Straffet vid brott mot GDPR

Straffet vid brott mot GDPR

Vad är straffet vid brott mot GDPR och hur högt skadestånd kan man behöva betala?

Svar 

Dataskyddsförordningen

Om ett företag eller en organisation bryter mot reglerna i dataskyddsförordningen, kan datainspektionen besluta att företaget ska betala en sanktionsavgift. Avgiften varierar från fall till fall. Som högst kan det vara 20 miljoner euro eller 4 procent av bolagets globala omsättning för större överträdelser. Det kan även vara 10 miljoner euro eller 2 procent av omsättningen vid mindre överträdelser enligt Art. 83 GDPR. Däremot kommer datainspektionen troligen inte ge avgifter som motsvarar maxbelopp, till en början i alla fall enligt vår bedömning.

Storleken på avgiften vid brott mot GDPR

Storleken på avgiften bedöms utifrån det enskilda fallet och omständigheterna i övrigt. Även om hur stor skadan är, ifall det är fråga om en avsiktlig överträdelse. Dessutom beaktar man hur känsliga uppgifterna är som det är fråga om mm. Syftet med avgiften är att den ska vara effektiv, avskräckande och proportionerlig. Detta är anledningen till att avgiften varierar beroende på storleken på bolaget.

GDPR gäller alla som behandlar personuppgifter och lagen ska följas av både företag och myndigheter. Om en myndighet bryter mot GDPR, kan avgiften vara mellan 5 och 10 miljoner kronor. Till en början kommer datainspektionen troligen att dela ut varningar. Därefter kommer de dela ut sanktionsavgifter om bolaget eller myndigheten fortsätter att bryta mot bestämmelserna.

Personer som lidit skada på grund av att en organisation eller myndighet brutit mot bestämmelserna enligt dataskyddsförordningen har rätt att begära skadestånd enligt Art. 82 GDPR. Skadeståndsbegäran sker i domstol. En personuppgiftsansvarig eller ett biträde har ingen skyldighet att betala ersättningen, så länge de kan bevisa att de inte är ansvariga för skadan på något vis.