Artikel 58(2)(b) - GDPR
Reprimand till företag enligt GDPR
Den nationella tillsynsmyndigheten kan utfärda en reprimand till företag enligt GDPR vid överträdelser av förordningen. Reprimand är en av de korrigerande befogenheterna som varje nationell tillsynsmyndighet har enligt Artikel 58(2)(b) i GDPR, och utgör en mildare påföljd än sanktionsavgift.
När kan en reprimand bli aktuell för företag vid brott mot GDPR?
Ju allvarligare överträdelser av GDPR, desto större konsekvenser. Reprimander är en sorts tillrättavisning som tillsynsmyndigheter brukar utfärda, när överträdelsen inte är allvarlig.
Vad innebär mindre överträdelser enligt GDPR?
När en personuppgiftsincident inte leder till någon betydande risk för de registrerades fri- och rättigheter, är det en mindre överträdelse.
Två andra EU-förordningar
- AI-förordningen
- Dataakten
Exempel på mindre överträdelse av GDPR
Om ett företag råkar skicka ett nyhetsbrev om tvättmedel till fel e-postadress och meddelandet innehåller kundens namn. Det leder med största sannolikhet inte till en stor risk om en annan person får kännedom om att någon har handlat tvättmedel från företaget.
Blir det någon skillnad om överträdelsen sker med uppsåt eller av oaktsamhet?
Om en överträdelse av GDPR har skett med uppsåt istället för oaktsamhet, finns det en högre sannolikhet att företaget får en sanktionsavgift istället för reprimand från tillsynsmyndigheten. Därför är det bra att känna till begreppen uppsåt och oaktsamhet.
Uppsåtlig överträdelse
Uppsåtlig överträdelse: Om någon medvetet röjer, förstör eller ändrar personuppgifter, eller i övrigt behandlar personuppgifter i strid med reglerna i GDPR, utgör det en aktivitet som sker med uppsåt. Uppsåt innebär att personen som medvetet orsakar överträdelsen känner till vad denne gjort, och ville det eller accepterade följden.
En medarbetare behandlar personuppgifter olovligen och med uppsåt genom att ladda ner en kopia av kundregistret på sin sista anställningsdag, och röjer dem sedan till sin nya arbetsgivare som är en konkurrent till företaget.
Oaktsam överträdelse
När det inträffar en överträdelse av misstag, utan att det har funnits någon avsikt eller kunskap om det, eller genom bristande försiktighet, har överträdelsen inträffat grund av oaktsamhet. Det kan exempelvis bero på att en medarbetare har slarvat vid behandlingen av personuppgifterna, men inte ville orsaka någon skada.
IT-ansvarig skapar användarkonton till nya anställda på deras första arbetsdag, och råkade av misstag aktivera administratörsrättigheter till ett användarkonto som inte skulle ha det. Detta ledde till att användaren av misstag hade åtkomst till fler personuppgifter än avsett, vilket strider mot dataskyddsprincipen om uppgiftsminimering.
Fördel att åtgärda överträdelserna direkt
Om ett företag bryter mot GDPR och därefter blir föremål för anmälan hos tillsynsmyndigheten samt granskande av tillsynsmyndigheten, kan det vara till fördel att åtgärda överträdelserna så fort som möjligt, innan tillsynsmyndigheten fattar ett beslut i ärenden.
Om det avser en mindre allvarlig överträdelse av GDPR och företaget har vidtagit korrigerande åtgärder, kan tillsynsmyndigheten ta hänsyn till detta och i vissa fall utfärda en reprimand istället för sanktionsavgift. Med andra ord, kan det verka förmildrande att åtgärda överträdelserna direkt, även när företaget är föremål för ett pågående tillsynsärende.
Begränsa skadorna och övriga konsekvenser
Företag ska försöka begränsa risker och skadorna som uppstår på grund av en inträffad personuppgiftsincident eller överträdelse av GDPR. Tillsynsmyndigheten tar företagets vidtagna korrigerande åtgärder i beaktande när de ska komma fram till sitt beslut om en lämplig påföljd.
Om ett företag exempelvis blir utsatt för ett dataintrång, som leder till att kreditkortsuppgifter kommit i orätta händer, kan det vara lämpligt att företaget omedelbart informerar de berörda registrerade om incidenten. På så sätt får de registrerade möjlighet att spärra sina kreditkort och förhindra större skador. Ju snabbare de korrigerande åtgärderna sker, desto mindre risk för skada.
Lär dig mer om GDPR
Nationella tillsynsmyndigheter har befogenhet att utfärda sanktionsavgifter mot företag som bryter mot GDPR
Företag som bryter mot GDPR kan få en sanktionsavgift utfärdad av den nationella tillsynsmyndigheten. Beloppet beror på flera faktorer, såsom storleken på företaget, huruvida överträdelsen har skett med uppsåt, antalet registrerade som blivit påverkade, vilka kategorier av personuppgifter det gäller m.m. I värsta fall kan sanktionsavgifterna uppgå till många miljoner och få förödande konsekvenser för företag. Maxbeloppet vid allvarliga överträdelser är 20 miljoner euro eller 4 % av företagets globala årsomsättning (det högsta av alternativen).