Artikel 58 I GDPR
Konsekvenser vid brott mot GDPR
Om ett företag bryter mot EU:s allmänna dataskyddsförordning, även kallad GDPR, riskerar företaget stora ekonomiska konsekvenser. Inte bara på grund av eventuella sanktionsavgifter utfärdade av tillsynsmyndigheten, eller skadestånd som ska utbetalas till de registrerade som skadats av regelbrottet.
Principen om ansvarsskyldighet
Företag har en skyldighet att kunna visa att de följer reglerna i GDPR, enligt principen om ansvarsskyldighet. Denna princip är reglerad i artikel 5(2) i GDPR. Principen om ansvarsskyldighet utgör en av de sju (7) grundläggande dataskyddsprinciperna i GDPR som företag måste följa. Med andra ord är det inte en registrerad eller dataskyddsmyndighet som behöver visa att företaget bryter mot GDPR. Tvärtom, så är det företaget som måste bevisa att företaget följer GDPR.
Påverkan på varumärke
Brott mot GDPR kan också påverka företagets varumärke negativt om det visar sig att företaget inte har följt reglerna. Detta kan i sin tur leda till ekonomiska konsekvenser, såsom förlorade intäkter och affärsrelationer.
Sanktionsavgift på flera hundra miljoner
Ett företag fick betala över 300 miljoner euro i sanktionsavgift för sina överträdelser av GDPR. Detta beslutade den Irländska dataskyddsmyndigheten, efter att den Europeiska dataskyddsstyrelsen gett sitt beslut i ärendet. Till exempel var informationen gällande behandlingen inte tillräckligt tydlig. Observera att kraven på tydlighet är högre när de registrerade är barn.
Exempel på olika åtgärder företag kan vidta för att bevisa efterlevnad av GDPR
Företaget behöver vidta flera olika åtgärder, för att kunna styrka att företaget följer reglerna i GDPR. Exempelvis kan det ske genom att:
Vidta tillräckliga organisatoriska och tekniska säkerhetsåtgärder för att skydda behandlade personuppgifter. De vidtagna åtgärderna bör vara skriftligen dokumenterade och uppdateras vid behov.
Upprätta och implementera skriftliga interna rutiner för att tillgodose de registrerades rättigheter.
Upprätta och löpande hålla sitt register över behandling (Records Of Processing Activities, ROPA) uppdaterad i enlighet med artikel 30 i GDPR.
Utöver dessa exempel finns det många flera åtgärder företag ska och bör implementera för att uppfylla sitt ansvar enligt principen om ansvarsskyldighet samt bevisa att GDPR efterlevs.
Konsekvenser vid överträdelser av GDPR
Konsekvensen vid överträdelser av GDPR beror på flera faktorer. Till exempel hur allvarlig överträdelsen är samt vilka åtgärder som företaget har vidtagit både innan tillsynen men också under tiden och efteråt. Dessutom spelar storleken på företaget en roll i bedömningen och vilka personuppgifter som behandlingen avser. Tillsynsmyndigheterna har många olika befogenheter enligt artikel 58 i GDPR.
Nedan kan du läsa om exempel på konsekvenser vid överträdelser av bestämmelse i GDPR:
Reprimand
Om en tillsynsmyndighet bedömer att överträdelsen inte är så allvarlig, kan de utfärda en reprimand. Det är en typ av skriftlig varning eller anmärkning, och är ett mildare straff än en sanktionsavgift. Däremot utgör utfärdade reprimander en offentlig handling som publiceras offentligt, vilket kan få en negativ påverkan på företagets varumärke.
Sanktionsavgift
En sanktionsavgift är en böter som tillsynsmyndigheter kan utfärda till företag vid brott mot GDPR. Vid allvarlig överträdelse av GDPR kan sanktionsavgiften uppgå till maximalt 20 miljoner euro eller 4 % av företagets totala globala årsomsättningen (det högsta av alternativen) från föregående räkenskapsår. Observera att detta inte är ett belopp som de registrerade får ta del av, eftersom företaget ska betala denna böter till staten.
Skadestånd
Det kan vara möjligt för registrerade att kräva skadestånd vid personuppgiftsincidenter. Däremot behöver den registrerade kräva skadeståndet separat från tillsynen som en tillsynsmyndighet utför. Till exempel genom att väcka en skadeståndstalan mot företaget i allmän domstol. Dessutom kan det vara möjligt att få skadestånd för en befogad fruktan om det finns en risk för att personuppgifterna eventuellt skulle kunna missbrukas i framtiden. Detta konstaterade EU-domstolen efter att den Högsta förvaltningsdomstolen i Bulgarien begärde ett avgörande.
Vite
Det är även vanligt förekommande att avtal innehåller vitesklausuler, som innebär att den avtalsbrytande parten ska betala ett förbestämt vitesbelopp till den andra parten vid avtalsbrott. Denna typ av kommersiella villkor förekommer ofta i avtal mellan företag. Exempelvis kan ett personuppgiftsbiträdesavtal, som ingåtts mellan en personuppgiftsansvarig och ett personuppgiftsbiträde, innehålla en vitesklausul som aktualiseras vid någon av parternas avtalsbrott.
Begränsa eller förbjuda behandling
En tillsynsmyndighet har rätt att införa en tillfällig eller definitiv begränsning av en specifik behandling av personuppgifter, inklusive ett förbud mot behandling.
Tvinga företaget att följa GDPR inom viss tid
Om ett företag bryter mot GDPR, kan tillsynsmyndigheten förelägga företaget att säkerställa att behandlingen sker enligt bestämmelserna i GDPR, och ifall det är nödvändigt på ett specifikt sätt samt inom en specifik tidsperiod.
Återkalla certifiering
Tillsynsmyndigheten kan vid brott mot GDPR i tillämpliga fall återkalla en certifiering eller beordra certifieringsorganet att återkalla en certifiering som utfärdats till ett företag om kraven för certifiering inte eller inte längre uppfylls.
Barn är extra skyddsvärda
Barn är extra skyddsvärda, både enligt GDPR men även enligt flera andra lagar. Det är tillåtet enligt GDPR att behandla personuppgifter tillhörande barn i vissa fall när de ger sitt samtycke. Till exempel till sociala medier. Åldersgränsen för att barn ska få lämna sitt samtycke till informationssamhällets tjänster, såsom sociala medier, är 16 år enligt GDPR. Däremot har enskilda medlemsstater rätt att sänka åldern genom sin nationella lagstiftning, vilket flera länder har gjort. Exempelvis har Sverige valt att sänka åldern till 13 år.
Mer information om GDPR
XXX
XXX