Det finns flera olika typer av sanktioner kopplade till dataskyddslagen, GDPR. De högsta straffavgifterna kan bli flera miljoner euro för de som drabbas riktigt hårt. För andra kan det bli en reprimand. Allt beror på hur stor överträdelsen är samt vem det är som begår den. Även proaktivt säkerhetsarbete kan minska risken för påföljder. Har man inte full koll på vilka sanktioner som är förknippade med GDPR kan det komma som en otrevlig överraskning. Här finns allt du behöver veta om sanktioner i GDPR.
Sanktioner betyder bestraffning. En sanktionsavgift är alltså en straffavgift kopplat till en juridisk överträdelse. Sanktionsavgifter är inget specifikt för dataskyddslagen utan förekommer i flera fall inom den svenska och internationella juridiken. För att undvika sanktionsavgifter gäller det att följa lagen. Inte svårare än så.
Storleken på sanktionsavgifter varierar från fall till fall beroende på vilket brott som begåtts. När det är allvarligare brott kan andra straff, eller sanktioner, bli aktuella. Exempel på detta är fängelse, näringsförbud eller utvisning.
Sanktionsavgifter kopplade till GDPR kan bli väldigt höga. De kan också bli knappt kännbara. Vilken typ av påföljd som blir för varje organisation varierar från fall till fall sett till hur stor organisationen är, hur allvarlig överträdelsen är samt om det är ett privat företag eller en offentlig myndighet.
Om ett företag har gjort överträdelser mot flera regleringar i GDPR är det endast den grövsta överträdelsen som bestraffas. Med andra ord kan det inte bli aktuellt med påföljder likt de vi ser i amerikansk rätt exempelvis. I det amerikanska rättsväsendet kan aktörer nämligen få sina straff sammanlagda, vilket kan leda till ofantligt stora påföljder. I Sverige fungerar inte juridiken på samma sätt, vilket är anledningen till att endast det svåraste brottet bestraffas. Mer om hur höga avgifter som kan delas ut kommer längre ned.
Ett företag får i regel högre sanktionsavgifter för överträdelser av dataskyddslagen än vad myndigheter får. Detta beror på att sanktionsavgiften kan sättas utifrån företagets globala årsomsättning. Ju större företaget är, desto mer måste det betala i avgift.
Grunden är att den maximala sanktionsavgiften får uppgå till 20 miljoner euro eller 4 procent av ett bolags globala årsomsättning. Vilket belopp det blir beror på om 20 miljoner euro eller 4 procent av årsomsättningen är högst. För riktigt stora företag kan 4 procent av den globala årsomsättningen bli enormt hög. Mer om det senare i artikeln.
Myndigheter som blir sanktionerade på grund av överträdelser av dataskyddsförordningen drabbas som sagt inte lika hårt som privata aktörer. Maxbeloppet som kan drabba myndigheter är inte 20 miljoner euro utan endast 20 miljoner kronor. Det är fortfarande en hög sanktionsavgift, men långt ifrån lika hög som den för privata företag.
Att sanktionsavgiften inte är lika hög för myndighter som för företag kan motiveras med att myndigheter inte motiveras till större laglydighet av högre straff. Privata företag kan behöva högre incitament att följa lagen då det inte är deras huvudsakliga verksamhetsfokus. Myndigheters största verksamhetsfokus är att lagen ska efterföljas. Mot bakgrund av detta är det därför viktigare med hårdare tag mot företag än myndigheter.
Det har dömts ut flera hårda straff efter GDPR:s inträde på den europeiska marknaden. De högsta straffen omfattar flera hundra miljoner svenska kronor – till och med miljarder.
Det högsta straffet som hittills delats ut var till British Airways som blev hackade och läckte personuppgifter om 500 000 kunder. Detta var ett brott mot artikel 31 i GDPR och bestraffades med den nätta summan 200 miljoner euro. Det vill säga ungefär 2 miljarder svenska kronor.
I övrigt ligger Google just nu i konflikt med den franska staten om en tvist rörande GDPR. Summan som ser ut att bli aktuell i det fallet är liten i jämförelse med den som British Airways åkte på. Google riskerar bara att betala 50 miljoner euro – alltså en halv miljard svenska kronor. Småpengar i jämförelse.