GDPR är inget rundningsmärke, avsiktlig överträdelse är dyr.

Slutsatsen kommer från Sveriges andra tillsynsärende med påförda sanktionsavgifter. Dessa uppgick till 8% av beräknad årsomsättning.

I beslutet framgår bland annat hur Datainspektionen definierar kreditupplysningsverksamhet, samt att den som bedriver sådan verksamhet måste följa kreditupplysningslagen och därmed även väsentliga delar av GDPR, trots eventuellt frivilligt utgivningsbevis. De resonemang som förs i dessa frågor har klara pedagogiska värden. Detsamma gäller resonemangen avseende sanktionsavgiftens påförande och dess storlek.

Datainspektionen har fattat det aktuella sanktionsbeslutet efter granskning av den verksamhet som bolaget Nusvar AB bedrev på sin webbplats under perioden december 2018 – 8 april 2019. Klagomål från allmänheten hade föranlett granskningen. Datainspektionen fann att bolaget hade överträtt kreditupplysningslagen och GDPR på sammanlagt fem punkter. Bolaget ansåg själv inte att någon kreditupplysningsverksamhet bedrevs. Det fanns även ett frivilligt utgivningsbevis för webbplatsen. Dessa omständigheter tillmättes dock ingen betydelse i fallet. Samtliga överträdelser bedömdes ha skett avsiktligt. Sanktionsavgiften sattes till €35.000, vilket motsvarar ca 365.000kr, och representerar ungefär 8% av beräknad årsomsättning för 2019. Detta sätt att räkna motiverades med att bolagets verksamhet endast bedrevs en månad under 2018 och att årsredovisningen för 2018 därför inte utgjorde fullgod beräkningsgrund. Går bolaget sämre än detta antagande kan sanktionsavgifterna således bli mycket svåra att klara av.

Länk till beslutet finns här.