1. Hver tilsynsmyndighet skal sikre at ilegging av overtredelsesgebyr i henhold til denne artikkel for overtredelser av denne forordning nevnt i nr. 4, 5 og 6 i hvert enkelt tilfelle er virkningsfull, står i et rimelig forhold til overtredelsen og virker avskrekkende.
2. Avhengig av omstendighetene i hvert enkelt tilfelle skal overtredelsesgebyr ilegges i tillegg til eller istedenfor tiltakene nevnt i artikkel 58 nr. 2 bokstav a)-h) og j). Når det treffes avgjørelse om hvorvidt det skal ilegges overtredelsesgebyr samt om overtredelsesgebyrets størrelse, skal det i hvert enkelt tilfelle tas behørig hensyn til følgende:
c) eventuelle tiltak truffet av den behandlingsansvarlige eller databehandleren for å begrense skaden som de registrerte har lidd,
f) graden av samarbeid med tilsynsmyndigheten for å bøte på overtredelsen og redusere de mulige negative virkningene av den,
h) på hvilken måte tilsynsmyndigheten fikk kjennskap til overtredelsen, særlig om og eventuelt i hvilken grad den behandlingsansvarlige eller databehandleren har underrettet om overtredelsen,
k) enhver annen skjerpende eller formildende faktor ved saken, f.eks. økonomiske fordeler som er oppnådd, eller tap som er unngått, direkte eller indirekte, som følge av overtredelsen.
3. Dersom en behandlingsansvarlig eller databehandler i forbindelse med samme eller tilknyttede behandlingsaktiviteter forsettlig eller uaktsomt overtrer flere av bestemmelsene i denne forordning, skal overtredelsesgebyrets samlede beløp ikke være høyere enn beløpet angitt for den alvorligste overtredelsen.
4. Ved overtredelser av følgende bestemmelser skal det i samsvar med nr. 2 ilegges overtredelsesgebyr på opptil 10 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 2% av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes:
(EN)
In order to impose fines that are effective, proportionate and dissuasive, the supervisory authority shall use for the definition of the notion of an undertaking as provided for by the CJEU for the purposes of the application of Article 101 and 102 TFEU, namely that the concept of an undertaking is understood to mean an economic unit, which may be formed by the parent company and all involved subsidiaries. In accordance with EU law and case-law*, an undertaking must be understood to be the economic unit, which engages in commercial/economic activities, regardless of the legal person involved (Recital 150)
* The ECJ case law definition is: «the concept of an undertaking encompasses every entity engaged in an economic activity regardless of the legal status of the entity and the way in which it is financed” (Case Höfner and Elsner, para 21, ECLI:EU:C:1991:161). An undertaking «must be understood as designating an economic unit even if in law that economic unit consists of several persons, natural or legal» (Case Confederación Española de Empresarios de Estaciones de Servicio [para 40, ECLI:EU:C:2006:784)
Art29WP, Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, wp253 (2017)
5. Ved overtredelser av følgende bestemmelser skal det i samsvar med nr. 2 ilegges overtredelsesgebyr på opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 42% av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes:
(EN)
In order to impose fines that are effective, proportionate and dissuasive, the supervisory authority shall use for the definition of the notion of an undertaking as provided for by the CJEU for the purposes of the application of Article 101 and 102 TFEU, namely that the concept of an undertaking is understood to mean an economic unit, which may be formed by the parent company and all involved subsidiaries. In accordance with EU law and case-law*, an undertaking must be understood to be the economic unit, which engages in commercial/economic activities, regardless of the legal person involved (Recital 150)
* The ECJ case law definition is: «the concept of an undertaking encompasses every entity engaged in an economic activity regardless of the legal status of the entity and the way in which it is financed” (Case Höfner and Elsner, para 21, ECLI:EU:C:1991:161). An undertaking «must be understood as designating an economic unit even if in law that economic unit consists of several persons, natural or legal» (Case Confederación Española de Empresarios de Estaciones de Servicio [para 40, ECLI:EU:C:2006:784)
Art29WP, Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, wp253 (2017)
d) eventuelle forpliktelser i henhold til medlemsstatenes nasjonale rett vedtatt i henhold til kapittel IX,
6. Ved manglende overholdelse av et pålegg fra tilsynsmyndigheten som nevnt i artikkel 58 nr. 2 skal det i samsvar med nr. 2 i denne artikkel ilegges overtredelsesgebyr på opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4% av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes.
8. Tilsynsmyndighetens utøvelse av myndighet i henhold til denne artikkel skal være omfattet av nødvendige prosessuelle garantier i samsvar med unionsretten og medlemsstatenes nasjonale rett, herunder effektive rettsmidler og rettferdig rettergang.
9. Dersom medlemsstatens rettsorden ikke gir mulighet til å ilegge overtredelsesgebyr, kan denne artikkel anvendes på en slik måte at gebyret initieres av vedkommende tilsynsmyndighet og ilegges av vedkommende nasjonale domstoler, idet det sikres at nevnte beføyelser er effektive og har samme virkning som overtredelsesgebyrene som ilegges av tilsynsmyndigheter. I alle tilfeller skal gebyrene som ilegges, være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Medlemsstatene skal senest 25. mai 2018 underrette Kommisjonen om de lovbestemmelser de vedtar i henhold til dette nummer, og uten opphold om eventuelle senere endringslover eller endringer som påvirker dem.
148) For å styrke håndhevingen av bestemmelsene i denne forordning bør det ved overtredelse av denne forordning ilegges sanksjoner, herunder overtredelsesgebyr, i tillegg til eller i stedet for egnede tiltak som tilsynsmyndigheten pålegger i henhold til denne forordning. Ved mindre overtredelser eller dersom overtredelsesgebyret som kan bli ilagt, vil utgjøre en uforholdsmessig stor byrde for en fysisk person, kan det gis en irettesettelse i stedet for et overtredelsesgebyr. Det bør imidlertid tas behørig hensyn til overtredelsens art, alvorlighetsgrad og varighet, om den er gjort forsettlig, tiltak som er truffet for å redusere den forvoldte skade, graden av ansvar eller eventuelle relevante tidligere overtredelser, måten tilsynsmyndigheten fikk kjennskap til overtredelsen på, overholdelse av tiltak truffet overfor den behandlingsansvarlige eller databehandleren, overholdelse av atferdsnormer samt andre skjerpende eller formildende faktorer. Ilegging av sanksjoner, herunder overtredelsesgebyr, bør være omfattet av nødvendige prosessuelle garantier i samsvar med de allmenne prinsippene i unionsretten og i pakten, herunder et effektivt rettslig vern og en rettferdig rettergang.
150) For å styrke og harmonisere de administrative sanksjonene for overtredelse av denne forordning bør hver tilsynsmyndighet ha myndighet til å ilegge overtredelsesgebyr. Denne forordning bør definere overtredelser og den øvre grensen og kriteriene for fastsettelse av de tilhørende overtredelsesgebyrene, som bør bestemmes av vedkommende tilsynsmyndighet i hvert enkelt tilfelle, idet det tas hensyn til alle forhold som er relevante for den bestemte situasjonen, og idet det tas behørig hensyn særlig til overtredelsens art, alvorlighetsgrad, varighet og konsekvenser samt tiltakene som er truffet for å sikre samsvar med forpliktelsene i denne forordning, og for å forebygge eller redusere konsekvensene av overtredelsen. Dersom et foretak ilegges overtredelsesgebyr, bør et foretak for disse formål forstås som et foretak i henhold til artikkel 101 og 102 i TEUV. Dersom personer som ikke er foretak, ilegges overtredelsesgebyr, bør tilsynsmyndigheten ved fastsettelse av en egnet størrelse på overtredelsesgebyret ta hensyn til det generelle inntektsnivået i medlemsstaten samt til personens økonomiske situasjon. Konsistensmekanismen kan også brukes for å fremme en ensartet anvendelse av overtredelsesgebyrer. Det bør være opp til medlemsstatene å bestemme om og i hvilken grad offentlige myndigheter bør kunne ilegges overtredelsesgebyr. Ilegging av et overtredelsesgebyr eller utstedelse av en advarsel berører ikke anvendelsen av tilsynsmyndighetenes øvrige myndighet eller andre sanksjoner i henhold til denne forordning.
151) Rettsordenen i Danmark og Estland tillater ikke overtredelsesgebyr som fastsatt i denne forordning. Bestemmelsene om overtredelsesgebyr kan i Danmark anvendes ved at gebyr ilegges av vedkommende nasjonale domstoler som en strafferettslig sanksjon, og i Estland ved at gebyr ilegges av tilsynsmyndigheten innenfor rammen av en forseelsesprosedyre, forutsatt at en slik anvendelse av bestemmelsene i disse medlemsstatene har en virkning som tilsvarer virkningen av overtredelsesgebyrer ilagt av tilsynsmyndigheter. Vedkommende nasjonale domstoler bør derfor ta hensyn til anbefalingen fra tilsynsmyndigheten som har initiert gebyret. I alle tilfeller bør gebyrene som ilegges, være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende.
(EN)
Article 29 Working Party, Guidelines on the Application and Setting of Administrative Fines for the Purposes of the Regulation 2016/679 (2017).
Dutch data protection authority (Autoriteit Persoonsgegevens), Policy rules of 19 February 2019 with regard to determining the level of administrative fines (In Dutch, 2019).