Datainspektionen kan enligt artikel 83 i GDPR besluta att den som bryter mot reglerna i GDPR ska betala en administrativ sanktionsavgift om maximalt 20 miljoner euro eller fyra procent av organisationens globala årsomsättning. Vidare kan en registrerad som har lidit skada på grund av att hens personuppgifter har behandlats i strid med GDPR ha rätt till skadestånd, se artikel 82 i GDPR.
En fråga som har intresserat många är möjligheten att försäkra sig mot skadestånd och sanktionsavgifter enligt GDPR. GDPR är visserligen en EU-förordning som binder rättsordningarna i samtliga medlemsländer men prövningen av om skadestånd och sanktionsavgifter enligt GDPR är försäkringsbara avgörs av nationell försäkringsrätt. I den fortsatta redogörelsen kommer jag därför utgå från svensk rätt. I en intressant rapport av försäkringsförmedlaren, försäkringskonsulten, Aon och Advokatfirman DLA Piper[1], undersöktes försäkringsbarheten av skadestånd och sanktioner enligt GDPR i samtliga EU-länder samt i Norge och Schweiz. I rapporten framgår att regelverken skiljer sig åt mellan länderna. Framför allt verkar rättsläget oklart i många länder, bland annat i Sverige.
Huruvida skadestånd och sanktioner enligt GDPR är försäkringsbara avgörs främst genom en tolkning av kravet på lagligt intresse i 6 kap. 1 § FAL. Det innebär att ett avtal om försäkring av ett olagligt intresse inte är bindande. Som exempel på olagligt intresse tas fallet att den försäkrade risken avser förlust vid smuggling. Däremot är risken att bli skadeståndsskyldig, generellt inte specifikt enligt GDPR, ett försäkringsbart intresse, till och med om grovt vårdslöst agerande ligger bakom skadeståndsskyldigheten.[2] I ett hovrättsavgörande[3] krävde försäkringstagaren ersättning efter en brand i en restauranglokal, men försäkringsbolaget invände att intresset var olagligt därför att rörelsen bedrevs i lokaler som iordningställts utan byggnadslov. Enligt försäkringsbolaget var försäkringen ogiltig eftersom den inte avsåg ett lagligt intresse enligt 35 § i gamla FAL, motsvarande dagens 6 kap. 1 § FAL. Hovrätten ogillade dock denna invändning.[4] Sålunda torde skadestånd enligt GDPR vara försäkringsbart enligt svensk rätt oaktat bakgrunden till skadeståndsskyldigheten.
Frågan om sanktionsavgifter är försäkringsbara är däremot mer osäker.[5] Jessika van der Sluijs har i en debattartikel[6] behandlat försäkringsbarheten av sanktionsavgifter för fysiska personer vid grovt oaktsamt handlande eller medveten överträdelse av kapitalmarknadsregleringar. I debattartikeln utgår van der Sluijs från scenariot att ett försäkringsbolag erbjudit en försäkring som uttryckligen täcker administrativa sanktionsavgifter. Vid avtalets ingående står det klart för avtalsparterna vad avtalet avser och när rätten till försäkringsersättning ska infalla. Skada uppstår varvid försäkringstagaren kräver ersättning som då nekas av försäkringsföretaget med invändningen att avtalet är ogiltigt. I debattartikeln ställer van der Sluijs sig frågan om försäkringsbolaget kan vinna framgång med den invändningen. Hon lyfter i artikeln frågan om 6 kap. 1 § FAL är ett uttryck för den allmänna avtalsrättsliga principen om avtal som strider mot god sed, pactum turpe. Van der Sluijs framhåller att den svenska inställningen till vilka avtal som kan tas upp till prövning av domstolen generellt sett är generös; så länge det finns lagliga element i avtalet är hennes uppfattning att avtalet tas upp till prövning av domstolen. Syftet med bestämmelsen enligt 6 kap. 1 § FAL är enligt van der Sluijs att ge försäkringsbolagen en möjlighet att värja sig när det visar sig att en försäkringstagare på ett oväntat sätt vill utnyttja en sedvanlig försäkring för att täcka en förlust grundad i ett olagligt intresse. I det fall det seriösa försäkringsbolaget vill tillhandahålla en försäkring för administrativa sanktionsavgifter har hon svårt att se att de skulle göra en invändning om ogiltighet. Van der Sluijs konstaterar att ett sådant försäkringsbolag troligen inte skulle bli långvarigt på försäkringsmarknaden. Tillämpas hennes resonemang på sanktionsavgifter enligt GDPR skulle dessa i normalfallet vara försäkringsbara. Det handlar ju i normalfallet inte om att utnyttja en sedvanlig försäkring för att täcka förluster i ett olagligt intresse så länge organisationen som vill försäkra sig, enligt min uppfattning, är helt transparant med riskerna och åtminstone vidtar rimliga åtgärder för att minimera risken för sanktioner enligt GDPR.
Enligt van der Sluijs, på sätt noterats här tidigare, och även Torbjörn Ingvarsson[7], kommer troligen regeln om lagligt intresse i 6 kap. 1 § FAL bedömas enligt den allmänna civilrättsliga grundsatsen om pactum turpe. Uttrycket pactum turpe kommer från latin och betyder skamlig överenskommelse. Det handlar om avtal som är skamligt eftersom det antingen strider mot lag eller goda seder. Det har framförts i doktrinen[8] att begreppet i rättspraxis även innefattar avtal som ingås i syfte att kringgå lagstiftning och avtal som strider mot samhälleliga intressen. Rättspraxis visar på en flexibel inställning till dessa avtal.[9] Istället för att behandla dem som icke existerande har delar av avtal ändå beaktats för att undvika konsekvenser som inte är godtagbara. GDPR innehåller dock ett antal grundläggande rättigheter och friheter som rör individens rätt till skydd för sina personuppgifter. Rimligtvis, enligt min uppfattning, bör även dessa rättigheter vägas in vid bedömningen av sanktionsavgifternas försäkringsbarhet. Skulle det gå att försäkra sanktionsavgifter enligt GDPR kommer sannolikt aktörer att lägga ner mindre kraft på att upprätthålla de registrerades skydd för den personliga integriteten då risken ändå är försäkrad. Detta innebär att vi får ett sämre dataskydd för individerna och i hela samhället, vilket skulle kunna strida mot samhälleliga intressen, att vi i samhället upprätthåller den i RF 2:6 grundlagsskyddade rätten till skydd för den personliga integriteten. Möjligen skulle detta kunna vara ett argument för att sanktionerna inte är försäkringsbara.
Svaret på frågan om det enligt svensk rätt är möjligt att försäkra skadestånd enligt GDPR torde vara jakande. När det däremot gäller sanktionsavgifter är det mer osäkert. Min uppfattning är att det också kan bero på vilket agerande som ligger bakom sanktionerna. Sanktioner enligt GDPR som beror på brottsligt agerande, eller att organisationen helt har underlåtit att vidta någon som helst åtgärd enligt GDPR, kanske inte är försäkringsbara. Om däremot organisationen i görligaste mån har försökt följa GDPR, men av olika skäl inte har lyckats, och därmed drabbas av en sanktion, är möjligen sanktionen försäkringsbar. Svaret på om administrativa sanktionsavgifter är försäkringsbara, och i vilken utsträckning, får vi först när det kommer domstolspraxis rörande frågan. Det känns därför i nuläget lite riskfyllt att lita på en försäkring av dessa sanktioner.
[1] The price of data security. A guide to the insurability of GDPR fines across Europe, 3rd Edition, May 2020.
[2] Hellner, Jan: Försäkringsrätt, faksimilupplaga, Stockholm, 1994 [1965], s. 220.
[3] FFR 1975 s. 217, Hovrätten över Skåne och Blekinge.
[4] Se också Hellner i SvJT 1982 s. 393.
[5] Frågan har diskuterats av Jessika van der Sluijs, Går det att försäkra administrativa sanktionsavgifter? – Avtals och näringsrättsliga aspekter, JT 2014/15 s. 238–247, och Torbjörn Ingvarsson, Försäkring av sanktionsavgifter – en replik, JT 2014/15 s. 703– 711.
[6] Se här ovan.
[7] Se här ovan.
[8] Norlén, Andreas, Oskälighet och 36 § avtalslagen, Linköpings universitet, 2004, s. 230.
[9] Se exempelvis NJA 1989 s 768 och NJA 1997 s 93.