Lawline svarar
Tack för att du vänder dig till Lawline med din fråga!
Sanktionsavgifter och varningar
Datainspektionen kan besluta att ett företag som bryter mot reglerna i dataskyddsförordningen (GDPR) ska betala en administrativ sanktionsavgift. Avgiften kan som mest vara 20 miljoner euro eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst. För de något mindre allvarliga överträdelserna gäller ett maxbelopp på 10 miljoner euro eller 2 procent av den globala årsomsättningen (art. 83 GDPR). Det blir förmodligen inte vanligt att Datainspektionen dömer ut maximala sanktionsavgifter.
Hur hög sanktionsavgiften blir beror dels på vilken bestämmelse överträdelsen gäller, dels på omständigheterna i det enskilda fallet. Datainspektionen kommer bland annat att titta på hur allvarlig överträdelsen är, hur stor skada som skett, om det är fråga om känsliga personuppgifter och om överträdelsen är avsiktlig. Datainspektionen ska se till att en eventuell sanktionsavgift är effektiv, proportionerlig och avskräckande. Därför kan även exempelvis företagets storlek ha betydelse.
I Sverige ska även myndigheter kunna påföras sanktionsavgifter. För mindre allvarliga överträdelser ska avgiften uppgå till högst 5 miljoner kronor och för allvarligare överträdelser till högst 10 miljoner kronor (6 kap. 2 § dataskyddslagen).
Datainspektionen kan även utfärda varningar om en planerad behandling av personuppgifter sannolikt kommer att bryta mot bestämmelserna i förordningen. Myndigheten kan utfärda reprimander om en pågående behandling av personuppgifter bryter mot bestämmelserna och kan dessutom förelägga ett företag eller annan organisation till exempel att de måste upphöra med en viss behandling. Datainspektionens beslut kan överklagas.
Skadestånd
En person som har lidit skada på grund av att hans eller hennes personuppgifter har behandlats i strid med dataskyddsförordningen kan ha rätt till skadestånd av den eller de personuppgiftsansvariga som medverkat vid behandlingen (art. 82 GDPR).
Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den ansvariges instruktioner.
Den enskilde kan begära skadestånd från den personuppgiftsansvarige eller personuppgiftsbiträdet eller väcka skadeståndstalan i domstol.
Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvarige eller personuppgiftsbiträdet. De får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.
Hoppas detta var svar på din fråga!
Med vänlig hälsning,
