Hoppa till innehåll på sidan

Vad kan tillsynen leda till?

IMY kontrollerar att bestämmelserna i dataskydds­förordningen och andra bestämmelser som kompletterar dataskyddsförordningen följs. Vi har ett antal så kallade korrigerande befogenheter. Det är åtgärder som vi kan rikta mot den som bryter, eller riskerar att bryta mot reglerna.

Våra korrigerande befogenheter

Vi kan utfärda en skriftlig varning till den som planerar en behandling som sannolikt kommer att bryta mot bestämmelser­na i dataskyddsförordningen eller kompletterande författningar. Med andra ord kan vi endast utfärda en varning innan någon överträdelse har ägt rum.

En varning talar om på vilket sätt behandlingen riskerar att strida mot reglerna. Till skillnad från övriga korrigerande åtgärder är en varning som regel inte bindande och leder därmed inte till något överklagbart beslut. Varningen kan dock kombineras med andra korrigerande åtgärder, till exempel olika förelägganden, som kan överklagas.

Om en verksamhet bryter mot bestämmelserna i dataskyddsförordningen eller kompletterande regler kan vi utfärda en reprimand. En reprimand är ett slags tillrättavisning och är en mildare sanktion än sanktionsavgifter.

Reprimander är därför normalt bara aktuella vid mindre överträdelser. Vår bedömning av om det är en mindre överträdelse gör vi utifrån omständigheterna i det enskilda fallet, enligt kriterierna som framgår av dataskyddsförordningen.

Vi har i vissa situationer möjlighet att förelägga den som behandlar personuppgifter att vidta olika åtgärder, exempelvis att tillgodose den registrerades begäran att få ett registerutdrag.

Vi kan också, tillfälligt eller definitivt, införa en begränsning av eller ett förbud mot behandling. En begränsning innebär att vi sätter upp villkor för hur behandlingen får gå till, exempelvis att behandling bara får ske för vissa avgränsade syften. Ett förbud innebär att behandlingen ska upphöra.

Utöver eller istället för övriga korrigerande åtgärder kan vi besluta om att ta ut en sanktionsavgift.

Nästan alla överträdelser av dataskyddsförordningen kan leda till administrativa sanktionsavgifter. Vilka överträdelser det rör sig om anges i dataskyddsförordningen och den kompletterande dataskyddslagen.

Ett exempel på när vi kan besluta om att ta ut en sanktionsavgift är om behandlingen strider mot de grundläggande principerna i dataskyddsförordningen, såsom kravet på att personuppgifter bara får samlas in för berättigade ändamål. Ett annat exempel är om den registrerade inte får sina rättigheter tillgodosedda, såsom rätten till information och rättelse.

Grundläggande principer

De registrerades rättigheter

Hur hög kan sanktionsavgiften bli?

Det finns ingen ”prislapp” för hur hög en sanktionsavgift ska vara för en viss överträdelse. Däremot finns det övre beloppsgränser, det vill säga maxbelopp. Dataskyddsförordningen delar in överträdelserna i vad som kan beskrivas som allvarligare respektive något mindre allvarliga, där de förstnämnda har ett högre maxbelopp.

För myndigheter är högsta maxbeloppet 10 miljoner kronor och för de något mindre allvarliga överträdelserna är maxbeloppet fem miljoner kronor. För andra än myndigheter är högsta maxbeloppet 20 miljoner euro eller, om det gäller ett företag, fyra procent av den globala årsomsättningen, beroende på vilket belopp som är högst. För de något mindre allvarliga överträdelserna är maxbeloppet 10 miljoner euro eller, om det gäller ett företag, två procent av den globala årsomsättningen, beroende på vilket belopp som är högst. De största företagen kan alltså utifrån deras omsättning bli skyldiga att betala ett högre belopp än 10 respektive 20 miljoner euro.

Om en och samma eller sammankopplade behandlingar innebär att man överträder flera bestämmelser ska sanktionsavgiften bestämmas efter de samlade överträdelsernas allvar. Det totala beloppet kan dock aldrig bli högre än det maxbelopp som gäller för den allvarligaste överträdelsen.

För att avgöra om en sanktionsavgift ska tas ut och i så fall hur hög den ska vara tar vi i varje enskilt fall hänsyn till de bedömningskriterier, i förmildrande respektive försvårande riktning, som framgår av dataskyddsförordningen.

Vi tar bland annat hänsyn till om överträdelsen är

  • oaktsam eller avsiktlig
  • hur lång tid överträdelsen har pågått
  • hur många som har drabbats
  • hur stor skadan är
  • vad man gjort för att begränsa skadorna.

Vi ska se till att sanktionsavgiften i varje enskilt fall blir en effektiv, proportionell och avskräckande sanktion.


Hur hög sanktionsavgiften blir beror alltså på

  • vilken bestämmelse överträdelsen gäller
  • vem som har begått överträdelsen
  • omständigheterna i det enskilda fallet.

Det betyder att spannet för en sanktionsavgift går från 0 kr upp till maxbeloppet. De högsta beloppen är dock tänkta för de allra allvarligaste överträdelserna och för de allra största organisationerna.

 

Beräkning av sanktionsavgifter

EDPB har utarbetat en riktlinje om beräkning av sanktionsavgifter:
Guidelines 04/2022 on the calculation of administrative fines under the GDPR

Denna riktlinje kompletterar Artikel 29-gruppens riktlinje från 2017:Riktlinjer för tillämpning och fastställande av administrativa sanktionsavgifter i enlighet med förordning 2016/679 (pdf, 554 kB)

Senast uppdaterad: 14 september 2022
Sidans etiketter Tillsyn, Om IMY