meny

Sanktionsavgifter och varningar

Vad kan man få betala om man bryter mot dataskyddsförordningen?

Datainspektionen kan besluta att ett företag som bryter mot reglerna i dataskyddsförordningen ska betala en administrativ sanktionsavgift. Avgiften kan som mest vara 20 miljoner euro eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst. För de något mindre allvarliga överträdelserna gäller ett maxbelopp på 10 miljoner euro eller 2 procent av den globala årsomsättningen. Det blir förmodligen inte vanligt att Datainspektionen dömer ut maximala sanktionsavgifter.

Hur hög sanktionsavgiften blir beror dels på vilken bestämmelse överträdelsen gäller, dels på omständigheterna i det enskilda fallet. Datainspektionen kommer bland annat att titta på hur allvarlig överträdelsen är, hur stor skada som skett, om det är fråga om känsliga personuppgifter och om överträdelsen är avsiktlig. Datainspektionen ska se till att en eventuell sanktionsavgift är effektiv, proportionerlig och avskräckande. Därför kan även exempelvis företagets storlek ha betydelse.

I Sverige ska även myndigheter kunna påföras sanktionsavgifter. För mindre allvarliga överträdelser ska avgiften uppgå till högst 5 miljoner kronor och för allvarligare överträdelser till högst 10 miljoner kronor.

Datainspektionen kan även utfärda varningar om en planerad behandling av personuppgifter sannolikt kommer att bryta mot bestämmelserna i förordningen. Myndigheten kan utfärda reprimander om en pågående behandling av personuppgifter bryter mot bestämmelserna och kan dessutom förelägga ett företag eller annan organisation till exempel att de måste upphöra med en viss behandling.

Datainspektionens beslut kan överklagas.

Mer information

Riktlinjer om administrativa sanktionsavgifter
EDPB:s riktlinjer om sanktionsavgifter.

Rättsinformation

Artikel 83 (allmänna villkor för påförande av administrativa sanktionsavgifter)
Skäl 148–152