6 kap. Administrativa sanktionsavgifter
Ur Brottsdatalag (2018:1177)
Sammanfattning
En sanktionsavgift får tas ut av en personuppgiftsansvarig vid överträdelse av vissa angivna bestämmelser, om en personuppgiftsincident inte anmäls eller dokumenteras, om denne låter bli att bistå tillsynsmyndigheten eller inte följer tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3 (1 §).
Sanktionsavgiften ska vid överträdelser av 3 kap. 6 eller 7 § eller av bestämmelser om dokumentation av personuppgiftsincidenter bestämmas till högst 5 000 000 kronor, medan den vid övriga angivna överträdelser ska bestämmas till högst 10 000 000 kronor (3 §).
Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut en avgift (5 §).
En sanktionsavgift får inte beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträdelsen ägde rum, och ett beslut om sanktionsavgift ska delges (7 §).
Denna sammanfattning är förenklad. Läs originaltexten nedan för fullständig information.
Vanliga frågor
Hur hög kan en sanktionsavgift bli?
Sanktionsavgiften ska vid överträdelser av 3 kap. 6 eller 7 § eller av bestämmelser om dokumentation av personuppgiftsincidenter bestämmas till högst 5 000 000 kronor. Vid överträdelser av övriga bestämmelser som anges i 1 och 2 §§ ska avgiften bestämmas till högst 10 000 000 kronor. Om flera bestämmelser har överträtts genom samma personuppgiftsbehandling, eller om en eller flera bestämmelser har överträtts genom sammankopplade personuppgiftsbehandlingar, ska sanktionsavgiften bestämmas efter överträdelsernas allvar. Sanktionsavgiften får aldrig överstiga maximibeloppet för den allvarligaste överträdelsen. (3 §)
Kan en sanktionsavgift sänkas eller tas bort helt?
Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut en avgift. (5 §)
Finns det någon tidsgräns för när en sanktionsavgift senast måste beslutas?
En sanktionsavgift får inte beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträdelsen ägde rum. (7 §)
Lagtext
1 §
En sanktionsavgift får tas ut av en personuppgiftsansvarig vid överträdelse av någon av 1. 2 kap. 1-5, 7-12 eller 14-18 §§, 19 § andra stycket eller 22 §, 2. 3 kap. 2-8 §§, eller 3. 8 kap. 1-6 §§ eller 8 §. En sanktionsavgift får också tas ut om en personuppgiftsansvarig inte anmäler en personuppgiftsincident enligt 3 kap. 9 § första stycket, inte dokumenterar en sådan incident, låter bli att bistå tillsynsmyndigheten enligt 5 kap. 5 § eller inte följer tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.
2 §
En sanktionsavgift får tas ut av ett personuppgiftsbiträde vid överträdelse av 3 kap. 5, 6 eller 8 §. En sanktionsavgift får också tas ut om ett personuppgiftsbiträde låter bli att bistå tillsynsmyndigheten enligt 5 kap. 5 § eller inte följer tillsynsmyndighetens beslut enligt 5 kap. 7 § första stycket 2 eller 3.
3 §
Sanktionsavgiften ska vid överträdelser av 3 kap. 6 eller 7 § eller av bestämmelser om dokumentation av personuppgiftsincidenter bestämmas till högst 5 000 000 kronor. Vid överträdelser av övriga bestämmelser som anges i 1 och 2 §§ ska avgiften bestämmas till högst 10 000 000 kronor. Om flera bestämmelser har överträtts genom samma personuppgiftsbehandling, eller om en eller flera bestämmelser har överträtts genom sammankopplade personuppgiftsbehandlingar, ska sanktionsavgiften bestämmas efter överträdelsernas allvar. Sanktionsavgiften får aldrig överstiga maximibeloppet för den allvarligaste överträdelsen.
4 §
Vid bedömningen av om någon sanktionsavgift ska tas ut och när storleken på avgiften ska bestämmas ska särskild hänsyn tas till 1. om överträdelsen varit uppsåtlig eller berott på oaktsamhet, 2. den skada, fara eller kränkning som överträdelsen inneburit, 3. överträdelsens karaktär, svårhetsgrad och varaktighet, 4. vad den personuppgiftsansvarige eller personuppgiftsbiträdet gjort för att begränsa verkningarna av överträdelsen, och 5. om den personuppgiftsansvarige eller personuppgiftsbiträdet tidigare ålagts att betala en sanktionsavgift.
5 §
Sanktionsavgiften får sättas ned helt eller delvis om överträdelsen är ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut en avgift.
6 §
Tillsynsmyndigheten beslutar om sanktionsavgift. Sanktionsavgiften tillfaller staten.
7 §
En sanktionsavgift får inte beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom fem år från den dag då överträdelsen ägde rum. Ett beslut om sanktionsavgift ska delges.
8 §
En sanktionsavgift ska betalas till den myndighet som regeringen bestämmer inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
9 §
Regeringen får meddela ytterligare föreskrifter om sanktionsavgifter enligt denna lag.