Artikkel 58 (2) (F) GDPR
Forby et selskap å utføre en bestemt behandlingsoperasjon
En tilsynsmyndighet kan forby et selskap å utføre visse behandlingsaktiviteter. I tillegg kan tilsynsmyndigheten gi advarsler før behandlingsoperasjonen starter eller begrense behandlingsoperasjonen. Dette er noen av de korrigerende fullmaktene en tilsynsmyndighet har i henhold til GDPR.
Hva betyr en beslutning om å forby et selskap å utføre en viss behandling av personopplysninger?
I henhold til artikkel 58 (2) (f) i GDPR kan tilsynsmyndigheten forby behandling. Forbudet begrenser behandlingen som helhet. Selskapet må overholde avgjørelsen fra tilsynsmyndigheten om forbudet.
Tilsynsmyndigheten kan kombinere forbudet med en bot i tilfelle brudd. Dette betyr at selskapet kan bli pålagt å betale en administrativ bot dersom det bryter forbudet. Med andre ord må selskapet betale et visst forhåndsbestemt beløp hvis de fortsetter behandlingen til tross for forbudet.
Kan en tilsynsmyndighet beslutte noe annet enn å forby et selskap å utføre en bestemt behandlingsoperasjon?
Ja, en tilsynsmyndighet har mulighet til å pålegge ulike korrigerende tiltak på et selskap, i henhold til artikkel 58 (2) GDPR. I stedet for å pålegge et forbud, kan de velge å begrense behandlingen i stedet. En slik begrensning kan være endelig eller gjelde for et bestemt tidsrom. I slike tilfeller er behandlingen som helhet ikke forbudt, men begrenset.
Kan bedrifter få en skriftlig advarsel før de begynner å behandle personopplysninger?
Ja, den nasjonale tilsynsmyndigheten kan gi en skriftlig advarsel før et selskap begynner å behandle. Varselbrevet er derimot ikke bindende, noe som betyr at det ikke kan påklages. Det er imidlertid bra for selskapet å følge varselet, da det er den samme nasjonale tilsynsmyndigheten som kan utføre tilsyn og pålegge selskapet bøter som bryter med GDPR.
Dersom tilsynsmyndigheten mener at dette er en forbudt behandling som tilsynsmyndigheten også har gitt en skriftlig advarsel om, er det svært sannsynlig at de vil komme til samme konklusjon etter en inspeksjon.
To eksempler på når tilsynsmyndigheten kan gi en skriftlig advarsel til et selskap er:
Ved forespørsel om forhåndskonsultasjon
Når det gjelder en sertifiseringsprosess
Mer informasjon om GDPR
De registrerte kan ha rett til erstatning for brudd på GDPR
En registrert person som har lidd skade som følge av brudd på GDPR av selskapet, kan ha rett til erstatning. På den annen side er det ikke dette tilsynsmyndigheten ber om. Den registrerte må i stedet reise et eget sivilt søksmål mot selskapet. Bøter og skader er to forskjellige ting. Dersom et foretak ilegges en bot, skal den betales til staten. Med andre ord har den registrerte ikke lov til å motta pengene fra administrasjonsbøten.