Datainspektionen kan besluta om administrativa sanktionsavgifter för personuppgiftsansvariga och i vissa fall för personuppgiftsbiträden. Avgiftens storlek beror på om överträdelsen är uppsåtlig eller oaktsam.
Datainspektionen beslutar om sanktionsavgifter
Det är tillsynsmyndigheten som beslutar om sanktionsavgifter, och i Sverige är det Datainspektionen som är tillsynsmyndighet.
Sanktionsavgiftens storlek påverkas av om överträdelsen är uppsåtlig eller oaktsam
Regleringen bygger på strikt ansvar, dvs. man tar inte hänsyn till om överträdelsen är oaktsam eller uppsåtlig. Huruvida en sanktionsavgift ska tas ut eller inte samt avgiftens storlek påverkas dock av om överträdelsen är uppsåtlig eller oaktsam. För mindre allvarliga överträdelser är avgiften högst 5 miljoner kronor och för allvarliga överträdelser är avgiften högst 10 miljoner kronor.
Sanktionsavgifter för personuppgiftsansvariga
Datainspektionen kan ta ut sanktionsavgifter av personuppgiftsansvariga i följande fall:
- om personuppgiftsbehandlingen inte har rättslig grund eller utförs för ett särskilt angivet och berättigat ändamål
- om man inte följer bestämmelserna om behandling för nya ändamål
- om man inte följer bestämmelserna om personuppgifters kvalitet
- om man inte gör skillnad mellan olika slag av uppgifter
- om man inte vidtar rimliga åtgärder för att rätta och komplettera personuppgifter
- om man inte radera personuppgifter och begränsar behandlingen samt om man behandla fler personuppgifter än nödvändigt och längre än vad som behövs
- om man har otillåten behandling av känsliga personuppgifter
- om man inte vidtar tekniska och organisatoriska åtgärder för att säkerställa att behandlingen av personuppgifter är författningsenlig
- om man inte internt begränsar tillgången till personuppgifter
- om man inte vidtar åtgärder för att skydda personuppgifterna mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada
- om man inte anmäler eller dokumenterar personuppgiftsincidenter till Datainspektionen
- om man inte gör konsekvensbedömning och i vissa fall samråder med Datainspektionen
- om man inte följer reglerna för överföring av personuppgifter till tredjeland och internationella organisationer
- om man inte bistår Datainspektionen vid tillsyn.
Sanktionsavgifter för personuppgiftsbiträden
Datainspektionen kan också ta ut sanktionsavgifter av personuppgiftsbiträden i vissa fall när de har uttryckliga skyldigheter som framgår av en författning. Sanktionsavgift kan tas ut
- om tillgången till personuppgifter internt inte begränsas till vad varje tjänsteman behöver för att kunna utföra sina arbetsuppgifter
- om tillräckliga åtgärder inte vidtas för att säkerställa att de personuppgifter som behandlas skyddas mot obehörig eller otillåten behandling
- om skyldigheten att logga behandling inte efterlevs
- om personuppgiftsbiträdet inte bistår Datainspektionen vid tillsyn
- om personuppgiftsbiträdet inte följer förelägganden och beslut från Datainspektionen.