Search
Close this search box.

EU: EU-domstolen klargör under vilka förutsättningar sanktionsavgifter får påföras vid överträdelser av GDPR

EU-domstolen klargör i målen målen C-683/21 Nacionalinis visuomenės sveikatos centras och C-807/21 Deutsche Wohnen under vilka förutsättningar nationella tillsynsmyndigheter får påföra en eller flera personuppgiftsansvariga administrativa sanktionsavgifter för överträdelser av dataskyddsförordningen (GDPR).

EU-domstolen slår särskilt fast att påförande av sådana sanktionsavgifter förutsätter vållande, det vill säga att överträdelsen har begåtts uppsåtligen eller av oaktsamhet. EU-domstolen slår även fast att storleken på administrativa sanktionsavgifter som påförs en medlem i en koncern ska beräknas på grundval av hela koncernens omsättning.

Bakgrunden till EU-domstolens domar är att en litauisk och en tysk domstol har begärt att EU-domstolen ska klargöra hur GDPR ska tolkas när det gäller nationella tillsynsmyndigheters möjlighet att beivra överträdelser av förordningen genom att påföra personuppgiftsansvariga administrativa sanktionsavgifter.

I det litauiska fallet har Nationella folkhälsomyndigheten vid hälsoministeriet överklagat ett beslut varigenom myndigheten påfördes administrativa sanktionsavgifter på 12 000 euro i samband med framtagandet, med hjälp av ett privat företag, av en mobil applikation för registrering och uppföljning av uppgifter om personer som exponerats för covid-19.

I det tyska fallet har fastighetsbolaget Deutsche Wohnen, som indirekt äger cirka 163 000 bostadsfastigheter och 3 000 kommersiella fastigheter, överklagat ett beslut varigenom bolaget påfördes administrativa sanktionsavgifter på mer än 14 miljoner euro på grund av det hade lagrat hyresgästernas personuppgifter längre än nödvändigt.

EU-domstolen slår fast att en personuppgiftsansvarig endast kan påföras administrativa sanktionsavgifter för en överträdelse av GDPR om det visas att överträdelsen begåtts genom ett vållande, det vill säga uppsåtligen eller av oaktsamhet. Ansvar vid vållande omfattar även det fallet att den personuppgiftsansvarige inte kan anses ha varit okunnig om att det aktuella agerandet stred mot bestämmelserna i GDPR, oavsett om den personuppgiftsansvarige varit medveten om överträdelsen.

Om den personuppgiftsansvarige är en juridisk person är det inte en förutsättning för ansvar att överträdelsen begåtts av dess ledningsorgan eller att organet känt till den. Tvärtom gäller att en juridisk person inte bara är ansvarig för överträdelser som begåtts av deras företrädare, direktörer eller förvaltare, utan även av varje annan person som agerar inom ramen för dessa juridiska personers affärsverksamhet och för deras räkning. Härtill kommer att det inte är en förutsättning för att en juridisk person ska kunna påföras administrativa sanktionsavgifter i egenskap av personuppgiftsansvarig att det först har visats att överträdelsen begåtts av en identifierad fysisk person.

Därutöver gäller att en personuppgiftsansvarig kan påföras administrativa sanktionsavgifter även för personuppgiftsbehandling som ett personuppgiftsbiträde har utfört, under förutsättning att personuppgiftsbehandlingen kan tillskrivas den personuppgiftsansvarige.

Vad gäller frågan om gemensamt personuppgiftsansvar för två eller flera organ klargör EU-domstolen att sådant ansvar uppkommer redan till följd av att organen har deltagit i bestämmandet av ändamålen och medlen för personuppgiftsbehandlingen. Det krävs inte att det föreligger ett inbördes arrangemang i form av en formell överenskommelse mellan de aktuella organen för att de ska kunna anses vara gemensamt personuppgiftsansvariga i GDPR:s mening. Det är tillräckligt att det finns ett gemensamt beslut från organen eller att de var för sig har fattat samstämmiga beslut. I detta avseende gäller dock att när det väl har konstaterats att två eller flera organ är gemensamt personuppgiftsansvariga, så är de skyldiga att genom ett inbördes arrangemang fastställa sitt respektive ansvar.

Vad slutligen gäller frågan hur storleken på de administrativa sanktionsavgifterna ska beräknas om den som påförs sanktionsavgifterna är eller ingår i ett företag, slår EU-domstolen fast att tillsynsmyndigheten i ett sådant fall ska grunda sig på det konkurrensrättsliga begreppet företag. Detta innebär att det högsta sanktionsavgiftsbeloppet ska beräknas på grundval av en procentandel av det aktuella företagets totala globala årsomsättning under det räkenskapsår som föregick beslutet att påföra sanktionsavgifter.

Mer information

Källa: Pressmeddelande

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.