GDPR » Kapittel VIII Rettsmidler, ansvar og sanksjoner (art. 77-84) » Artikkel 83. Generelle vilkår for ilegging av overtredelsesgebyr («bot»)

Artikkel 83. Generelle vilkår for ilegging av overtredelsesgebyr («bot»)

Sammendrag: Overtredelsesgebyr («bøter») som tilsynsmyndighet (Datatilsynet) i legger skal være virkningsfulle, stå i forhold til bruddet på GDPR og være avskrekkende. Gebyr kan være i tillegg til eller i stedet for andre tiltak. Forhold som listet opp i bestemmelsen skal hensyntas ved vurderingen av om det skal ilegges gebyr og størrelsen på gebyret. Ved brudd på flere bestemmelser, skal ikke gebyret være høyere enn beløpet for den alvorligste overtredelsen. Gebyret skal være maksimalt det høyeste av 10 mill. EUR eller 2 % av samlet global årsomsetning i foregående regnskapsår eller 20 mill. EUR eller 4 % avhengig av hvilke bestemmelser i forordningen (se nærmere i bestemmelsen).

1. Hver tilsynsmyndighet skal sikre at ilegging av overtredelsesgebyr i henhold til denne artikkel for overtredelser av denne forordning nevnt i nr. 4, 5 og 6 i hvert enkelt tilfelle er virkningsfull, står i et rimelig forhold til overtredelsen og virker avskrekkende.

2. Avhengig av omstendighetene i hvert enkelt tilfelle skal overtredelsesgebyr ilegges i tillegg til eller istedenfor tiltakene nevnt i artikkel 58 nr. 2 bokstav a)-h) og j). Når det treffes avgjørelse om hvorvidt det skal ilegges overtredelsesgebyr samt om overtredelsesgebyrets størrelse, skal det i hvert enkelt tilfelle tas behørig hensyn til følgende:

a) karakteren, alvorlighetsgraden og varigheten av overtredelsen, idet det tas hensyn til den berørte behandlingens art, omfang eller formål samt antall registrerte som er berørt, og omfanget av den skade de har lidd,

b) hvorvidt overtredelsen ble begått forsettlig eller uaktsomt,

c) eventuelle tiltak truffet av den behandlingsansvarlige eller databehandleren for å begrense skaden som de registrerte har lidd,

d) den behandlingsansvarliges eller databehandlerens grad av ansvar, idet det tas hensyn til de tekniske og organisatoriske tiltak de har gjennomført i henhold til artikkel 25 og 32,

e) eventuelle relevante tidligere overtredelser begått av den behandlingsansvarlige eller databehandleren,

f) graden av samarbeid med tilsynsmyndigheten for å bøte på overtredelsen og redusere de mulige negative virkningene av den,

g) kategoriene av personopplysninger som er berørt av overtredelsen,

h) på hvilken måte tilsynsmyndigheten fikk kjennskap til overtredelsen, særlig om og eventuelt i hvilken grad den behandlingsansvarlige eller databehandleren har underrettet om overtredelsen,

i) dersom tiltak nevnt i artikkel 58 nr. 2 tidligere er blitt truffet overfor den berørte behandlingsansvarlige eller databehandler med hensyn til samme saksgjenstand, at nevnte tiltak overholdes,

j) overholdelse av godkjente atferdsnormer i henhold til artikkel 40 eller godkjente sertifiseringsmekanismer i henhold til artikkel 42 og

k) enhver annen skjerpende eller formildende faktor ved saken, f.eks. økonomiske fordeler som er oppnådd, eller tap som er unngått, direkte eller indirekte, som følge av overtredelsen.

3. Dersom en behandlingsansvarlig eller databehandler i forbindelse med samme eller tilknyttede behandlingsaktiviteter forsettlig eller uaktsomt overtrer flere av bestemmelsene i denne forordning, skal overtredelsesgebyrets samlede beløp ikke være høyere enn beløpet angitt for den alvorligste overtredelsen

4. Ved overtredelser av følgende bestemmelser skal det i samsvar med nr. 2 ilegges overtredelsesgebyr på opptil 10 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 2 % av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes:

a) den behandlingsansvarliges og databehandlerens forpliktelser i henhold til artikkel 8, 11, 2539 samt 42 og 43,

b) sertifiseringsorganets forpliktelser i henhold til artikkel 42 og 43,

c) kontrollorganets forpliktelser i henhold til artikkel 41 nr. 4.

5. Ved overtredelser av følgende bestemmelser skal det i samsvar med nr. 2 ilegges overtredelsesgebyr på opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes:

a) de grunnleggende prinsippene for behandling, herunder vilkår for samtykke, i henhold til artikkel 5, 6, 7 og 9,

b) de registrertes rettigheter i henhold til artikkel 12-22,

c) overføring av personopplysninger til en mottaker i en tredjestat eller en internasjonal organisasjon i henhold til artikkel 4449,

d) eventuelle forpliktelser i henhold til medlemsstatenes nasjonale rett vedtatt i henhold til kapittel IX,

e) manglende overholdelse av et pålegg om eller en midlertidig eller definitiv begrensning av behandling eller en avgjørelse om midlertidige opphold i datastrømmen truffet av tilsynsmyndigheten i henhold til artikkel 58 nr. 2 eller dersom det ikke gis tilgang i strid med artikkel 58 nr. 1.

6. Ved manglende overholdelse av et pålegg fra tilsynsmyndigheten som nevnt i artikkel 58 nr. 2 skal det i samsvar med nr. 2 i denne artikkel ilegges overtredelsesgebyr på opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes.

7. Uten at det berører tilsynsmyndighetenes myndighet til å beslutte korrigerende tiltak i henhold til artikkel 58 nr. 2, kan hver medlemsstat fastsette regler om når og i hvilken grad offentlige myndigheter og organer som er etablert i nevnte medlemsstat, kan ilegges overtredelsesgebyr.

8. Tilsynsmyndighetens utøvelse av myndighet i henhold til denne artikkel skal være omfattet av nødvendige prosessuelle garantier i samsvar med unionsretten og medlemsstatenes nasjonale rett, herunder effektive rettsmidler og rettferdig rettergang.

9. Dersom medlemsstatens rettsorden ikke gir mulighet til å ilegge overtredelsesgebyr, kan denne artikkel anvendes på en slik måte at gebyret initieres av vedkommende tilsynsmyndighet og ilegges av vedkommende nasjonale domstoler, idet det sikres at nevnte beføyelser er effektive og har samme virkning som overtredelsesgebyrene som ilegges av tilsynsmyndigheter. I alle tilfeller skal gebyrene som ilegges, være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Medlemsstatene skal senest 25. mai 2018 underrette Kommisjonen om de lovbestemmelser de vedtar i henhold til dette nummer, og uten opphold om eventuelle senere endringslover eller endringer som påvirker dem.

Relevante fortalepunkter

Veiledning gjennom godkjente adferdsnormer, sertifisering retningslinjer mv.*

77. Veiledning om gjennomføring av egnede tiltak og tiltak for å påvise at den behandlingsansvarlige eller databehandleren overholder denne forordning, særlig med hensyn til kartlegging av risikoen forbundet med behandlingen og en vurdering av risikoens opprinnelse, art, sannsynlighet og alvorlighetsgrad, samt kartlegging av beste praksis for å redusere risikoen, kan særlig gis ved hjelp av godkjente atferdsnormer, godkjente sertifiseringer, retningslinjer fra Personvernrådet eller anvisninger fra et personvernombud. Personvernrådet kan også utstede retningslinjer for behandlingsaktiviteter som sannsynligvis ikke vil innebære en høy risiko for fysiske personers rettigheter og friheter, samt angi hvilke tiltak som i slike tilfeller kan være tilstrekkelig for å håndtere nevnte risiko.
*ikke offisiell overskrift

Sanksjoner ved overtredelse*

148. For å styrke håndhevingen av bestemmelsene i denne forordning bør det ved overtredelse av denne forordning ilegges sanksjoner, herunder overtredelsesgebyr, i tillegg til eller i stedet for egnede tiltak som tilsynsmyndigheten pålegger i henhold til denne forordning. Ved mindre overtredelser eller dersom overtredelsesgebyret som kan bli ilagt, vil utgjøre en uforholdsmessig stor byrde for en fysisk person, kan det gis en irettesettelse i stedet for et overtredelsesgebyr. Det bør imidlertid tas behørig hensyn til overtredelsens art, alvorlighetsgrad og varighet, om den er gjort forsettlig, tiltak som er truffet for å redusere den forvoldte skade, graden av ansvar eller eventuelle relevante tidligere overtredelser, måten tilsynsmyndigheten fikk kjennskap til overtredelsen på, overholdelse av tiltak truffet overfor den behandlingsansvarlige eller databehandleren, overholdelse av atferdsnormer samt andre skjerpende eller formildende faktorer. Ilegging av sanksjoner, herunder overtredelsesgebyr, bør være omfattet av nødvendige prosessuelle garantier i samsvar med de allmenne prinsippene i unionsretten og i pakten, herunder et effektivt rettslig vern og en rettferdig rettergang.
*ikke offisiell overskrift

Strafferettslige sanksjoner ved overtredelse*

149. Medlemsstatene bør også kunne fastsette regler om strafferettslige sanksjoner ved overtredelse av denne forordning, herunder ved overtredelse av nasjonale regler vedtatt i henhold til og innenfor rammen av denne forordning. Disse strafferettslige sanksjonene kan også omfatte muligheten til å inndra en eventuell fortjeneste som er oppnådd som følge av overtredelse av denne forordning. Ilegging av strafferettslige sanksjoner for overtredelse av nevnte nasjonale regler samt av administrative sanksjoner bør imidlertid ikke føre til et brudd på ne bis in idem-prinsippet slik det tolkes av Domstolen.
*ikke offisiell overskrift

Overtredelsesgebyr ved overtredelse*

150. For å styrke og harmonisere de administrative sanksjonene for overtredelse av denne forordning bør hver tilsynsmyndighet ha myndighet til å ilegge overtredelsesgebyr. Denne forordning bør definere overtredelser og den øvre grensen og kriteriene for fastsettelse av de tilhørende overtredelsesgebyrene, som bør bestemmes av vedkommende tilsynsmyndighet i hvert enkelt tilfelle, idet det tas hensyn til alle forhold som er relevante for den bestemte situasjonen, og idet det tas behørig hensyn særlig til overtredelsens art, alvorlighetsgrad, varighet og konsekvenser samt tiltakene som er truffet for å sikre samsvar med forpliktelsene i denne forordning, og for å forebygge eller redusere konsekvensene av overtredelsen. Dersom et foretak ilegges overtredelsesgebyr, bør et foretak for disse formål forstås som et foretak i henhold til artikkel 101 og 102 i TEUV. Dersom personer som ikke er foretak, ilegges overtredelsesgebyr, bør tilsynsmyndigheten ved fastsettelse av en egnet størrelse på overtredelsesgebyret ta hensyn til det generelle inntektsnivået i medlemsstaten samt til personens økonomiske situasjon. Konsistensmekanismen kan også brukes for å fremme en ensartet anvendelse av overtredelsesgebyrer. Det bør være opp til medlemsstatene å bestemme om og i hvilken grad offentlige myndigheter bør kunne ilegges overtredelsesgebyr. Ilegging av et overtredelsesgebyr eller utstedelse av en advarsel berører ikke anvendelsen av tilsynsmyndighetenes øvrige myndighet eller andre sanksjoner i henhold til denne forordning.
*ikke offisiell overskrift

Unntak for overtredelsesgebyr i Danmark og Estland*

151. Rettsordenen i Danmark og Estland tillater ikke overtredelsesgebyr som fastsatt i denne forordning. Bestemmelsene om overtredelsesgebyr kan i Danmark anvendes ved at gebyr ilegges av vedkommende nasjonale domstoler som en strafferettslig sanksjon, og i Estland ved at gebyr ilegges av tilsynsmyndigheten innenfor rammen av en forseelsesprosedyre, forutsatt at en slik anvendelse av bestemmelsene i disse medlemsstatene har en virkning som tilsvarer virkningen av overtredelsesgebyrer ilagt av tilsynsmyndigheter. Vedkommende nasjonale domstoler bør derfor ta hensyn til anbefalingen fra tilsynsmyndigheten som har initiert gebyret. I alle tilfeller bør gebyrene som ilegges, være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende.
*ikke offisiell overskrift

Innføring av sanksjoner i nasjonal rett*

152. Når denne forordning ikke harmoniserer administrative sanksjoner eller dersom det er nødvendig i andre tilfeller, f.eks. ved alvorlige overtredelser av denne forordning, bør medlemsstatene innføre et system som gjør det mulig å ilegge effektive, forholdsmessige og avskrekkende sanksjoner. Sanksjonenes art, dvs. om de er strafferettslige eller administrative, bør fastsettes i medlemsstatenes nasjonale rett.
*ikke offisiell overskrift

Krav til behandling for formål knyttet til arkiv, vitenskapelig/historisk forskning eller statistikk*

156. Behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål bør være omfattet av nødvendige garantier som sikrer den registrertes rettigheter og friheter i henhold til denne forordning. Disse garantiene bør sikre at det er innført tekniske og organisatoriske tiltak for særlig å sikre overholdelse av prinsippet om dataminimering. Viderebehandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål skal utføres etter at den behandlingsansvarlige har foretatt en vurdering av om det er mulig å oppfylle nevnte formål ved å behandle opplysninger som ikke eller ikke lenger gjør det mulig å identifisere de registrerte, forutsatt at det foreligger nødvendige garantier (f.eks. pseudonymisering av opplysningene). Medlemsstatene bør fastsette nødvendige garantier for behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Medlemsstatene bør på særlige vilkår og med forbehold for nødvendige garantier for de registrerte ha rett til å fastsette spesifikasjoner og unntak med hensyn til informasjonskravene og retten til retting, sletting, til å bli glemt, til begrensning av behandling, til dataportabilitet og til å protestere i forbindelse med behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. De aktuelle vilkårene og garantiene kan omfatte særlige framgangsmåter som gjør det mulig for registrerte å utøve nevnte rettigheter dersom dette er egnet med henblikk på formålene med den spesifikke behandlingen, samt tekniske og organisatoriske tiltak som tar sikte på å minimere behandlingen av personopplysninger i henhold til forholdsmessighets- og nødvendighetsprinsippet. Behandling av personopplysninger for vitenskapelige formål bør også utføres i samsvar med annet relevant regelverk, f.eks. om kliniske utprøvinger.
*ikke offisiell overskrift

Engelsk tekst

Article 83. General conditions for imposing administrative fines

1. Each supervisory authority shall ensure that the imposition of administrative fines pursuant to this Article in respect of infringements of this Regulation referred to in paragraphs 4, 5 and 6 shall in each individual case be effective, proportionate and dissuasive.

2. Administrative fines shall, depending on the circumstances of each individual case, be imposed in addition to, or instead of, measures referred to in points (a) to (h) and (j) of Article 58 (2). When deciding whether to impose an administrative fine and deciding on the amount of the administrative fine in each individual case due regard shall be given to the following:

(a) the nature, gravity and duration of the infringement taking into account the nature scope or purpose of the processing concerned as well as the number of data subjects affected and the level of damage suffered by them;

(b) the intentional or negligent character of the infringement;

(c) any action taken by the controller or processor to mitigate the damage suffered by data subjects;

(d) the degree of responsibility of the controller or processor taking into account technical and organisational measures implemented by them pursuant to Articles 25 and 32;

(e) any relevant previous infringements by the controller or processor;

(f) the degree of cooperation with the supervisory authority, in order to remedy the infringement and mitigate the possible adverse effects of the infringement;

(g) the categories of personal data affected by the infringement;

(h) the manner in which the infringement became known to the supervisory authority, in particular whether, and if so to what extent, the controller or processor notified the infringement;

(i) where measures referred to in Article 58 (2) have previously been ordered against the controller or processor concerned with regard to the same subject-matter, compliance with those measures;

(j) adherence to approved codes of conduct pursuant to Article 40 or approved certification mechanisms pursuant to Article 42; and

(k) any other aggravating or mitigating factor applicable to the circumstances of the case, such as financial benefits gained, or losses avoided, directly or indirectly, from the infringement.

3. If a controller or processor intentionally or negligently, for the same or linked processing operations, infringes several provisions of this Regulation, the total amount of the administrative fine shall not exceed the amount specified for the gravest infringement.

4. Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 10 000 000 EUR, or in the case of an undertaking, up to 2% of the total worldwide annual turnover of the preceding financial year, whichever is higher:

(a) the obligations of the controller and the processor pursuant to Articles 8, 11, 25 to 39 and 42 and 43;

(b) the obligations of the certification body pursuant to Articles 42 and 43;

(c) the obligations of the monitoring body pursuant to Article 41 (4).

5. Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher:

(a) the basic principles for processing, including conditions for consent, pursuant to Articles 5, 6, 7 and 9;

(b) the data subjects’ rights pursuant to Articles 12 to 22;

(c) the transfers of personal data to a recipient in a third country or an international organisation pursuant to Articles 44 to 49;

(d) any obligations pursuant to Member State law adopted under Chapter IX;

(e) non-compliance with an order or a temporary or definitive limitation on processing or the suspension of data flows by the supervisory authority pursuant to Article 58 (2) or failure to provide access in violation of Article 58 (1).

6. Non-compliance with an order by the supervisory authority as referred to in Article 58 (2) shall, in accordance with paragraph 2 of this Article, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4% of the total worldwide annual turnover of the preceding financial year, whichever is higher.

7. Without prejudice to the corrective powers of supervisory authorities pursuant to Article 58 (2), each Member State may lay down the rules on whether and to what extent administrative fines may be imposed on public authorities and bodies established in that Member State.

8. The exercise by the supervisory authority of its powers under this Article shall be subject to appropriate procedural safeguards in accordance with Union and Member State law, including effective judicial remedy and due process.

9. Where the legal system of the Member State does not provide for administrative fines, this Article may be applied in such a manner that the fine is initiated by the competent supervisory authority and imposed by competent national courts, while ensuring that those legal remedies are effective and have an equivalent effect to the administrative fines imposed by supervisory authorities. In any event, the fines imposed shall be effective, proportionate and dissuasive. Those Member States shall notify to the Commission the provisions of their laws which they adopt pursuant to this paragraph by 25 May 2018 and, without delay, any subsequent amendment law or amendment affecting them.

< Artikkel 82 | Artikkel 84 >