GDPR-påföljder: du måste förvänta dig dessa böter
Brott mot GDPR kan leda till allvarliga påföljder. I den här artikeln förklarar vi vilka böter du kan förvänta dig.
GDPR-påföljder: vad beror böterna på?
Den allmänna dataskyddsförordningen har varit i kraft sedan maj 2018. Det är tänkt att reglera dataskyddet enhetligt i hela EU och har samtidigt orsakat mycket hårdhet och rädsla. Detta beror inte bara på de komplicerade bestämmelserna, utan också av de förestående straffåtgärderna vid överträdelser.
- Tillsynsmyndigheten åläggs böter. I Tyskland är denna uppgift ansvaret för dataskyddsombudet i respektive federala stat.
- Tillsynsmyndigheten har omfattande utrednings- och avhjälpande befogenheter. Det kan således få en omfattande bild av efterlevnaden av GDPR bland ansvariga parter och processorer. Det kan också utfärda varningar och beställningsåtgärder, till exempel att avhjälpa rättsliga kränkningar eller förhindra databehandling.
- Om tillsynsmyndigheten åläggs böter kan den göra det i stället för eller utöver sina korrigerande befogenheter.
- Vid bestämning av straffbeloppet måste datatillsynsmyndigheten bedöma och ta hänsyn till vissa omständigheter. Dessa är till exempel överträdelsens typ och svårighetsgrad och hur länge det har pågått.
- Det är också viktigt om åtgärder redan har vidtagits för att åtgärda problemet, hur bra samarbetet med tillsynsmyndigheten är och om det har skett överträdelser tidigare.
Böter för överträdelse av den registeransvariges skyldigheter
Bestämmelserna om böter finns i artikel 83 i GDPR. Principen gäller att böter måste vara effektiva, proportionerliga och avskräckande.
- I händelse av överträdelser av den ansvariga eller processorns skyldigheter förfaller böter på upp till 10 miljoner euro eller för företag upp till två procent av den globala omsättningen föregående år. Det högre beloppet räknas.
- Detsamma gäller om certifieringsorgan eller övervakningsorgan bryter mot sina skyldigheter.
- Exempel är att det inte finns någon lista över behandlingsaktiviteter, att säkerhetsåtgärderna för databehandling är otillräckliga eller att företagets dataskyddsombud inte utför sina uppgifter på rätt sätt.
- Detta inkluderar också efterlevnaden av kravet att barn endast får godkänna databehandling från 16 års ålder. För övrigt påverkade detta också användningen av Facebook och WhatsApp.
Brott mot principerna för databehandling
Påföljderna är ännu tuffare om de grundläggande bestämmelserna för databehandling bryts. Frågan här är om data kan samlas in och behandlas alls och om bestämmelserna för detta har följts.
- De som behandlar data, även om de faktiskt inte får göra det, kan förvänta sig böter på upp till 20 miljoner euro eller upp till fyra procent av företagets omsättning föregående år. Det högre beloppet gäller också här.
- Den som motsätter sig en instruktion från tillsynsmyndigheten måste förvänta sig samma böter.
- Brott i denna kategori existerar till exempel om data behandlas utan den registrerades förhandsgodkännande eller om den registrerades rättigheter kränks.
- Detta kan redan vara fallet om ett företag inte uppfyller sin skyldighet att lämna information till de berörda om databehandling eller om det inte finns något raderingsbegrepp. De registrerade har rätt att glömmas om syftet med databehandlingen inte längre gäller.
- Samma påföljder påläggs om personuppgifter överförs till tredjeländer eller internationella organisationer och GDPR-punkterna som specifikt föreskrivs för dem beaktas.
Om du driver din egen webbplats bör du implementera alla krav i GDPR med särskild omsorg. Annars riskerar du att fastna i dåliga varningsföretag, som är mindre upptagna med dataskydd än att tjäna pengar. Läs vad du bör tänka på som webbplatsoperatör i följande artikel.