meny

Sanktionsavgifter och varningar

Vad kan man få betala om man bryter mot dataskyddsförordningen?

Integritetsskyddsmyndigheten (IMY) kan besluta att ett företag som bryter mot reglerna i dataskyddsförordningen ska betala en administrativ sanktionsavgift. Avgiften kan som mest vara 20 miljoner euro eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst. För de något mindre allvarliga överträdelserna gäller ett maxbelopp på 10 miljoner euro eller 2 procent av den globala årsomsättningen. 

Hur hög sanktionsavgiften blir beror dels på vilken bestämmelse överträdelsen gäller, dels på omständigheterna i det enskilda fallet. Vi tittar bland annat på hur allvarlig överträdelsen är, hur stor skada som skett, om det är fråga om känsliga personuppgifter och om överträdelsen är avsiktlig. IMY ska se till att en eventuell sanktionsavgift är effektiv, proportionerlig och avskräckande. Därför kan även exempelvis företagets storlek ha betydelse.

I Sverige kan även myndigheter påföras sanktionsavgifter. För mindre allvarliga överträdelser ska avgiften uppgå till högst 5 miljoner kronor och för allvarligare överträdelser till högst 10 miljoner kronor.

IMY kan även utfärda varningar om en planerad behandling av personuppgifter sannolikt kommer att bryta mot bestämmelserna i förordningen. Vi kan utfärda reprimander om en pågående behandling av personuppgifter bryter mot bestämmelserna och kan dessutom förelägga ett företag eller annan organisation till exempel att de måste upphöra med en viss behandling.

IMY:s beslut kan överklagas.

Mer information

Riktlinjer för korrigerande befogenheter
Integritetsskyddsmyndighetens interna riktlinjer.

Riktlinjer om administrativa sanktionsavgifter
EDPB:s riktlinjer om sanktionsavgifter.

Rättsinformation

Artikel 83 (allmänna villkor för påförande av administrativa sanktionsavgifter)
Skäl 148–152