OBS: Detta är utgåva 2020.8. Sidan är avslutad 2020.

Datainspektionen kan besluta om administrativa sanktionsavgifter för personuppgiftsansvariga och i vissa fall för personuppgiftsbiträden. Avgiftens storlek beror på om överträdelsen är uppsåtlig eller oaktsam.

Datainspektionen beslutar om sanktionsavgifter

Det är tillsynsmyndigheten som beslutar om sanktionsavgifter, och i Sverige är det Datainspektionen som är utsedd tillsynsmyndighet över behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet i Sverige. Datainspektionens uppdrag finns mer utförligt redovisat i avsnittet Tillsynsmyndighet.

Sanktionsavgiftens storlek påverkas av om överträdelsen är uppsåtlig eller oaktsam

Regleringen bygger på strikt ansvar, dvs. man tar inte hänsyn till om överträdelsen är oaktsam eller uppsåtlig. Däremot påverkar det om överträdelsen är uppsåtlig eller oaktsam huruvida en sanktionsavgift ska tas ut och i så fall hur stor avgiften blir. För mindre allvarliga överträdelser är avgiften högst 5 miljoner kronor och för allvarliga överträdelser är avgiften högst 10 miljoner kronor.

Sanktionsavgifter för personuppgiftsansvariga

Datainspektionen kan ta ut sanktionsavgifter av personuppgiftsansvariga i följande fall:

  • om personuppgiftsbehandlingen inte har rättslig grund eller utförs för ett särskilt angivet och berättigat ändamål
  • om man inte följer bestämmelserna om behandling för nya ändamål
  • om man inte följer bestämmelserna om personuppgifters kvalitet
  • om man inte gör skillnad mellan olika slag av uppgifter
  • om man inte vidtar rimliga åtgärder för att rätta och komplettera personuppgifter
  • om man inte radera personuppgifter och begränsar behandlingen samt om man behandla fler personuppgifter än nödvändigt och längre än vad som behövs
  • om man har otillåten behandling av känsliga personuppgifter
  • om man inte vidtar tekniska och organisatoriska åtgärder för att säkerställa att behandlingen av personuppgifter är författningsenlig
  • om man inte internt begränsar tillgången till personuppgifter
  • om man inte vidtar åtgärder för att skydda personuppgifterna mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada
  • om man inte anmäler eller dokumenterar personuppgiftsincidenter till Datainspektionen
  • om man inte gör konsekvensbedömning och i vissa fall samråder med Datainspektionen
  • om man inte följer reglerna för överföring av personuppgifter till tredjeland och internationella organisationer
  • om man inte bistår Datainspektionen vid tillsyn.

Sanktionsavgifter för personuppgiftsbiträden

Även personuppgiftsbiträden har uttryckliga skyldigheter som framgår av en författning. Datainspektionen kan därför ta ut sanktionsavgifter av i vissa fall.

Sanktionsavgift kan tas ut

  • om tillgången till personuppgifter internt inte begränsas till vad varje tjänsteman behöver för att kunna utföra sina arbetsuppgifter
  • om tillräckliga åtgärder inte vidtas för att säkerställa att de personuppgifter som behandlas skyddas mot obehörig eller otillåten behandling
  • om skyldigheten att logga behandling inte efterlevs
  • om personuppgiftsbiträdet inte bistår Datainspektionen vid tillsyn
  • om personuppgiftsbiträdet inte följer förelägganden och beslut från Datainspektionen.