kunna påföras sanktions-avgifter om maximalt 500 000 euro per år.
Sanktionsavgifter ska enligt dataskyddsförordningen tas ut enligt två olika nivåer – en lägre nivå vid överträdelser som betraktas som mindre allvarliga och en högre nivå vid allvarligare överträdelser och underlåtenhet att följa förelägganden eller beslut av tillsynsmyndigheten eller att på annat sätt bistå den. Även för myndigheter finns det skäl att ha två olika avgiftsnivåer. Utredningen föreslår att ett maxbelopp om 10 000 000 kronor ska kunna påföras för mindre allvarliga överträdelser.
För allvarliga överträdelser föreslår utredningen att maxbeloppet ska vara 20 000 000 kronor. Vissa remissinstanser, t.ex. Centrala studiestöds-nämnden, anser att beloppen är orimliga och främmande för svensk förvaltningstradition. Trafikverket påpekar att 20 000 000 kronor är dubbelt så mycket som den högsta sanktionsavgift som kan påföras en svensk myndighet enligt gällande rätt.
Det kan konstateras att 10 000 000 kronor är vad som i dag maximalt kan påföras en myndighet i upphandlingsskadeavgift. Regeringen anser att högre belopp än så inte heller bör kunna påföras en myndighet vid överträdelser av dataskyddsförordningen. Enligt regeringens bedömning skulle en avgift om 10 000 000 kronor utgöra en effektiv, proportionell och avskräckande sanktion också mot allvarliga överträdelser av förord-ningen, även för de allra största myndigheterna.
Det finns, utifrån förordningens modell, skäl att bestämma beloppen för mindre allvarliga överträdelser till hälften, dvs. 5 000 000 kronor. Vid
Prop. 2017/18:105
142
bestämmandet av vad som utgör en mindre allvarlig respektive en all-varlig överträdelse bör förordningens artikel 83.4 respektive 83.5 gälla.
I förordningens artikel 83.1–3 anges vilka omständigheter som ska beaktas vid beslut om att ta ut sanktionsavgifter och vid bestämmande av beloppets storlek. Dessa bestämmelser bör tillämpas även då sanktions-avgifter tas ut av myndigheter. Detta innebär att en avgift kan påföras med allt ifrån 0 kronor upp till maxbeloppet, beroende på vad som i det enskilda fallet är lämpligt med hänsyn till de olika omständigheter som anges i artikel 83.1–2.
Statens skolverk, Sveriges Kommuner och Landsting och flera kommuner påpekar i detta sammanhang att en hög sanktionsavgift kan komma att slå orimligt hårt mot mindre myndigheter. Enligt artikel 83.2 a ska dock vederbörlig hänsyn tas till bl.a. den aktuella personuppgiftsbehandlingens omfattning och antalet berörda registrerade. Eftersom små myndigheter ofta behandlar färre personuppgifter innebär detta i praktiken att myndighetens storlek kan få betydelse när avgiften bestäms. Vidare ska tillsynsmyndigheten, enligt artikel 83.1, säkerställa att påförande av administrativa sanktionsavgifter i varje enskilt fall är effektivt, proportionellt och avskräckande. Även denna bestämmelse innebär att tillsynsmyndigheten måste, i enlighet med den proportionalitetsprincip som gäller vid all myndighetsutövning, anpassa avgiftens storlek till den aktuella myndighetens budgetram.
Sammanfattningsvis föreslår regeringen att tillsynsmyndigheten ska få ta ut sanktionsavgifter även av statliga och kommunala myndigheter vid överträdelser av bestämmelserna i dataskyddsförordningen. För mindre allvarliga överträdelser bör avgiften uppgå till högst 5 000 000 kronor och för allvarligare överträdelser till högst 10 000 000 kronor. Vid bestämmandet av avgiftens storlek i det enskilda fallet bör dataskydds-förordningens bestämmelser tillämpas. Med hänsyn till behovet av förutsebarhet i fråga om vilka sanktioner som kan bli följden av överträdelser, bör hänvisningen till dataskyddsförordningen i denna bestämmelse vara statisk, dvs. avse förordningen i den ursprungliga lydelsen.