meny

Tillsyn, sanktionsavgifter och skadestånd

Här kan du läsa om Datainspektionens tillsyn och vad som kan hända om en arbetsgivare inte följer dataskyddsförordningen.

Genom tillsyn kan Datainspektionen kontrollera att dataskyddsförordningen och andra bestämmelser som kompletterar förordningen följs.

Vi kan till exempel inleda tillsyn efter klagomål eller tips från en anställd, en facklig organisation, eller uppgifter i media.

Innan man anmäler till Datainspektionen är det ofta bra att först försöka lösa problemet själv genom att ta upp det med arbetsgivaren. En anställd kan ta hjälp av facket eller ett dataskyddsombud. Inför en diskussion med arbetsgivaren kan man söka vägledning från oss, i första hand genom information på webben. Man kan också kontakta vår upplysningstjänst. Till en eventuell anmälan är det bra att lämna in ett underlag för vad som har hänt, exempelvis vad man har framfört till arbetsgivaren och vilka besked arbetsgivaren gett. Skriftlig dokumentation, till exempel e-post, är värdefull när vi ska bedöma om det finns skäl att inleda tillsyn.

Datainspektionen genomför normalt tillsyn antingen på plats hos en arbetsgivare (inspektion) eller genom att skicka frågor som arbetsgivaren ska svara på skriftligen (skrivbordstillsyn). Om en inspektion ska genomföras får arbetsgivaren normalt information om detta i förväg.

Om en arbetsgivare bryter mot dataskyddsreglerna kan tillsynen leda till att vi beslutar att arbetsgivaren får en reprimand, föreläggs att vidta olika åtgärder, bara får behandla personuppgifter på vissa villkor eller förbjuds att fortsätta behandlingen. 

Arbetsgivaren kan också, antingen som enda åtgärd eller i kombination med andra korrigerande åtgärder, bli skyldig att betala sanktionsavgift. Sådana tillsynsbeslut från Datainspektionen kan överklagas till förvaltningsdomstol.  

Hur vi arbetar med tillsyn

Vad kan hända om ni bryter mot dataskyddsreglerna?

Sanktionsavgifter och andra åtgärder

Datainspektionen kontrollerar att bestämmelserna i dataskyddsförordningen och kompletterande regler följs. Om en arbetsgivare bryter mot dataskyddsförordningen kan vi i vår tillsyn använda ett antal korrigerande befogenheter:

  • varningar
  • reprimander
  • förelägganden, inklusive begränsning och förbud
  • administrativa sanktionsavgifter.

Vad tillsynen kan leda till

Skadestånd

Om en arbetsgivare behandlar personuppgifter om en anställd i strid med dataskyddsförordningen kan den anställda ha rätt till skadestånd. Den anställda kan begära skadestånd direkt från arbetsgivaren eller väcka skadeståndstalan i domstol.

Även ett personuppgiftsbiträde kan bli skadeståndsskyldigt om biträdet har brutit mot bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den personuppgiftsansvarigas instruktioner. Den anställda kan då begära skadestånd direkt från personuppgiftsbiträdet eller väcka skadeståndstalan i domstol.

Datainspektionen prövar inte frågor om skadestånd och kan alltså inte hjälpa till när det gäller sådana krav.

Skadestånd