Vad kan tillsynen leda till?

Vi kan utfärda en skriftlig varning till den som planerar en behandling som sannolikt kommer att bryta mot bestämmelser­na i GDPR eller kompletterande författningar.

En varning talar om på vilket sätt behandlingen riskerar att strida mot reglerna. Till skillnad från övriga korrigerande åtgärder är en varning som regel inte bindande och leder därmed inte till något överklagbart beslut. Varningen kan dock kombineras med andra korrigerande åtgärder, som kan överklagas, till exempel olika förelägganden.

Om en verksamhet bryter mot bestämmelserna i GDPR eller kompletterande regler kan vi utfärda en reprimand. En reprimand är ett slags tillrättavisning och är en mildare sanktion än sanktionsavgifter.

Reprimander är därför normalt bara aktuella vid mindre överträdelser. Vi bedömer om det är en mindre överträdelse utifrån omständigheterna i det enskilda fallet, enligt kriterierna som framgår av GDPR.

Vi har i vissa situationer möjlighet att förelägga den som behandlar personuppgifter att vidta olika åtgärder, exempelvis att tillgodose den registrerades begäran att få ett registerutdrag eller att vidta vissa åtgärder för att stärka säkerheten kring behandlingen av personuppgifter.

Vi kan också införa en tillfällig eller definitiv begränsning av eller ett förbud mot behandling. En begränsning innebär att vi sätter upp villkor för hur behandlingen får gå till, exempelvis att behandling bara får ske för vissa avgränsade syften. Ett förbud innebär att behandlingen ska upphöra.

Utöver eller istället för övriga korrigerande åtgärder kan vi besluta om att ta ut en sanktionsavgift.

Nästan alla överträdelser av GDPR kan leda till administrativa sanktionsavgifter. Vilka överträdelser det rör sig om anges i GDPR och den kompletterande dataskyddslagen.

Ett exempel på när vi kan besluta om att ta ut en sanktionsavgift är om behandlingen strider mot de grundläggande principerna i GDPR, såsom kravet på att personuppgifter bara får samlas in för berättigade ändamål. Ett annat exempel är om den som granskas inte har vidtagit tillräckliga åtgärder för att skydda personuppgifterna.

Grundläggande principer

Informationssäkerhet

Hur hög kan sanktionsavgiften bli?

Det finns ingen bestämd summa för hur hög en sanktionsavgift ska vara för en viss överträdelse. Däremot finns det övre beloppsgränser, det vill säga maxbelopp. GDPR delar in överträdelserna i vad som kan beskrivas som allvarligare respektive något mindre allvarliga, där de förstnämnda har ett högre maxbelopp.

För myndigheter är högsta maxbeloppet 10 miljoner kronor och för de något mindre allvarliga överträdelserna är maxbeloppet fem miljoner kronor. För andra än myndigheter är högsta maxbeloppet 20 miljoner euro eller, om det gäller ett företag, fyra procent av den globala årsomsättningen, beroende på vilket belopp som är högst. För de något mindre allvarliga överträdelserna är maxbeloppet 10 miljoner euro eller, om det gäller ett företag, två procent av den globala årsomsättningen, beroende på vilket belopp som är högst. De största företagen kan alltså utifrån deras omsättning bli skyldiga att betala ett högre belopp än 10 respektive 20 miljoner euro.

För att avgöra om en sanktionsavgift ska tas ut och i så fall hur hög den ska vara tar vi i varje enskilt fall hänsyn till de bedömningskriterier som framgår av GDPR.

Vi tar bland annat hänsyn till om överträdelsen är

• oaktsam eller avsiktlig
• under hur lång tid överträdelsen har pågått
• hur många som har drabbats
• hur stor skadan är
• vad man gjort för att begränsa skadorna.

Vi ska se till att sanktionsavgiften i varje enskilt fall blir en effektiv, proportionell och avskräckande sanktion.

Hur hög sanktionsavgiften blir beror alltså på

• vilken bestämmelse som överträdelsen gäller
• vem som har begått överträdelsen
• omständigheterna i det enskilda fallet.

Det betyder att spannet för en sanktionsavgift går från 0 kr upp till maxbeloppet. De högsta beloppen är dock tänkta för de allra allvarligaste överträdelserna och för de allra största organisationerna.