Sanktionsavgifter för att inte följa GDPR

IMY (Integritetsskyddsmyndigheten) har befogenhet att tilldela företag sanktionsavgifter för att inte följa GDPR. Dessutom är myndigheten tillsynsmyndighet gällande kameraövervakning och inkassoverksamheter, utöver att de arbetar med ärenden om GDPR. Tidigare hette myndigheten Datainspektionen, men de bytte namn i januari 2021.

Maxbeloppet av sanktionsavgifterna skiljer sig åt mellan myndigheter och företag. En myndighet kan högst få en sanktionsavgift som uppgår till 10 miljoner kronor, medan ett företag kan få upp till miljarder i sanktionsavgift. Det högsta beloppet ett företag kan få är 20 miljoner euro eller 4 % av årsomsättningen (det högre alternativet). Ett flygbolag i Storbritannien fick över 2 miljarder kronor i sanktionsavgift för brott mot GDPR. 

Sanktionsavgifter för att inte följa GDPR

Däremot tilldelar inte IMY sanktionsavgifter för alla överträdelser. De gör en helhetsbedömning av ärendet och kollar även vilka åtgärder som företaget har vidtagit efteråt. Istället för en sanktionsavgift, kan de tilldela en så kallad reprimand, vilket är som en anmärkning eller tillrättavisning. Dessutom är det möjligt att överklaga beslutet från IMY och gå vidare till domstol. GDPR gäller i EU och EES-länderna och ersatte personuppgiftslagen i Sverige när den trädde i kraft i maj 2018. Till skillnad från personuppgiftslagen, ställer GDPR högre krav på företag vid behandling av personuppgifter. 

Det finns många saker att tänka på gällande GDPR för företag. Ett företag måste bland annat ha rättslig grund för att få behandla personuppgifter och följa de sju dataskyddsprinciperna. Dessutom måste företaget meddela bland annat vilka personuppgifter de behandlar, med vilken grund osv. Detta brukar ske genom att företaget upprättar en integritetspolicy, även kallad för dataskyddspolicy. Många företag kan även behöva ha ett personuppgiftsbiträdesavtal. För att bevisa att man följer GDPR, vilket företag måste vid en granskning, är det bra att ha interna rutiner, loggböcker och registerförteckning. En utgångspunkt vid behandling av integritetskänsliga och känsliga personuppgifter är att ju känsligare uppgifter, desto större säkerhet måste företaget ha. 

Känsliga personuppgifter

Definitionen av känsliga personuppgifter enligt GDPR är bland annat uppgifter om hälsa, vilket kan vara både psykisk eller fysisk hälsa, politiska åsikter eller religös tro. Däremot är inte kreditkortsnummer eller personnummer känsliga personuppgifter, utan de hör till de integritetskänsliga personuppgifterna. Dessa uppgifter ska också bli behandlade med större säkerhet än till exempel en vanlig och tydlig personuppgift, såsom ett namn. 

Mer information

Här kan du läsa mer om:

Konsekvensbedömning vid hantering av personuppgifter.

5 viktiga saker att tänka på gällande GDPR.

Konsekvens av slarvfel i ordalydelsen i avtal.

Uppkomst av immaterialrätt för företag/privatpersoner.

Skribent: Företagsforumet.

Fler inlägg om juridik

Forumet kan du som medlem ställa frågor, kommentera och diskutera företagande med andra medlemmar. Forumet är en digital plattform där medlemmar kan lära sig av varandra och dela med sig av erfarenheter.

Besök Forumet – klicka här!

Dela detta inlägg: