meny

Vad kan tillsynen leda till?

Datainspektionen kontrollerar att bestämmelserna i dataskydds­förordningen och andra bestämmelser som kompletterar dataskyddsförordningen följs. För att göra det har Datainspektionen ett antal så kallade korrigerande befogenheter. Ett annat sätt att uttrycka det på är vilka åtgärder Datainspektionen kan rikta mot den som bryter, eller riskerar att bryta mot reglerna.   

Varningar

Datainspektionen kan utfärda en skriftlig varning till den som planerar en behandling som sannolikt kommer att bryta mot bestämmelser­na i dataskyddsförordningen eller kompletterande författningar. Med andra ord kan vi endast utfärda en varning innan någon överträdelse har ägt rum.

En varning talar om på vilket sätt behandlingen riskerar att strida mot reglerna. Till skillnad från övriga korrigerande åtgärder är en varning som regel inte bindande och leder därmed inte till något överklagbart beslut. Varningen kan dock kombineras med andra korrigerande åtgärder, till exempel olika förelägganden, som kan överklagas. 

Reprimander

Om man bryter mot bestämmelserna i dataskyddsförordningen eller kompletterande regler kan Datainspektionen utfärda en reprimand. En reprimand kan ses som en slags tillrättavisning och är en mildare sanktion än förelägganden och sanktionsavgifter.

Reprimander är normalt bara aktuella vid mindre överträdelser. Vår bedömning av om det är en mindre överträdelse görs utifrån omständigheterna i det enskilda fallet, enligt kriterierna som framgår av dataskyddsförordningen. 

Förelägganden, begränsning och förbud

Datainspektionen har i vissa situationer möjlighet att förelägga den som behandlar personuppgifter att vidta olika åtgärder, exempelvis att tillgodose den registrerades begäran att få ett registerutdrag. 

Datainspektionen kan också, tillfälligt eller definitivt, införa en begränsning av eller ett förbud mot behandling. En begränsning innebär att Datainspektionen sätter upp villkor för hur behandlingen får gå till, exempelvis att behandling bara får ske för vissa avgränsade syften. Ett förbud innebär att behandlingen ska upphöra. 

Administrativa sanktionsavgifter

Utöver eller istället för övriga korrigerande åtgärder kan Datainspektionen besluta om att ta ut en sanktionsavgift.

Nästan alla överträdelser av dataskyddsförordningen kan leda till administrativa sanktionsavgifter. Vilka överträdelser det rör sig om anges i dataskyddsförordningen och den kompletterande dataskyddslagen.

Ett exempel på när Datainspektionen kan besluta om att ta ut en sanktionsavgift är om behandlingen strider mot de grundläggande principerna i dataskyddsförordningen, såsom kravet på att personuppgifter bara får samlas in för berättigade ändamål. Ett annat exempel är om den registrerade inte får sina rättigheter tillgodosedda, såsom rätten till information och rättelse.     

Läs mer om de grundläggande principerna
Läs mer om de registrerades rättigheter

Hur hög kan sanktionsavgiften bli?

Det finns ingen ”prislapp” för hur hög en sanktionsavgift ska vara för en viss överträdelse. Däremot finns det övre beloppsgränser, det vill säga maxbelopp. Dataskyddsförordningen delar in överträdelserna i vad som kan beskrivas som allvarligare respektive något mindre allvarliga, där de förstnämnda har ett högre maxbelopp.


För myndigheter är högsta maxbeloppet 10 miljoner kronor och för de något mindre allvarliga överträdelserna är maxbeloppet fem miljoner kronor. För andra än myndigheter är högsta maxbeloppet 20 miljoner euro eller, om det gäller ett företag, fyra procent av den globala årsomsättningen, beroende på vilket belopp som är högst. För de något mindre allvarliga överträdelserna är maxbeloppet 10 miljoner euro eller, om det gäller ett företag, två procent av den globala årsomsättningen, beroende på vilket belopp som är högst. De största företagen kan alltså utifrån deras omsättning bli skyldiga att betala ett högre belopp än 10 respektive 20 miljoner euro.

Om en och samma eller sammankopplade behandlingar innebär att man överträder flera bestämmelser ska sanktionsavgiften bestämmas efter de samlade överträdelsernas allvar. Det totala beloppet kan dock aldrig bli högre än det maxbelopp som gäller för den allvarligaste överträdelsen. För att avgöra om en sanktionsavgift ska tas ut och i så fall hur hög den ska vara kommer Datainspektionen i varje enskilt fall att ta hänsyn till de bedömningskriterier, i förmildrande respektive försvårande riktning, som framgår av dataskyddsförordningen. Datainspektionen kommer bland annat att ta hänsyn till om överträdelsen är oaktsam eller avsiktlig, hur lång tid överträdelsen har pågått, hur många som har drabbats, hur stor skadan är och om man har gjort något för att begränsa skadorna.  

Datainspektionen ska se till att sanktionsavgiften i varje enskilt fall blir en effektiv, proportionell och avskräckande sanktion.

Hur hög sanktionsavgiften blir beror alltså på:

  • vilken bestämmelse överträdelsen gäller.
  • vem som har begått överträdelsen.
  • omständigheterna i det enskilda fallet.

Det betyder att spannet för en sanktionsavgift går från 0 kr upp till maxbeloppet. De högsta beloppen är dock tänkta för de allra allvarligaste överträdelserna och för de allra största organisationerna.

Mer information

Datainspektionens interna riktlinjer
EDPB:s riktlinjer om sanktionsavgifter

Rättsinformation

Artikel 83 (allmänna villkor för påförande av administrativa sanktionsavgifter)
Artikel 58 (korrigerande befogenheter)
SFS 2018:218 – Lag med kompletterande bestämmelser till EU:s dataskyddsförordning