Amazon, GDPR och rekordböterna som upphävdes – vad betyder domen för företag?

Bakgrund – från anmälan till rekordbot

• 2018 anmälde den franska integritetsorganisationen La Quadrature du Net bolaget Amazon till den franska dataskyddsmyndigheten CNIL för att bolaget hanterade personuppgifter på ett sätt som ansågs strida mot GDPR.

• Ärendet hamnade hos Luxembourgs dataskyddsmyndighet, CNPD, eftersom Amazon har sitt europeiska säte där

• Utredningen gällde bland annat hur Amazon använde personuppgifter i sin riktade annonsering, hur bolaget hanterade cookies och bristande information till användare

• 2021 beslutade CNPD om en sanktionsavgift på 746 miljoner euro

Amazon bröt mot GDPR – det slog domstolen fast

Det är viktigt att vara tydlig - domstolen konstaterade att Amazon faktiskt hade brutit mot GDPR på flera punkter, bland annat genom att:

• de inte kan motivera sin riktade annonsering med hänvisning till berättigat intresse eftersom Amazon numera samlar in samtycke för samma ändamål, d v s de har bytt laglig grund, vilket är ett mindre integritetskränkande alternativ.

• deras information till användarna var bristfällig i fråga om bland annat rättslig grund, profilering och vilka som tar del av uppgifterna.

• de hanterade inte användarnas rätt att få tillgång till sina egna uppgifter på ett korrekt sätt, vilket i förlängningen riskerade att undergräva deras möjlighet att begära rättelse eller radering.

Varför upphävdes böterna då?

Domstolens beslut handlade i stället om hur tillsynsmyndigheten hade gått till väga.

1. Oaktsamhet prövades aldrig

Upphävandet grundades på ett fel i hur CNPD fattade sitt beslut. Enligt EU-domstolen räcker det inte att konstatera att GDPR har brutits – myndigheten måste också visa att bolaget handlat avsiktligt eller oaktsamt innan böter får utfärdas. I Amazons fall hade CNPD:

• aldrig hade prövat om Amazon faktiskt handlat oaktsamt,

• behandlat oaktsamhet som en faktor vid beräkningen av bötesbeloppet – inte som ett grundläggande krav för att böter överhuvudtaget skulle få utfärdas.

• försökte lägga fram förklaringar om oaktsamhet under överklagandeprocessen - dessa kunde domstolen inte godta eftersom skäl som inte fanns med i det ursprungliga beslutet kan inte läggas till i efterhand.

2. Ingen riktig proportionalitetsbedömning

Domstolen fann också att CNPD inte hade bedömt om en sanktionsavgift verkligen var den mest lämpliga åtgärden (proportionerligt) GDPR ger tillsynsmyndigheter flera verktyg, till exempel:

• varning

• reprimand

• tillfällig begränsning

Att automatiskt välja böter utan att väga andra alternativ är inte förenligt med regelverket.

Vad händer nu?

Ärendet har skickats tillbaka till CNPD. Myndigheten måste nu:

1. bedöma om Amazon faktiskt agerade oaktsamt

2. göra en fullständig proportionalitetsbedömning (om ja på punkten 1) för att avgöra vilka åtgärder som är lämpliga.

3. ta hänsyn till att Amazon vid tidpunkten för domen ansågs följa GDPR i de avseenden som tillsynen ursprungligen gällde.

Vad kan företag lära sig av domen?

Det här avgörandet är viktigt långt utanför Amazons fall.

Två tydliga lärdomar för företag:

• GDPR-överträdelser leder inte automatiskt till böter: avsiktligt agerande eller åtminstone oaktsamt agerande är en nödvändig förutsättning för sanktionsavgift.

• Tillsynsmyndigheten måste genomföra en proportionalitetsbedömning av om utfärdandet av en sanktionsavgift är den mest lämpliga åtgärden i det enskilda fallet, bland samtliga de korrigerande åtgärder som tillsynsmyndigheten har tillgång till (exempelvis varning, reprimand, tillfällig begränsning, mm.) Detta är något som företag i dialogen med tillsynsmyndigheten kan uppmärksamma myndigheten på.

För företag innebär detta både ett stärkt rättssäkerhetsperspektiv - och ett tydligt krav på ordning och reda i dataskyddsarbetet.

Behöver du stöd i ditt dataskyddsarbete?

Fondias team inom dataskydd stöttar företag med allt från löpande GDPR-arbete till dialog med tillsynsmyndigheter. Kontakta oss här.