Risk · GDPR-böter

    Vad kostar en personuppgiftsincident?

    När en attack exfiltrerar personuppgifter är det inte längre enbart en IT-händelse. Det är en regulatorisk händelse med anmälningsplikt, tillsyn och böter under GDPR. Räkna på er exponering nedan.

    Art. 83(5) GDPR
    4 %

    av total global årsomsättning kan dömas ut för allvarliga brott.

    Statutärt tak
    20 M EUR

    Den högre summan av 4 % och 20 M EUR är taket.

    Kalkylator

    Räkna på er exponering.

    Ange omsättning, antal drabbade och omständigheter. Resultatet är en indikativ uppskattning baserad på Art. 83 GDPR och praxis från IMY, CNIL och Ireland DPC.

    Steg 1 av 4

    Företagets storlek

    Sätter det lagliga taket

    SEK250 000 000 kr
    Sannolikt utfall
    4 452 914 kr
    ≈ 387 210 EUR
    0Statutärt tak 230 000 000 kr
    1.9 % av statutärt tak
    Lägsta troliga
    2 449 103 kr
    Sannolikt
    4 452 914 kr
    Värsta fall
    10 261 494 kr
    Så landade vi här
    1. 1
      Formel 1 - Statutärt tak
      Högre av 4 % av 250 M eller 20 M EUR
      230 000 000 kr
    2. 2
      Formel 2 - Basbelopp
      Omsättning × 0,3 % × skala för 25 000 drabbade
      3 298 455 kr
    3. 3
      Formel 3 - Datakategori
      Vanliga personuppgifter · ×1.0
      3 298 455 kr
    4. 4
      Formel 4 - Försvårande och förmildrande
      +35 % · ±0 %
      4 452 914 kr
    5. 5
      Sannolikt utfall
      Under statutärt tak
      4 452 914 kr
    Indikativ uppskattning baserad på Art. 83 GDPR och praxis. Faktiskt utfall avgörs av tillsynsmyndighet (i Sverige IMY) och påverkas av många fler faktorer än de som visas här. Växelkurs 11.5 kr/EUR.
    Verkliga böter

    Det här har faktiskt dömts ut.

    2023
    1,2 mdr EUR
    Meta (Ireland DPC)
    Olagliga dataöverföringar EU-USA
    2021
    746 M EUR
    Amazon (CNPD Luxemburg)
    Behandling utan giltig grund
    2022
    405 M EUR
    Instagram (Ireland DPC)
    Barns uppgifter exponerade
    2022
    150 M EUR
    Google (CNIL Frankrike)
    Cookie-design utan tydligt val
    2023
    58 Mkr
    Spotify (IMY Sverige)
    Brister i registerutdrag
    2022
    7,5 Mkr
    Klarna (IMY Sverige)
    Otydlig information vid behandling
    2026
    6 Mkr
    SportAdmin (IMY Sverige)
    Otillräcklig säkerhet - barnuppgifter exponerade
    Vad GDPR säger

    Två kategorier av sanktioner.

    Art. 83(4) - Lägre kategori
    10 M EUR eller 2 %

    Av total global årsomsättning. Den högre summan gäller.

    • - Brister i säkerhet (Art. 32)
    • - Bristfällig anmälan av incident (Art. 33-34)
    • - Saknad konsekvensbedömning (Art. 35)
    • - Saknad eller felaktig DPO (Art. 37-39)
    Art. 83(5) - Högre kategori
    20 M EUR eller 4 %

    Av total global årsomsättning. Den högre summan gäller.

    • - Olaglig behandling (Art. 5-7, 9)
    • - Kränkning av registrerades rättigheter (Art. 12-22)
    • - Olagliga överföringar till tredje land (Art. 44-49)
    • - Brott mot tillsynsbeslut
    Art. 83(2) - Faktorer som väger in
    ·Typ, allvar och varaktighet av överträdelsen
    ·Antal drabbade registrerade och skadans omfång
    ·Datakategori (känsliga uppgifter väger tyngre)
    ·Uppsåt eller oaktsamhet
    ·Vidtagna åtgärder för att begränsa skada
    ·Tidigare överträdelser
    ·Samarbete med tillsynsmyndighet
    ·Sätt att få kännedom om incidenten
    ·Tekniska och organisatoriska åtgärder
    Indirekta kostnader

    Böterna är bara en del av notan.

    Skadestånd från registrerade

    Art. 82 GDPR ger varje drabbad rätt att kräva skadestånd. Grupptalan blir vanligare.

    Anmälningsplikt och PR

    Drabbade och tillsyn ska informeras. Mediabilden kostar i tid, byråarvode och varumärke.

    Kundförluster

    B2B-kunder kräver SOC2/ISO och säger upp avtal. B2C-kunder lämnar tysta.

    Försäkringspremier upp

    Cyberförsäkring blir dyrare eller villkoras hårdare efter en incident.

    DPO-, jurist- och konsulttimmar

    Forensik, juridik och tillsynsdialog drar lätt 6-12 månaders extern tid.

    Värdet på varumärket

    Långvarig effekt på trust-score, NPS och lead-konvertering.

    Metodik och källor

    Så här räknar kalkylatorn.

    Modellen är en transparent uppskattning - inte en juridisk prognos. Varje siffra är en kalibrering mot praxis från IMY, CNIL, Ireland DPC och CNPD, inte ett officiellt riktvärde.

    Formel 1 - Statutärt tak

    Taket är det högre av 4 % av total global årsomsättning eller 20 M EUR (Art. 83(5) GDPR)[1]. Vi använder växelkursen 11.5 kr/EUR för att jämföra de två i SEK[5].

    cap = max(omsättning × 0,04, 20 000 000 × 11.5)
    Formel 2 - Basbelopp

    Basen utgår från 0,3 % av omsättningen, multiplicerat med en logaritmisk skala på antal drabbade[2]. 100 drabbade ger ~0,3×, 10 000 ger ~1×, 1 miljon ger ~1,5× av basfaktorn. Den totala basfaktorn skalas med 4 så typiska realistiska utfall hamnar i samma härad som faktiska tillsynsbeslut.

    skala = max(0,3, log10(max(100, drabbade)) / 4)
bas = omsättning × 0,003 × skala × 4
    Formel 3 - Datakategori

    Känsliga uppgifter (Art. 9) och barns uppgifter väger tyngre i tillsynens bedömning[3]. Multiplikatorerna är kalibrerade mot publicerade beslut.

    • Vanliga personuppgifter×1.0
    • Känsliga uppgifter (Art. 9)×1.7
    • Barns uppgifter×1.4
    Formel 4 - Försvårande och förmildrande

    Försvårande omständigheter adderar till basen. Förmildrande omständigheter drar av[4]. Förmildrande kan aldrig sänka utfallet under 40 % av basen.

    agg  = 1 + Σ(försvårande %)
mit  = max(0,4, 1 - Σ(förmildrande %))
utfall = min(cap, bas × agg × mit)
    Spannet (lägsta / sannolikt / värsta)
    • Sannolikt: resultatet av formeln ovan, klampat till statutärt tak.
    • Lägsta troliga: 55 % av sannolikt utfall - speglar att tillsyn ofta landar lägre vid första överträdelsen.
    • Värsta fall: det statutära taket enligt Art. 83(5).
    Antaganden och begränsningar
    • - Statisk växelkurs 11.5 kr/EUR, ingen daglig uppdatering.
    • - Vi använder högre kategorin (Art. 83(5)) som tak, eftersom exfiltrering av personuppgifter i praktiken hanteras där.
    • - Modellen tar inte hänsyn till koncernstruktur, sektor (vård, finans), eller om incidenten är upprepad.
    • - Skadestånd enligt Art. 82, civilrättsliga krav och indirekta kostnader ingår inte.
    • - Svenska sanktioner från IMY har historiskt legat under EU-snittet - utfallet kan vara lägre i Sverige.
    • - Resultatet är indikativt och ersätter inte juridisk rådgivning.
    Källor och hänvisningar

    Klicka på ett antagande för att se exakta hänvisningar till GDPR, EDPB och IMY. Fotnoterna [1]-[7] i texten ovan länkar hit.

    Kostnadsfri playbook
    Skärmdump av Akira ransomware-gruppens terminalskärm. Grön monospace-text på svart bakgrund med rubriken AKIRA i pixelart. Texten lyder: Well, you are here. It means that you're suffering from cyber incident right now. Think of our actions as an unscheduled forced audit of your network for vulnerabilities. Keep in mind that there is a fair price to make it all go away. Do not rush to assess what is happening - we did it to you. The best thing you can do is to follow our instructions to get back to your daily routine. Those who choose different path will be shamed here publicly. Remember. You are unable to recover without our help. Your data is already gone. Nedanför finns en kommandolista: leaks, news, contact, help, clear.

    Undvik boten: en incidenthantering som tillsynsmyndigheten godkänner

    Dokumenterad inneslutning, notifieringstider och bevisspår. Välj utgåvan som matchar din jurisdiktion.

    Välj din region
    Sänk risken

    Sänk risken innan IMY ringer.

    Acronis-stacken stoppar exfiltrering i tidigt skede och Skyddad arbetsplats ger er den dokumentation tillsynen frågar efter. Boka en genomgång så går vi igenom er nuläge.