Sanktionsavgifter enligt GDPR

2019-01-31 i PUL/GDPR
FRÅGA
Hey. Om man vill stämma ex ett företag för brott mot GDPR.. hur högt belopp kan man då yrka på?
SVAR

Tack för att du vänder dig till Lawline med din fråga!

Sanktionsavgifter och varningar

Datainspektionen kan besluta att ett företag som bryter mot reglerna i dataskyddsförordningen (GDPR) ska betala en administrativ sanktionsavgift. Avgiften kan som mest vara 20 miljoner euro eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst. För de något mindre allvarliga överträdelserna gäller ett maxbelopp på 10 miljoner euro eller 2 procent av den globala årsomsättningen (art. 83 GDPR). Det blir förmodligen inte vanligt att Datainspektionen dömer ut maximala sanktionsavgifter.

Hur hög sanktionsavgiften blir beror dels på vilken bestämmelse överträdelsen gäller, dels på omständigheterna i det enskilda fallet. Datainspektionen kommer bland annat att titta på hur allvarlig överträdelsen är, hur stor skada som skett, om det är fråga om känsliga personuppgifter och om överträdelsen är avsiktlig. Datainspektionen ska se till att en eventuell sanktionsavgift är effektiv, proportionerlig och avskräckande. Därför kan även exempelvis företagets storlek ha betydelse.

I Sverige ska även myndigheter kunna påföras sanktionsavgifter. För mindre allvarliga överträdelser ska avgiften uppgå till högst 5 miljoner kronor och för allvarligare överträdelser till högst 10 miljoner kronor (6 kap. 2 § dataskyddslagen).

Datainspektionen kan även utfärda varningar om en planerad behandling av personuppgifter sannolikt kommer att bryta mot bestämmelserna i förordningen. Myndigheten kan utfärda reprimander om en pågående behandling av personuppgifter bryter mot bestämmelserna och kan dessutom förelägga ett företag eller annan organisation till exempel att de måste upphöra med en viss behandling. Datainspektionens beslut kan överklagas.

Skadestånd

En person som har lidit skada på grund av att hans eller hennes personuppgifter har behandlats i strid med dataskyddsförordningen kan ha rätt till skadestånd av den eller de personuppgiftsansvariga som medverkat vid behandlingen (art. 82 GDPR).

Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den ansvariges instruktioner.

Den enskilde kan begära skadestånd från den personuppgiftsansvarige eller personuppgiftsbiträdet eller väcka skadeståndstalan i domstol.

Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvarige eller personuppgiftsbiträdet. De får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.

Hoppas detta var svar på din fråga!

Med vänlig hälsning,

Galina Krasteva
Fick du svar på din fråga?
Kommentera
Relaterat innehåll
Senaste besvarade frågorna inom PUL/GDPR (136)
2019-05-13 Avtalsmall för uthyrning av gäststuga
2019-05-12 Strider TF och YGL mot GDPR?
2019-05-06 Kan vi stämma någon för att ha lagt ut bilder på vårt barn?
2019-04-30 Får bostadsförening sprida personuppgifter?

Alla besvarade frågor (69297)