Nyhed

Ny vejledning: Sådan skal GDPR-bøder udmåles

Rigspolitiet, Rigsadvokaten og Datatilsynet har offentliggjort en vejledning, der skaber gennemsigtighed om Datatilsynets udmåling af bøder i sager om overtrædelser af databeskyttelsesforordningen og -loven.

Mobil med fingeraftryk på

Bødevejledningen indeholder overordnede retningslinjer for Datatilsynets indstilling af bødepåstande, som tager udgangspunkt i de vurderingskriterier, der fremgår af databeskyttelsesforordningen- og loven. 

Selvom Datatilsynet har udarbejdet vejledningen i samarbejde med Rigspolitiet og Rigsadvokaten, er det vigtigt at understrege, at vejledningen vedrører Datatilsynets bødefastsættelse. 

Vejledningen er et arbejdsdokument, der løbende vil blive revideret, efterhånden som Datatilsynet, anklagemyndigheden og domstolene håndterer flere straffesager på området, og i takt med at praksis – såvel nationalt som i EU – udvikles. 

I vejledningen står der desuden, at Det Europæiske Databeskyttelsesråd (EDPB) arbejder på lignende retningslinjer for bødeudmåling efter databeskyttelsesforordningen. Vi forventer, at Datatilsynets bødevejledning bliver revideret på baggrund af EDPB's retningslinjer, når de er klar.

Hvilke organisationer er omfattet? 

Vejledningen omhandler udelukkende fastsættelse af bøder i forbindelse med private virksomheders overtrædelser af databeskyttelsesreglerne, da bødeberegningen, ifølge Datatilsynet, er særlig kompleks i disse sager. Offentlige myndigheder er derfor ikke omfattet af bødemodellen. Ikke desto mindre kan offentlige myndigheder bruge vejledningen til at udlede, hvad Datatilsynet lægger vægt på i forbindelse med en bødeudmåling. 

Model for beregning af bøder

I vejledningen inddeles overtrædelserne af databeskyttelsesreglerne i seks kategorier afhængig af overtrædelsens grovhed. Eksempelvis er overtrædelser af databeskyttelsesforordningens artikel 9 om behandling af følsomme personoplysninger kategoriseret som nogle af de mest alvorlige. 

For hver kategori er der fastlagt et grundbeløb for bøden, som efterfølgende justeres til virksomhedens størrelse (målt på omsætning og markedsandel) og de øvrige faktorer i den trinbaserede bødemodel. 

Bødemodellen i vejledningen tager afsæt i fem trin: 

  1. Fastsættelse af bødens grundbeløb på baggrund af kategorisering af overtrædelsens alvorlighed og virksomhedens koncernomsætning.
  2. Justering på baggrund af en vurdering af overtrædelsens karakter, alvor og varighed.
  3. Hensynstagen til skærpende og formildende omstændigheder.
  4. Eventuel justering for databeskyttelsesforordningens bødemaksimum.
  5. Eventuel justering for den dataansvarliges betalingsevne.
Læs mere om de enkelte udmålingstrin i bødevejledningen.

Ligheder med den tyske bødemodel

Den danske bødemodel har flere ligheder med den tyske bødemodel, hvor bødeberegningen på tilsvarende vis baseres på en kategorisering af overtrædelsens alvorlighed og den dataansvarliges størrelse efter den gennemsnitlige årlige koncernomsætning. 

Læs om den tyske bødemodel.

Dog er den danske bødemodel ikke helt så fokuseret på virksomhedens omsætning som den tyske model, idet den danske model eksempelvis også tager højde for den dataansvarliges markedsandel. Den danske bødemodel adskiller sig også fra den tyske på andre punkter, f.eks. ved at tage højde for den dataansvarliges betalingsevne. Det indebærer blandt andet, at bøden under særlige omstændigheder kan nedsættes, hvis virksomheden kan risikere at gå konkurs ved betaling af bøden. 

Er vejledningen bindende? 

I indledningen til vejledningen står der, at den skal sikre, at der "gennem retspraksis skabes systematik i bødefastsættelsen", og at retningslinjerne skal sikre en fælles forståelse for bestemmelserne i databeskyttelsesforordningen. Vejledningen har dog ikke bindende karakter, da Datatilsynet ikke har kompetence til at udstede administrative bøder. Efter at have belyst en sag kan Datatilsynet i stedet vælge at politianmelde den dataansvarlige og indstille til en bøde. Derefter undersøger politiet, om der er grundlag for at rejse en sigtelse, hvorefter en eventuel bødestraf bliver afgjort ved en domstol. I sidste ende er det altså op til domstolene at fastsætte den endelige bøde. 

Siden databeskyttelsesforordningen fandt anvendelse den 25. maj 2018 har Datatilsynet politianmeldt og bødeindstillet en række dataansvarlige for at overtræde databeskyttelseslovgivningen, men den første straffesag er først for nylig blevet afgjort ved Byretten i Aarhus (anklagemyndigheden har anket denne til landsretten).

Den sag kan du læse mere om i denne nyhed: Virksomhed idømt bøde på 100.000 kroner for overtrædelse af GDPR.

Bøder på europæisk plan

Ifølge en rapport er der på europæisk plan udstedt bøder for overtrædelse af databeskyttelseslovgivningen for 272.5 millioner euro (svarende til over 2 milliarder kroner) siden databeskyttelsesforordningen fandt anvendelse den 25. maj 2018.

Med en bødesum på 69.3 millioner euro (svarende til ca. 515 millioner kroner) er Italien det land, der samlet set har udstedt de højeste bøder. 

Den højeste GDPR-bøde til dato er bøden på 50 millioner euro (svarende til over 371 millioner kroner), som

Google blev pålagt af det franske datatilsyn for at overtræde databeskyttelsesforordningens gennemsigtighedsprincip og for ulovlig behandling af personoplysninger baseret på ugyldige samtykker.

Juridiske specialer
Databeskyttelse

Kontakt

Heela Lakanval

Heela Lakanval

Director, advokat (København)
Dir. +45 38 77 46 61
Mob. +45 61 55 21 94
hlv@kromannreumert.com

Nyhedsservice

Nyhedsservice

Få relevante nyheder og invitationer til arrangementer direkte i din indbakke.

Tilmeld dig