Artikel 83 i GDPR

Tillsynsmyndigheter har befogenhet att utfärda administrativa sanktionsavgifter

Den nationella tillsynsmyndigheten har befogenhet att utfärda administrativa sanktionsavgifter till ett företag som de anser bryter mot GDPR, enligt artikel 83 i GDPR. Däremot finns det alltid en möjlighet för företaget att överklaga beslutet och gå vidare med processen till domstol. 

Vilka är de allmänna villkoren för påförande av administrativa sanktionsavgifter?

Tillsynsmyndigheterna ska enligt artikel 83(1) i GDPR säkerställa att påförandet av administrativa sanktionsavgifter i varje enskilt fall är avskräckande, effektiv och proportionell. Detta utgör de allmänna villkoren för påförande av administrativa sanktionsavgifter enligt GDPR.

Vilka överträdelser av GDPR kan leda till en administrativ sanktionsavgift?

I praktiken kan i princip alla överträdelser av GDPR leda till en administrativ sanktionsavgift. Däremot brukar inte alla göra det. Tillsynsmyndigheten granskar det specifika företaget och det finns många faktorer som spelar roll för beslutet. Ju allvarligare överträdelse, desto större risk för en administrativ sanktionsavgift.

What are the general conditions for imposing administrative fines?

Maxbelopp för sanktionsavgifter

  • 20 miljoner euro eller
  • 4 procent av den globala omsättningen

Både personuppgiftsansvariga och personuppgiftsbiträden kan få sanktionsavgifter

Även fast det är den personuppgiftsansvarige som bär det största ansvaret vid behandling av personuppgifterna, har personuppgiftsbiträden också ett ansvar. Den nationella tillsynsmyndigheten kan utfärda administrativa sanktionsavgifter till både personuppgiftsansvariga och personuppgiftsbiträden.

Dataskyddsombud kan inte få en administrativ sanktionsavgift

Vissa företag måste utse ett dataskyddsombud, som bland annat har som uppgift att kontrollera att företaget följer GDPR. Dataskyddsombudet ska också bistå företaget med råd, kontrollera de interna styrdokumenten och vara tillgänglig för de registrerade, både internt till medarbetare och externt till övriga registrerade. Däremot har dataskyddsombud inget personligt ansvar och kan därför inte bli tilldelade en administrativ sanktionsavgift av tillsynsmyndigheten. Dessutom är det förbjudet för den personuppgiftsansvarige att bestraffa dataskyddsombudet. 

Kan en administrativ sanktionsavgift bli kombinerad med flera åtgärder?

Ja, tillsynsmyndigheten har rätt att kombinera en administrativ sanktionsavgift till ett företag med flera åtgärder. Bland annat de korrigerade åtgärderna som framgår av artikel 58(2) i GDPR. 

Hur höga sanktionsavgifter kan ett företag få vid överträdelser av GDPR?

Det maximala beloppet som ett företag kan få vid en allvarlig överträdelse av GDPR är 20 miljoner euro eller 4 % av företagets globala årsomsättning under föregående budgetår (det högsta av alternativen). 

Om det rör sig om en mindre allvarlig överträdelse av GDPR, är maxbeloppet istället 10 miljoner euro eller 2 % av den globala årsomsättningen under föregående budgetår (det högsta av alternativen).

Kan en myndighet eller andra offentliga aktörer få en administrativ sanktionsavgift vid överträdelse av GDPR?

Varje medlemsstat har rätt att i sin egen nationella rätt själva bestämma om administrativa sanktionsavgifter ska kunna påföras offentliga myndigheter och organ som är inrättade i medlemsstaten. Detta framgår i artikel 83(7) i GDPR. När det gäller det maximala beloppet som offentliga aktörer kan få i sanktionsavgift vid överträdelse av GDPR, är det därmed även upp till varje medlemsstat att besluta om nivån i sin nationella lagstiftning.

Vad utgör en allvarlig överträdelse av GDPR?

Artikel 83(5) i GDPR anger vad som utgör allvarlig överträdelse av GDPR. Vid överträdelser av följande bestämmelser, kan tillsynsmyndigheten besluta om administrativ sanktionsavgift på maximalt 20 miljoner euro eller 4 % av företagets globala årsomsättning under föregående budgetår:

  1. 5, 6, 7 och 9 i GDPR, som handlar om dataskyddsprinciperna samt villkoren för samtycken.
  2. 12–22 i GDPR, som handlar om de registrerades rättigheter
  3. 44–49 i GDPR, som handlar om överföring av personuppgifter till en internationell organisation eller annan mottagare i ett trejdeland.
  4. Samtliga skyldigheter som framgår i medlemsstaternas nationella lag som blivit antagen med stöd i artiklarna 85-91 i GDPR.
  5. Underlåtelse att följa tillsynsmyndighetens beslut som utfärdats med stöd i artikel 58 GDPR, avseende:
  • ett föreläggande.
  • en tillfällig eller permanent begränsning av behandling av uppgifter.
  • ett beslut om att avbryta uppgiftsflödena.
  • underlåtelse att ge tillgång till uppgifter.

Vad utgör en mindre överträdelse av GDPR?

Artikel 83(4) i GDPR anger vad som utgör mindre överträdelse av GDPR. Vid överträdelser av följande bestämmelser, kan tillsynsmyndigheten besluta om administrativ sanktionsavgift på maximalt 10 miljoner euro eller 2 % av företagets globala årsomsättning under föregående budgetår:

  1. 8, 11, 25–39, 42 och 43 i GDPR, som handlar om personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter.
  2. 42 och 43 i GDPR, som handlar om certifieringsorganets skyldigheter.
  3. 41.4 i GDPR, som handlar om övervakningsorganets skyldigheter.

Exempel på hur man räknar ut beloppet av den administrativa sanktionsavgiften när den är maximal

Ska den administrativa sanktionsavgiften vara högst 4 % av företagets årsomsättning eller 20 miljoner euro? Det korta svaret på frågan är att det beror på. Man utgår från det belopp som blir högst.

Periodic penalty payments

Exempel 1

Om ett företag har en global årsomsättning motsvarande 1 miljard euro, motsvarar 4 % av detta 40 miljoner euro, vilket är högre än 20 miljoner euro. Därför ska sanktionsavgiften i detta fall maximalt bli 40 miljoner euro.

Order the company to comply with GDPR within a certain period of time

Exempel 2

Om företaget istället har en global årsomsättning motsvarande 300 000 miljoner euro, är 20 miljoner euro högre än 4 % av den globala årsomsättningen. Vid sådana fall sanktionsavgiften maximalt vara 20 miljoner euro.

Vilka faktorer tar tillsynsmyndigheten i beaktande inför sitt beslut om sanktionsavgift vid överträdelse av GDPR?

Tillsynsmyndigheten beaktar många olika faktorer vid sitt beslut om huruvida administrativ sanktionsavgift ska påföras vid överträdelse av GDPR, och vilket belopp det i sådana fall ska utgöra. De gör en bedömning i varje enskilt fall utifrån de rådande omständigheterna i ärendet och tar särskilt hänsyn till följande:

1) Hur länge överträdelsen har pågått, vilken karaktär överträdelsen har och dess svårighetsgrad.

2) Vilken karaktär behandlingen har, dess omfattning och syfte.

3) Antalet registrerade som påverkas av överträdelsen inklusive vilken skada de registrerade har lidit på grund av överträdelsen.

4) Huruvida överträdelsen har inträffat avsiktligt med uppsåt eller om det skett genom oaktsamhet eller grov oaktsamhet.

5) Vilka åtgärder som har vidtagits av företaget för att minimera de registrerades skada som orsakats av överträdelsen.

6) Vilken ansvarsgrad som företaget har med hänsyn tagen till de tekniska och organisatoriska säkerhetsåtgärder som implementerats av företaget.

7) Huruvida företaget tidigare gjort sig skyldigt till överträdelser av GDPR.

8) Hur mycket företaget samarbetar med tillsynsmyndigheten för att lösa situationen och minska de potentiella negativa effekterna av överträdelsen.

9) Vilka kategorier av personuppgifter som blivit påverkade av överträdelsen.

10)  Hur tillsynsmyndigheten fick kännedom om överträdelsen, speciellt huruvida företaget anmälde överträdelsen till tillsynsmyndigheten och i vilken omfattning det i sådana fall genomfördes.

11)  Om tillsynsmyndigheten tidigare har förordnat beslut om korrigerande åtgärder mot företaget enligt artikel 58(2) i GDPR i samma sakfråga, och huruvida företaget har agerat i enlighet med dessa åtgärder.

12)  Om företaget har tillämpat godkända uppförandekoder i enlighet med artikel 40 i GDPR.

13)  Ifall företaget har tillämpat godkända certifieringsmekanismer i enlighet med artikel 42 i GDPR.

14)  Övriga eventuella förmildrande eller försvårande faktorer som är tillämpliga på omständigheterna i det aktuella ärendet. Exempelvis om överträdelsen, direkt eller indirekt, har lett till att företaget har gjort en ekonomisk vinst, eller undvikit en ekonomisk förlust.

Vad innebär det om en överträdelse av sker med uppsåt eller genom oaktsamhet

Tillsynsmyndigheten bedömer huruvida överträdelsen har inträffat på grund av uppsåt eller genom oaktsamhet. Om det har inträffat på grund av uppsåt, är det värre än om det skett genom oaktsamhet, och leder ofta till strängare påföljd. Det kan därför vara bra att känna till skillnaden mellan dessa två begrepp:

Uppsåt

Uppsåt: Om ett företag har kunskapen och känner till att företaget inte följer reglerna i GDPR, har överträdelsen inträffat på grund av uppsåt. Till exempel om ett företag behandlar kreditkortsuppgifter och vet att säkerheten inte är tillräcklig, men väljer att inte göra något åt saken.

Oaktsamhet

Oaktsamhet är när ett företag inte har någon kunskap om eller avsikt bakom överträdelsen av GDPR. Företaget har istället brustit i sin lagstadgade aktsamhetsplikt.

Sanktionsavgifterna är ingenting som de registrerade får ta del av

När ett företag får en sanktionsavgift tilldelad, ska beloppet betalas in till tillsynsmyndigheten, alltså staten. Det är inget belopp som de registrerade får ta del av. Däremot har de registrerade rätt att begära skadestånd, men det är ingenting som tillsynsmyndigheten yrkar. Istället behöver den registrerade vid sådana fall väcka en talan mot företaget i ett civilrättsligt mål. 

Mer om GDPR

Förbud mot behandling

Ett företag kan få ett förbud från den nationella tillsynsmyndigheten mot att utföra en viss typ av behandling. Det innebär att behandlingen måste upphöra. Alternativt kan företaget åläggas ett föreläggande som innebär att företaget ska följa specifika villkor kring hur behandlingen ska bli utförd. 

Vill du lära dig mer?

Läs mer
Rulla till toppen