Artikel 58, stk. 2, litra f), i GDPR
Forbyd en virksomhed at udføre en bestemt behandling
En tilsynsmyndighed kan forbyde en virksomhed at foretage en bestemt behandling. Derudover kan tilsynsmyndigheden give advarsler, inden behandlingen påbegyndes, eller begrænse behandlingen. Dette er nogle af de korrigerende beføjelser, som en tilsynsmyndighed har i henhold til GDPR.
Hvad betyder en beslutning om at forbyde en virksomhed at foretage visse former for behandling af personoplysninger?
Tilsynsmyndigheden kan i henhold til databeskyttelsesforordningens artikel 58, stk. 2, litra f), forbyde behandling. Forbuddet begrænser behandlingen i sin helhed. Virksomheden skal efterleve tilsynsmyndighedens afgørelse om forbud.
Tilsynsmyndigheden kan kombinere forbuddet med en bøde i tilfælde af en overtrædelse. Det betyder, at virksomheden kan blive tvunget til at betale en administrativ bøde, hvis virksomheden overtræder forbuddet. Med andre ord skal virksomheden betale et bestemt forudbestemt beløb, hvis de fortsætter behandlingen på trods af forbuddet.
Kan en tilsynsmyndighed beslutte andet end at forbyde en virksomhed at foretage en bestemt behandling?
Ja, en tilsynsmyndighed har mulighed for at pålægge en virksomhed forskellige korrigerende foranstaltninger i henhold til databeskyttelsesforordningens artikel 58, stk. 2. I stedet for at indføre et forbud kan de vælge at begrænse en behandling i stedet. En sådan begrænsning kan være definitiv eller gælde i en bestemt periode. I sådanne tilfælde er behandlingen i sin helhed ikke forbudt, men begrænset.
Kan virksomheder modtage en skriftlig advarsel, før de begynder at behandle personoplysninger?
Ja, den nationale tilsynsmyndighed kan give en skriftlig advarsel, inden en virksomhed påbegynder behandlingen. På den anden side er den skriftlige advarsel ikke bindende, hvilket betyder, at det ikke er muligt at klage over den. Det er dog godt for virksomheden at følge advarslen, da det er den samme nationale tilsynsmyndighed, der kan foretage inspektioner og pålægge virksomheden bøder, der overtræder GDPR.
Hvis tilsynsmyndigheden finder, at der er tale om en forbudt behandling, som tilsynsmyndigheden også har udstedt en skriftlig advarsel om, vil de højst sandsynligt komme til samme konklusion efter et tilsyn.
To eksempler på, hvornår tilsynsmyndigheden kan udstede en skriftlig advarsel til en virksomhed, er:
Efter anmodning om forudgående høring
Under en certificeringsproces
Flere oplysninger om GDPR
Registrerede kan have ret til erstatning for overtrædelser af GDPR
En registreret, der har lidt skade på grund af virksomhedens overtrædelse af GDPR, kan være berettiget til erstatning. Det er dog ikke det, som tilsynsmyndigheden efterspørger. I stedet skal den registrerede anlægge et særskilt civilt søgsmål mod virksomheden. Sanktioner og skader er to forskellige ting. Hvis en virksomhed får en bøde, skal den betale beløbet til staten. Med andre ord må den registrerede ikke få adgang til pengene fra den administrative bøde.