Sök
Till Aktuellt
Nyhetsbrev | 2025-01-29

Den 28 firades den internationella dataskyddsdagen – en påminnelse av vikten av ett kontinuerligt GDPR-arbete

Den 28 januari firades den internationella dataskyddsdagen som uppmärksammar rätten till skyddet för personuppgifter. Sedan allmänna dataskyddsförordningens (GDPR) ikraftträdande har europeiska tillsynsmyndigheter fått ytterligare redskap i sina verktygslådor för att säkerställa att företag och organisationer efterlever de omfattande kraven. Det har nog inte undkommit många att det kan röra sig om betydande belopp när tillsynsmyndigheterna utfärdar sina sanktionsavgifter, uppemot hundratals miljoner kronor om det vill sig illa. Även om många verksamheter har kommit en bra bit på vägen med sina interna processer och rutiner, är vår erfarenhet att många ännu har flera delar att arbeta vidare med. Nedan presenteras en övergripande beskrivning av hur tillsynsmyndigheten bedömer och beslutar om att ålägga sanktionsavgifter för företag och organisationer som brister i sitt arbete med GDPR. Texten belyser även andra ekonomiska konsekvenser av att inte efterleva kraven.

Administrativa sanktionsavgifter
Integritetsskyddsmyndigheten (IMY) har i uppdrag att kontrollera att bestämmelserna i GDPR efterlevs. IMY har vid överträdelser av GDPR ett antal korrigerande befogenheter, däribland möjligheten att påföra administrativa sanktionsavgifter. Administrativa sanktionsavgifter ska i varje enskilt fall vara effektiva, proportionerliga och avskräckande.

Bedömning av sanktionsavgiftens storlek
GDPR fastslår inga fasta belopp för överträdelser, utan bedömningen beror på omständigheterna i det enskilda fallet. I artikel 83.2 GDPR anges de faktorer som ska beaktas för att bestämma om en administrativ sanktionsavgift ska påföras, men också vad som ska påverka sanktionsavgiftens storlek. IMY kan vid bedömningen av om sanktionsavgift ska påföras och till vilket belopp bl.a. ta hänsyn till (i) om överträdelsen skett med uppsåt eller genom oaktsamhet, (ii) hur länge överträdelsen har pågått och hur många som drabbats, (iii) vilka åtgärder som vidtagits och (iv) vilken typ av överträdelse som har skett.

För andra än myndigheter är högsta maxbeloppet 20 miljoner euro eller, om det gäller ett företag, fyra procent av den globala årsomsättningen, beroende på vilket belopp som är högst. För de något mindre allvarliga överträdelserna är maxbeloppet 10 miljoner euro eller, om det gäller ett företag, två procent av den globala årsomsättningen, beroende på vilket belopp som är högst.

Under 2024 utfärdades den högsta sanktionsavgiften hittills sedan GDPR:s inträde – 1,2 miljarder euro – mot en tech-jätte, efter att den irländska tillsynsmyndigheten bedömt att bolaget behandlat personuppgifter i strid med GDPR. Från svenskt håll har den högsta utfärdade sanktionsavgiften uppgått till 75 miljoner kronor, vilken efter överklagan fastställdes till 50 miljoner kronor av Kammarrätten i Göteborg.

Skadestånd
Utöver sanktionsavgifter kan även andra bestämmelser i GDPR komma att aktualiseras, exempelvis kan enskilda framställa skadeståndsanspråk om deras personuppgifter har behandlats i strid mot GDPR. Skadestånd kan utdömas för både materiella och immateriella skador (dvs. ideell skada) under förutsättning att den enskilde kan visa att denne lidit skada och att det finns ett adekvat orsakssamband mellan den aktuella överträdelsen av GDPR och skadan.

Med skada avses bl.a. att den registrerade berövats sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, diskriminering, skadat anseende och förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt (se beaktandesats 75 till GDPR).

Innan GDPR trädde i kraft bestämdes ersättningen vid överträdelser av dataskyddslagstiftningen utifrån schabloner (cirka 3 000-5 000 kronor) i enlighet med principer som fastställdes i rättsfallet NJA 2013 s. 1046. Det förekom dock att personuppgiftsansvariga ålades högre belopp vid allvarligare överträdelser. Sedan GDPR:s ikraftträdande har praxis från svenska domstolar varit sparsam. Vi noterar dock att det förekommer avgöranden där högre belopp har utdömts, t.ex. har Stockholms tingsrätt i ett avgörande från 2023 ålagt en personuppgiftsansvarig som utförde bakgrundskontroller att betala 50 000 kronor i ersättning för ideell skada.

Marknadsrättsliga sanktioner och GDPR
På senare tid har även frågan uppkommit om någon sanktion kan utgå på marknadsrättslig grund. EU-domstolen har i en nyligen meddelad dom, Lindenapotheke (C-21/23), konstaterat att GDPR inte utgör hinder för nationell lagstiftning som ger möjlighet för konkurrenter till ett företag som påstås ha åsidosatt GDPR att med stöd av förbudet mot otillbörliga affärsmetoder väcka talan mot detta företag vid allmän domstol. Avgörandet innebär potentiellt en ny rättslig väg för företag att skydda sina intressen vid överträdelser av GDPR.

Några avslutande ord
Vår iakttagelse baserad på hur IMY och de europeiska tillsynsmyndigheterna agerat sedan GDPR:s ikraftträdande, är att tillsynen varit av varierande karaktär, med fokus på olika typer av verksamheter och av varierande storlek. Vid en genomgång av IMY:s årsredovisningar under åren 2022-2023 noterar vi att av 274 avslutade tillsynsärenden har endast 108 lett till korrigerande befogenheter, varav 15 har lett till administrativa sanktionsavgifter. Den vanligaste korrigerande åtgärden är reprimander följt av förelägganden. Samtidigt ser vi att antalet inledda tillsynsärenden ökar – år 2023 ökade ärendena till 207 från 120 året dessförinnan.

GDPR ställer höga krav på företag och organisationer att arbeta proaktivt i hanteringen av personuppgifter inom verksamheten. Genom att implementera rutiner och tydliga ramar för arbetet med dataskydd kan företag undvika kostnader och säkerställa förtroendet från sina kunder, leverantörer och medarbetare.

TM & Partners tech-grupp är specialiserade på dataskydd, skadestånd och tvister inom området och har betydande erfarenhet av att hjälpa till med att ta fram och implementera rutiner i olika verksamheter.

Vill du veta mer? Kontakta gärna:
Fredrik Gustafsson | Advokat | Partner
Helena Brännvall  | Advokat | Partner
Francisco Stråhle | Biträdande jurist | Associate

Relaterat
TM & Partners har biträtt ett medtech-bolag avseende implementering av AI-lösningar.
Hantera dina immateriella rättigheter efter registrering
DORA
Nya tekniska standarder under DORA
TM & Partners har biträtt ett medtech-bolag avseende implementering av AI-lösningar.
Hantera dina immateriella rättigheter efter registrering
DORA
Nya tekniska standarder under DORA
Cookie Policy
TM & Partners

För att göra denna hemsidas funktioner och information tillgängliga för dig använder vi oss av cookies. En cookie är en textfil som sparas på din enhet, förutsatt att du har godkänt det. För närmare information, vänligen se Cookie Policy.

Nödvändiga

Nödvändiga cookies sparar en anonym cookie lokalt på din enhet för att minnas om du avböjt eller accepterat övriga cookies.

Prestanda

Prestandacookies används specifikt för att samla in data om hur besökare använder en websida, vilka sidor som besöks mest frekvent och förekommande felmeddelanden. Den här sortens cookies övervakar endast websidans prestanda när besökaren interagerar med den. De samlar inte in identifierbar information om unika besökare, vilket betyder att samtliga data är anonym och endast används för att förbättra websidans funktionalitet.