Ny vejledning: Sådan skal GDPR-bøder udmåles
Bødevejledningen indeholder overordnede retningslinjer for Datatilsynets indstilling af bødepåstande, som tager udgangspunkt i de vurderingskriterier, der fremgår af databeskyttelsesforordningen- og loven.
Selvom Datatilsynet har udarbejdet vejledningen i samarbejde med Rigspolitiet og Rigsadvokaten, er det vigtigt at understrege, at vejledningen vedrører Datatilsynets bødefastsættelse.
Vejledningen er et arbejdsdokument, der løbende vil blive revideret, efterhånden som Datatilsynet, anklagemyndigheden og domstolene håndterer flere straffesager på området, og i takt med at praksis – såvel nationalt som i EU – udvikles.
I vejledningen står der desuden, at Det Europæiske Databeskyttelsesråd (EDPB) arbejder på lignende retningslinjer for bødeudmåling efter databeskyttelsesforordningen. Vi forventer, at Datatilsynets bødevejledning bliver revideret på baggrund af EDPB's retningslinjer, når de er klar.
Hvilke organisationer er omfattet?
Vejledningen omhandler udelukkende fastsættelse af bøder i forbindelse med private virksomheders overtrædelser af databeskyttelsesreglerne, da bødeberegningen, ifølge Datatilsynet, er særlig kompleks i disse sager. Offentlige myndigheder er derfor ikke omfattet af bødemodellen. Ikke desto mindre kan offentlige myndigheder bruge vejledningen til at udlede, hvad Datatilsynet lægger vægt på i forbindelse med en bødeudmåling.
Model for beregning af bøder
I vejledningen inddeles overtrædelserne af databeskyttelsesreglerne i seks kategorier afhængig af overtrædelsens grovhed. Eksempelvis er overtrædelser af databeskyttelsesforordningens artikel 9 om behandling af følsomme personoplysninger kategoriseret som nogle af de mest alvorlige.
For hver kategori er der fastlagt et grundbeløb for bøden, som efterfølgende justeres til virksomhedens størrelse (målt på omsætning og markedsandel) og de øvrige faktorer i den trinbaserede bødemodel.
Bødemodellen i vejledningen tager afsæt i fem trin:
- Fastsættelse af bødens grundbeløb på baggrund af kategorisering af overtrædelsens alvorlighed og virksomhedens koncernomsætning.
- Justering på baggrund af en vurdering af overtrædelsens karakter, alvor og varighed.
- Hensynstagen til skærpende og formildende omstændigheder.
- Eventuel justering for databeskyttelsesforordningens bødemaksimum.
- Eventuel justering for den dataansvarliges betalingsevne.
Læs mere om de enkelte udmålingstrin i bødevejledningen.
Ligheder med den tyske bødemodel
Den danske bødemodel har flere ligheder med den tyske bødemodel, hvor bødeberegningen på tilsvarende vis baseres på en kategorisering af overtrædelsens alvorlighed og den dataansvarliges størrelse efter den gennemsnitlige årlige koncernomsætning.
Dog er den danske bødemodel ikke helt så fokuseret på virksomhedens omsætning som den tyske model, idet den danske model eksempelvis også tager højde for den dataansvarliges markedsandel. Den danske bødemodel adskiller sig også fra den tyske på andre punkter, f.eks. ved at tage højde for den dataansvarliges betalingsevne. Det indebærer blandt andet, at bøden under særlige omstændigheder kan nedsættes, hvis virksomheden kan risikere at gå konkurs ved betaling af bøden.
Er vejledningen bindende?
I indledningen til vejledningen står der, at den skal sikre, at der "gennem retspraksis skabes systematik i bødefastsættelsen", og at retningslinjerne skal sikre en fælles forståelse for bestemmelserne i databeskyttelsesforordningen. Vejledningen har dog ikke bindende karakter, da Datatilsynet ikke har kompetence til at udstede administrative bøder. Efter at have belyst en sag kan Datatilsynet i stedet vælge at politianmelde den dataansvarlige og indstille til en bøde. Derefter undersøger politiet, om der er grundlag for at rejse en sigtelse, hvorefter en eventuel bødestraf bliver afgjort ved en domstol. I sidste ende er det altså op til domstolene at fastsætte den endelige bøde.
Siden databeskyttelsesforordningen fandt anvendelse den 25. maj 2018 har Datatilsynet politianmeldt og bødeindstillet en række dataansvarlige for at overtræde databeskyttelseslovgivningen, men den første straffesag er først for nylig blevet afgjort ved Byretten i Aarhus (anklagemyndigheden har anket denne til landsretten).
Bøder på europæisk plan
Ifølge enrapport er der på europæisk plan udstedt bøder for overtrædelse af databeskyttelseslovgivningen for 272.5 millioner euro (svarende til over 2 milliarder kroner) siden databeskyttelsesforordningen fandt anvendelse den 25. maj 2018.
Med en bødesum på 69.3 millioner euro (svarende til ca. 515 millioner kroner) er Italien det land, der samlet set har udstedt de højeste bøder.
Den højeste GDPR-bøde til dato er bøden på 50 millioner euro (svarende til over 371 millioner kroner), som Google blev pålagt af det franske datatilsyn for at overtræde databeskyttelsesforordningens gennemsigtighedsprincip og for ulovlig behandling af personoplysninger baseret på ugyldige samtykker.