Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs NYT Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Ny vejledning om bøder efter GDPR

Bech Bruun
03/02/2021
Ny vejledning om bøder efter GDPR
Bech Bruun logo
Rigspolitiet, Rigsadvokaten og Datatilsynet har netop offentliggjort en ny vejledning om fastsættelse af bøder for overtrædelser af databeskyttelsesreglerne. Vejledningen er den første vejledning, som skaber gennemsigtighed om, hvordan Datatilsynet fastsætter størrelsen på bøder.

Bødevejledningen er udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, idet både Datatilsynet, politiet og domstolene på nuværende tidspunkt er involveret i behandlingen af sagerne. Vejledningen vil blive udbygget løbende efterhånden som Datatilsynet, anklagemyndigheden og domstolene håndterer flere straffesager.


Vejledningen indeholder en model for beregning af bøden, som indeholder de skridt, der skal tages, før et endeligt bødebeløb fastsættes.


Disse skridt inddeles i vejledningen i følgende trin:


  • Fastsættelse af bødens grundbeløb
  • Justering af grundbeløbet på baggrund af en konkret vurdering af overtrædelsens karakter, alvor og varighed
  • Inddragelse af skærpende og formildende omstændigheder
  • Eventuel justering af beløbet efter GDPR’s maksimum og betalingsevne.

Når disse trin er fulgt, vil Datatilsynet kunne indstille virksomheder med et endeligt bødebeløb.


Datatilsynet har også mulighed for at udstede administrative bøder, hvilket dog kræver, at der foreligger et klart bødeniveau. Der vil således med tiden, efterhånden som praksis bliver udbygget, kunne fastsættes ”standardiserede” bøder for nærmere angivne overtrædelser af de databeskyttelsesretlige regler.


Fastsættelse af bødens grundbeløb

Det følger af vejledningen, at Datatilsynet fastsætter grundbeløbet ud fra, hvilken overtrædelse, der er tale om – herunder den pågældende overtrædelses grovhed, bestemmelsens plads i GDPR og de underliggende mål, som bestemmelsen søger at beskytte.


Datatilsynet har i vejledningen derfor kategoriseret overtrædelserne i seks kategorier, hvor de er inddelt efter alvorlige, mere alvorlige og mest alvorlige overtrædelser. De mest alvorlige overtrædelser omfatter fx indgåelse af databehandleraftaler, behandling af følsomme personoplysninger og overførsler til tredjelande. Datatilsynet har udarbejdet et skema, som viser størrelsen af den bøde, man kan forvente, alt efter hvilken kategori overtrædelsen vedrører.


For at undgå en skævvridning i, hvordan bøderne rammer virksomheder af forskellige størrelser, skal det afspejles i bødens størrelse, om der er tale om en mikro, lille eller mellemstor virksomhed. Grundbeløbet kan således nedjusteres efter virksomhedernes størrelse, hvor virksomhedens omsætning, størrelse og/eller markedsandels betydning for overtrædelsens karakter også skal tages i betragtning.


Justering af grundbeløbet

Når grundbeløbet er fastsat, vil Datatilsynet justere beløbet efter de konkrete omstændigheder.


Der tages her hensyn til behandlingens karakter, omfang eller formål, antallet af registrerede samt omfanget af den skade, de registrerede har lidt som følge af overtrædelsen. Der tages desuden hensyn til varigheden af overtrædelsen, idet det har betydning for, hvor lang tid, der har været en risiko for de registrerede og de registreredes rettigheder.


Inddragelse af skærpende og formildende omstændigheder

Bøden skal efter fastsættelse af grundbeløbet og justering af overtrædelsens karakter, justeres efter skærpende og formildende omstændigheder. Disse skærpende og formildende omstændigheder følger direkte af databeskyttelsesforordningen.


Det indgår blandt andet i vurderingen, hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt, om der er truffet eventuelle foranstaltninger for at begrænse den skade, som de registrerede har lidt og den dataansvarliges eller databehandlerens grad af ansvar under hensyntagen til tekniske og organisatoriske foranstaltninger, som de har gennemført.


Derudover spiller samarbejdet med tilsynsmyndigheden og eventuelle tidligere overtrædelser også en rolle. Det har også betydning, om virksomheden selv har underrettet tilsynsmyndigheden om overtrædelsen.


Det skal også tages i betragtning, hvilke kategorier af personoplysninger, der er berørt af overtrædelsen, samt om der er andre skærpende eller formildende faktorer ved sagens omstændigheder, såsom opnåede økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen.


Der er således tale om en samlet vurdering, som kan medvirke til at bødens størrelse justeres op eller ned.


Eventuel justering af beløbet efter GDPR’s maksimum og betalingsevne

Endeligt skal Datatilsynet vurdere, om der skal justeres yderligere på beløbet i henhold til bødemaksimum og betalingsevnen.


Bøden kan aldrig overstige det bødemaksimum, der følger af GDPR. Dette gælder selvom flere bestemmelser er overtrådt, hvis de pågældende behandlingsaktiviteter er forbundne.


Datatilsynet anfører i vejledningen, at der med ”forbundne behandlingsaktiviteter” skal forstås handlinger, der er så nært beslægtet, at de umiddelbart synes at være en sammenhængende handling. Fx hvis overtrædelsen består af flere sammenhængende handlinger for at overtræde en bestemmelse.


Datatilsynet har endvidere en forpligtelse til at overveje, om en stor bøde vil medføre alvorlig økonomisk konsekvens for den dataansvarlige, men kun hvis den dataansvarlige selv anmoder om nedsættelse grundet dette forhold. Inden nedsættelse af bøden overvejes, kan mere moderate betalingsbetingelser fx udsættelse af betalingen, overvejes


Dette betyder, at Datatilsynet ikke kan indstille til en høj bøde, der får en virksomhed til at gå konkurs, selvom det er både effektiv og afskrækkende, inden det er overvejet om målet kan nås med en mindre bøde.


Når disse trin er gennemgået, kan Datatilsynet indstille den pågældende virksomhed til en bøde.


Bech-Bruuns kommentarer

Datatilsynets vejledning er den første, som giver nogle retningslinjer for størrelsen på en bøde for overtrædelse af GDPR i Danmark.


Særligt interessant er Datatilsynets kategorisering af overtrædelser, som kan hjælpe organisationer med at inddele deres egne behandlingsaktiviteter efter, hvor stor en risiko den pågældende behandling medfører. Vejledningen gør det således muligt for organisationer at udarbejde konkrete risikovurderinger efter Datatilsynets inddeling af, hvor alvorlig en given behandlingsaktivitet er og dermed, hvor stor risikoen for de registrerede er.


Det kan derfor være en god idé som organisation at genbesøge sine behandlingsaktiviteter og vurdere risikoen af dem ud fra Datatilsynets kategorisering.


Derudover er det med vejledningen nu muligt at vurdere, hvilken betydning den pågældende virksomheds størrelse vil have for fastsættelsen af grundbeløbet. En lignende formular findes ikke for offentlige myndigheder, hvorfor det må antages, at dette element ikke tæller med i grundbeløbet, hvis der er tale om en offentlig myndighed.


Bech-Bruun bistår virksomheder både før, under og efter et tilsyn, sikkerhedsbrud, klagesag mv. som kan føre til en indstilling til en bøde.


Du er altid velkommen til at tage fat i Bech-Bruuns databeskyttelsesretsteam.

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Fransk domstol anvender Schrems II præmisser på vaccinationsplatform: Brugen af AWS var ikke i strid med GDPR
Fransk domstol anvender Schrems II præmisser på vaccinationsplatform: Brugen af AWS var ikke i strid med GDPR
07/04/2021
Persondata
Derfor var tredjelands­overførsel i overens­stemmelse med Schrems II
Derfor var tredjelands­overførsel i overens­stemmelse med Schrems II
31/03/2021
Persondata
Datatilsynet i Bayern griber ind mod brugen af Mailchimp
Datatilsynet i Bayern griber ind mod brugen af Mailchimp
30/03/2021
Persondata, E-handel og markedsføring
Databeskyttelses­rådets seneste vejledninger og udtalelser
Databeskyttelses­rådets seneste vejledninger og udtalelser
30/03/2021
Persondata
Videoovervågning på arbejdspladsen
Videoovervågning på arbejdspladsen
17/03/2021
Ansættelses- og arbejdsret, Persondata
Medlems­staterne er blevet enige om udkastet til e-data­beskyttelses­forordningen
Medlems­staterne er blevet enige om udkastet til e-data­beskyttelses­forordningen
04/03/2021
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted