Brott mot GDPR kan resultera i omfattande ekonomiska konsekvenser för både företag och myndigheter. Dataskyddsförordningen, som trädde i kraft 2018, ställer strikta krav på hur personuppgifter får behandlas inom EU.
Överträdelser kan leda till sanktionsavgifter på upp till 20 miljoner euro eller 4 procent av ett företags globala omsättning, beroende på överträdelsens allvarlighetsgrad.
Förordningen gäller alla organisationer som hanterar personuppgifter om EU-medborgare, oavsett var i världen organisationen är baserad. Detta innebär att även internationella företag måste följa GDPR när de behandlar uppgifter om personer inom EU.
Sanktionsavgifter vid överträdelser
Sanktionsavgifterna vid brott mot GDPR är utformade för att vara kännbara och avskräckande. För allvarligare överträdelser kan avgiften uppgå till 20 miljoner euro eller 4 procent av företagets globala årsomsättning, beroende på vilket belopp som är högst. Vid mindre allvarliga överträdelser kan avgiften uppgå till 10 miljoner euro eller 2 procent av omsättningen.
För svenska myndigheter gäller särskilda regler där sanktionsavgifterna kan variera mellan 5 och 10 miljoner kronor. Avgiftens storlek bestäms utifrån flera faktorer, inklusive överträdelsens karaktär, allvarlighetsgrad, varaktighet och om den var avsiktlig eller berodde på oaktsamhet. Även typen av personuppgifter som behandlats spelar roll – känsliga uppgifter som rör hälsa eller politiska åsikter medför högre risk för kraftigare sanktioner.
Skadestånd till drabbade individer
Utöver sanktionsavgifter kan organisationer som bryter mot GDPR även bli skyldiga att betala skadestånd till individer som lidit skada. Enligt artikel 82 i förordningen har varje person som lidit materiell eller immateriell skada till följd av en överträdelse rätt till ersättning.
För att skadestånd ska bli aktuellt måste tre villkor uppfyllas: det måste finnas en faktisk överträdelse av GDPR, personen måste ha lidit en påvisbar skada, och det måste finnas ett orsakssamband mellan överträdelsen och skadan. Skadeståndskrav kan riktas mot antingen den personuppgiftsansvarige eller personuppgiftsbiträdet som medverkat i behandlingen.
Vanliga typer av GDPR-överträdelser
De vanligaste överträdelserna av GDPR inkluderar otillräckliga säkerhetsåtgärder som leder till dataintrång, insamling av personuppgifter utan giltigt samtycke, och underlåtenhet att radera personuppgifter när de inte längre behövs. Andra vanliga brott är otillräcklig information till registrerade personer om hur deras uppgifter används och misslyckande med att anmäla personuppgiftsincidenter till tillsynsmyndigheten inom 72 timmar.
Integritetsmyndigheten (tidigare Datainspektionen) har utfärdat sanktionsavgifter mot flera svenska organisationer för brott mot GDPR. Dessa fall har ofta handlat om bristande säkerhet, otillåten kameraövervakning eller omfattande insamling av personuppgifter utan laglig grund.
Förebyggande åtgärder för GDPR-efterlevnad
För att undvika brott mot GDPR bör organisationer implementera ett systematiskt dataskyddsarbete. Detta inkluderar att utse ett dataskyddsombud när det krävs, genomföra regelbundna konsekvensbedömningar avseende dataskydd, och säkerställa att personuppgiftsbehandling sker enligt principerna om dataminimering och lagringsbegränsning.
Organisationer måste också säkerställa att de har en laglig grund för all personuppgiftsbehandling, vare sig det handlar om samtycke, avtal, rättslig förpliktelse, berättigat intresse eller någon annan grund som anges i GDPR. Transparens är avgörande – individer måste få tydlig information om hur deras uppgifter samlas in, används och lagras. Slutligen bör organisationer implementera robusta säkerhetsåtgärder för att skydda personuppgifter och ha rutiner för att hantera personuppgiftsincidenter om de ändå skulle inträffa.
