Behandling af bødesager efter databeskyttelsesloven

De nye regler i GDPR og databeskyttelsesloven indeholder regler om bødestraf, der giver risiko for meget store bøder til virksomheder, myndigheder og enkeltpersoner. Rigsadvokaten har netop udsendt en instruks til landets anklagere om behandlingen af sager efter den nye lov. Der er lagt i kakkelovnen til de, der tilsigtet eller utilsigtet kompromitterer følsomme og/eller fortrolige personoplysninger.

Persondataforordningen åbner mulighed for at idømme virksomheder bøder på op til 20 mio. euro (eller 4 % af den globale omsætning i virksomheden, hvis det er højere). Offentlige myndigheder risikerer bøder på op til 2 % af driftsbevillingen, mens ledende medarbejdere kan risikere en bødestraf i en mindre størrelsesorden og frihedsstraf i særlige tilfælde.

Rigsadvokaten har nu udsendt en meddelelse om behandlingen af disse sager, og der er lagt op til et snævert samarbejde mellem Datatilsynet og politiet. I den første periode efter lovens ikrafttræden skal alle sager forelægges for de regionale statsadvokater, for at sikre ensartede strafpåstande i sagerne i hele landet. Desuden skal indsatsen mod brud på reglerne koordineres i Rigspolitiet, der også kan bistå politikredsene med efterforskning, international retshjælp mv.

Datatilsynet får et stort ord i forbindelse med beslutninger om tiltalerejsning, strafpåstand og eventuel anke af byretsdomme. Alt dette for at sikre, at dansk retshåndhævelse sker på rette vis og på EU-niveau.

Straffesager om overtrædelse af loven kan afgøres med et bødeforelæg, udstedt af Datatilsynet. Denne mulighed vil imidlertid først blive udnyttet, når der er dannet en praksis på området. I den første tid vil alle sager om overtrædelse af loven derfor blive sendt i byretten.

Datatilsynet er tillagt en ganske vid adgang til at efterforske sager om brud på datasikkerheden. Det omfatter bl.a. adgang til at kræve oplysninger af borgerne og adgang til lokaler, hvor data behandles, uden retskendelse. Fra det tidspunkt, hvor der er indsamlet så mange oplysninger, at der er grundlag for at rejse en sigtelse for overtrædelse af loven, er den mistænkte imidlertid beskyttet af retsplejelovens regler.

En overtrædelse af loven vil som udgangspunkt resultere i en sag mod virksomheden, dvs. det selskab, den forening eller den myndighed, i hvis interesse der er handlet. Som udgangspunkt vil der ikke blive rejst tiltale mod de ansatte i virksomheden. En undtagelse hertil gælder dog, hvis en ledende medarbejder (direktør eller lignende), et bestyrelsesmedlem eller en anden ”overordnet” har handlet forsætligt eller groft uagtsomt, og at der i øvrigt findes at være grund til at udvide sagen til at gælde både virksomheden og den pågældende person. Ansatte i mere underordnede stillinger vil som regel ikke blive tiltalt.


Bech-Bruuns kommentar

Der er endnu ikke dannet en praksis om bødefastsættelse inden for databeskyttelsesområdet. Det må forventes, at bødeniveauet vil blive hævet (betydeligt) i forhold til de regler, der tidligere var gældende, fordi hensigten med de nye regler er at skabe en nogenlunde ensartet praksis i hele EU. Bødeniveauet i Danmark har altid ligget i bunden af skalaen. Det vil der blive ændret på, og Datatilsynet har varslet, at de første sager om loven vil blive indledt allerede i 2018.

Ikke mindst i denne situation er det vigtigt, at den virksomhed, der udsættes for kontrol, får sagkyndig bistand i hele forløbet – også i de sager, hvor risikoen for straf umiddelbart synes at være fjerntliggende. Bech-Bruun kan med kort varsel opstille et hold af erfarne advokater, der har erfaring inden for databeskyttelsesret og strafferet, som kan varetage kontakten til myndighederne, og som kan rådgive om alle aspekter af den undersøgelse, virksomheden bliver undergivet.

 

 



 

---