GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Artikkel 83 i GDPR

Tilsynsmyndighetene har myndighet til å ilegge overtredelsesgebyr

Den nasjonale tilsynsmyndigheten har myndighet til å ilegge et foretak et overtredelsesgebyr som den anser for å være i strid med GDPR, i henhold til artikkel 83 i GDPR. På den annen side er det alltid en mulighet for selskapet å anke avgjørelsen og fortsette med saken i retten. 

Hva er de generelle vilkårene for å ilegge en administrativ bot?

Artikkel 83 (1) i GDPR krever at tilsynsmyndighetene sikrer at ileggelse av administrative bøter i hvert enkelt tilfelle er avskrekkende, effektivt og forholdsmessig. Dette utgjør de generelle vilkårene for ileggelse av et administrativt gebyr i henhold til GDPR.

Hvilke overtredelser av GDPR kan medføre overtredelsesgebyr?

I praksis kan enhver overtredelse av GDPR i prinsippet resultere i en administrativ bot. Men ikke alle har en tendens til å gjøre det. Tilsynsmyndigheten undersøker det konkrete foretaket, og det er mange faktorer som spiller inn i beslutningen. Jo mer alvorlig overtredelsen er, desto større er risikoen for overtredelsesgebyr.

What breaches of the GDPR can lead to an administrative fine?

Maksimalt antall bøter

  • 20 millioner euro eller
  • 4% av verdens omsetning

Både kontrollører og prosessorer kan få bøter

Selv om hovedansvaret for behandling av personopplysninger ligger hos den behandlingsansvarlige, har også databehandlerne et ansvar. Den nasjonale tilsynsmyndigheten kan ilegge både behandlingsansvarlige og databehandlere overtredelsesgebyr.

DPO kan ikke motta administrative bøter

Noen selskaper må utnevne en databeskyttelsesansvarlig (DPO), hvis oppgaver inkluderer å kontrollere at selskapet overholder GDPR. Personvernombudet skal også gi råd til selskapet, kontrollere de interne retningslinjene og være tilgjengelig for registrerte, både internt for ansatte og eksternt for andre registrerte. På den annen side har ikke personvernombudet noe personlig ansvar og kan derfor ikke ilegges overtredelsesgebyr av tilsynsmyndigheten. I tillegg er kontrolleren forbudt å sanksjonere DPO. 

Kan et administrasjonsgebyr kombineres med flere tiltak?

Ja, tilsynsmyndigheten har rett til å kombinere en overtredelsesgebyr pålagt et selskap med flere tiltak. Spesielt de korrigerende tiltakene som er angitt i artikkel 58 (2) i GDPR. 

Hvor høyt kan et selskap ilegges en bot for brudd på GDPR?

Det høyeste beløpet et selskap kan motta ved en alvorlig overtredelse av personvernforordningen, er 20 millioner euro eller 4 % av selskapets verdensomspennende årsomsetning i foregående regnskapsår (det høyeste av alternativene). 

Ved en mindre overtredelse av personvernforordningen er det høyeste beløpet i stedet 10 millioner euro eller 2 % av den verdensomspennende årsomsetningen i foregående regnskapsår (det høyeste av alternativene).

Kan en myndighet eller andre offentlige aktører ilegges overtredelsesgebyr ved brudd på GDPR?

Det er opp til hver enkelt medlemsstat i sin nasjonale lovgivning å avgjøre om offentlige myndigheter og organer som er etablert i denne medlemsstaten, kan ilegges overtredelsesgebyr. Dette er beskrevet i artikkel 83 (7) i GDPR. Når det gjelder det høyeste gebyret som offentlige aktører kan ilegges ved overtredelse av personvernforordningen, er det derfor også opp til hver enkelt medlemsstat å fastsette nivået i sin nasjonale lovgivning.

Hva utgjør en alvorlig krenkelse av GDPR?

Artikkel 83 (5) i GDPR beskriver hva som utgjør en alvorlig overtredelse av GDPR. Ved overtredelse av følgende bestemmelser kan tilsynsmyndigheten ilegge et overtredelsesgebyr på høyst 20 millioner euro eller 4 % av foretakets verdensomspennende årsomsetning i foregående regnskapsår:

  1. 5, 6, 7 og 9 i GDPR, som omhandler databeskyttelsesprinsipper og vilkårene for samtykke.
  2. 12-22 i GDPR, som omhandler de registrertes rettigheter
  3. 44-49 i GDPR, som omhandler overføring av personopplysninger til en internasjonal organisasjon eller annen mottaker i et tredjeland.
  4. Alle forpliktelser fastsatt i medlemsstatenes nasjonale lovgivning vedtatt på grunnlag av artikkel 85 til 91 i GDPR.
  5. Unnlatelse av å overholde avgjørelsen fra tilsynsmyndigheten utstedt i henhold til artikkel 58 i GDPR, angående:
    • Et pålegg.
    • En midlertidig eller permanent begrensning av behandlingen av data.
    • En beslutning om å stanse datastrømmene.
    • Unnlatelse av å gi tilgang til data.

Hva utgjør en mindre overtredelse av GDPR?

Artikkel 83 (4) i GDPR beskriver hva som utgjør en mindre overtredelse av GDPR. Ved overtredelse av følgende bestemmelser kan tilsynsmyndigheten ilegge et overtredelsesgebyr på høyst 10 millioner euro eller 2 % av foretakets verdensomspennende årsomsetning i foregående regnskapsår:

  1. 8, 11, 25-39, 42 og 43 i GDPR, som omhandler forpliktelsene til behandlingsansvarlige og databehandlere.
  2. 42 og 43 i GDPR, som omhandler sertifiseringsorganets forpliktelser.
  3. 4 GDPR, som omhandler kontrollorganets forpliktelser.

Eksempel på hvordan du beregner mengden av administrasjonsbøten når den er maksimal

Bør overtredelsesgebyret ikke utgjøre mer enn 4 % av selskapets årsomsetning eller 20 millioner euro? Det korte svaret på spørsmålet er at det avhenger av. Det høyeste beløpet vil bli tatt hensyn til.

Measures that companies need to take to comply with GDPR

Eksempel 1

Hvis et selskap har en verdensomspennende årlig omsetning på 1 milliard euro, tilsvarer 4 % av dette 40 millioner euro, som er høyere enn 20 millioner euro. Maksimumsboten i dette tilfellet skal derfor være 40 millioner euro.

What is the definition of anonymised data?

Eksempel 2

Hvis selskapet i stedet har en verdensomspennende årsomsetning på 300 000 millioner euro, er 20 millioner euro høyere enn 4 % av den verdensomspennende årsomsetningen. I slike tilfeller skal den høyeste boten være 20 millioner euro.

Hvilke faktorer tar tilsynsmyndigheten hensyn til når de bestemmer seg for en bot for brudd på GDPR?

Tilsynsmyndigheten tar hensyn til mange ulike faktorer når det skal avgjøres om det skal ilegges overtredelsesgebyr ved overtredelse av personvernforordningen, og hvor stor boten skal være. De vil foreta en vurdering i hvert enkelt tilfelle i lys av omstendighetene i saken, idet det særlig tas hensyn til:

1) Overtredelsens varighet, art og alvorlighetsgrad.

2) Behandlingens art, omfang og formål.

c) Antall registrerte som er berørt av overtredelsen, herunder skaden de registrerte har lidd som følge av overtredelsen.

4) Om overtredelsen ble begått forsettlig eller uaktsomt eller med alvorlig uaktsomhet.

5) Hvilke tiltak er truffet av foretaket for å begrense skadevirkningene av overtredelsen til et minimum for de registrerte?

6) Foretakets grad av ansvar, idet det tas hensyn til de tekniske og organisatoriske sikkerhetstiltak som foretaket har gjennomført.

7) Eventuelle tidligere brudd på GDPR begått av foretaket.

8) I hvilken grad foretaket samarbeider med tilsynsmyndigheten for å løse situasjonen og redusere de mulige skadevirkningene av overtredelsen.

9) Kategoriene av personopplysninger som berøres av overtredelsen.

10) På hvilken måte tilsynsmyndigheten ble kjent med overtredelsen, særlig om foretaket underrettet tilsynsmyndigheten om overtredelsen og i hvilket omfang den ble gjennomført i slike tilfeller.

11) Om tilsynsmyndigheten tidligere har pålagt foretaket korrigerende tiltak i henhold til artikkel 58 nr. 2 i personvernforordningen på samme saksområde, og om foretaket har handlet i samsvar med disse tiltakene.

12) Om selskapet har anvendt godkjente atferdsnormer i samsvar med artikkel 40 GDPR.

13) Om selskapet har anvendt godkjente sertifiseringsmekanismer i samsvar med artikkel 42 GDPR.

14) Alle andre formildende eller skjerpende faktorer som gjelder sakens omstendigheter. For eksempel om overtredelsen direkte eller indirekte har ført til at foretaket har oppnådd økonomisk gevinst eller unngått økonomisk tap.

Hva betyr det hvis en overtredelse er begått forsettlig eller ved uaktsomhet?

Tilsynsmyndigheten vurderer om overtredelsen har skjedd som følge av forsett eller uaktsomhet. Hvis det har skjedd på grunn av hensikt, er det verre enn om det har blitt gjort gjennom uaktsomhet, og fører ofte til mer alvorlige straffer. Det kan derfor være nyttig å vite forskjellen mellom disse to begrepene:

Intensjon

Hvis et selskap har kunnskap og er klar over at det ikke overholder GDPR-reglene, har overtredelsen skjedd på grunn av hensikt. For eksempel, hvis et selskap behandler kredittkortdata og vet at sikkerheten ikke er tilstrekkelig, men velger å ikke gjøre noe med det.

Forsømmelse

Uaktsomhet er når et selskap ikke har noen kunnskap eller hensikt bak overtredelsen av GDPR. I stedet mislyktes selskapet i sin lovbestemte omsorgsplikt.

Bøter gjøres ikke tilgjengelige for registrerte

Når et foretak ilegges bøter, skal beløpet betales til tilsynsmyndigheten, dvs. staten. Dette er ikke et beløp som er tilgjengelig for registrerte. På den annen side har de registrerte rett til å kreve erstatning, men tilsynsmyndigheten ber ikke om noe. I slike tilfeller må den registrerte i stedet reise sak mot selskapet i en sivil sak. 

Mer om GDPR

Forbud

Et foretak kan få forbud fra den nasjonale tilsynsmyndigheten mot å utføre en bestemt type behandling. Dette betyr at behandlingen må stoppes. Alternativt kan selskapet pålegges å oppfylle bestemte vilkår for hvordan behandlingen skal utføres. 

Lyst til å lære mer?

Les mer
Skroll til toppen