Artikel 58(2)(f) i GDPR

Förbjuda ett företag att utföra en viss behandling

En tillsynsmyndighet kan förbjuda ett företag att utföra en viss behandling. Dessutom kan tillsynsmyndigheten ge varningar innan en behandling är påbörjad eller begränsa behandlingen. Dessa utgör några av de korrigerande befogenheter en tillsynsmyndighet har enligt GDPR.

Vad innebär ett beslut om att förbjuda ett företag att utföra en viss behandling av personuppgifter?

Tillsynsmyndigheten kan enligt Artikel 58(2)(f) i GDPR förbjuda en behandling. Förbudet begränsar behandlingen i dess helhet. Företaget måste följa tillsynsmyndighetens beslut om förbudet. 

Tillsynsmyndigheten kan kombinera förbudet med ett vite vid eventuell överträdelse. Detta innebär att företaget kan tvingas betala en administrativ sanktionsavgift om företaget bryter mot förbudet. Med andra ord, att företaget måste betala ett visst förutbestämt belopp om de fortsätter behandlingen trots förbudet.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Två av sex rättsliga grunder

  • Samtycke
  • Avtal med registrerad

Kan en tillsynsmyndighet besluta om annat än att förbjuda ett företag att utföra en viss behandling?

Ja, en tillsynsmyndighet har möjlighet att påföra ett företag olika korrigerande åtgärder, enligt artikel 58(2) i GDPR. De kan istället för att påföra ett förbud, välja att begränsa en behandling istället. En sådan begränsning kan vara definitiv eller gälla under en viss tidsbestämd period. Vid sådana fall är behandlingen i sin helhet inte förbjuden, istället är den begränsad. 

Kan företag få en skriftlig varning innan de påbörjar en behandling av personuppgifter?

Ja, den nationella tillsynsmyndigheten kan ge en skriftlig varning innan ett företag påbörjar en behandling. Däremot är den skriftliga varningen inte bindande, vilket innebär att det inte går att överklaga det. Men det är bra för företaget att följa varningen, eftersom det är samma nationella tillsynsmyndighet som kan utföra tillsyner och utfärda sanktionsavgifter mot företaget som bryter mot GDPR. 

Om tillsynsmyndigheten anser att det rör sig om en förbjuden behandling som tillsynsmyndigheten dessutom har utfärdat en skriftlig varning kring, kommer de med stor sannolikhet komma fram till samma slutsats efter en tillsyn.

Två exempel på när tillsynsmyndigheten kan utfärda skriftlig varning till ett företag är:

Vid begäran av förhandssamråd

Vid en certifieringsprocess

Mer info om GDPR

Registrerade kan ha rätt till skadestånd vid överträdelser av GDPR

En registrerad som har orsakats skada på grund av att företaget brutit mot GDPR, kan ha rätt till skadestånd. Däremot är detta ingenting som tillsynsmyndigheten yrkar på. Den registrerade måste istället väcka en separat talan civilrättsligt gentemot företaget. Sanktionsavgift och skadestånd är två olika saker. Om ett företag blir påförd en sanktionsavgift, ska de betala beloppet till staten. Med andra ord får den registrerade inte ta del av pengarna från den administrativa sanktionsavgiften. 

Want to learn more?

Read more
Rulla till toppen