Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs NYT Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Ny vejledning: Sådan skal GDPR-bøder udmåles

Kromann Reumert
04/03/2021
Ny vejledning: Sådan skal GDPR-bøder udmåles
Kromann Reumert logo
Rigspolitiet, Rigsadvokaten og Datatilsynet har offentliggjort en vejledning, der skaber gennemsigtighed om Datatilsynets udmåling af bøder i sager om overtrædelser af databeskyttelsesforordningen og -loven.

Bødevejledningen indeholder overordnede retningslinjer for Datatilsynets indstilling af bødepåstande, som tager udgangspunkt i de vurderingskriterier, der fremgår af databeskyttelsesforordningen- og loven.


Selvom Datatilsynet har udarbejdet vejledningen i samarbejde med Rigspolitiet og Rigsadvokaten, er det vigtigt at understrege, at vejledningen vedrører Datatilsynets bødefastsættelse.


Vejledningen er et arbejdsdokument, der løbende vil blive revideret, efterhånden som Datatilsynet, anklagemyndigheden og domstolene håndterer flere straffesager på området, og i takt med at praksis – såvel nationalt som i EU – udvikles.


I vejledningen står der desuden, at Det Europæiske Databeskyttelsesråd (EDPB) arbejder på lignende retningslinjer for bødeudmåling efter databeskyttelsesforordningen. Vi forventer, at Datatilsynets bødevejledning bliver revideret på baggrund af EDPB's retningslinjer, når de er klar.


Hvilke organisationer er omfattet?

Vejledningen omhandler udelukkende fastsættelse af bøder i forbindelse med private virksomheders overtrædelser af databeskyttelsesreglerne, da bødeberegningen, ifølge Datatilsynet, er særlig kompleks i disse sager. Offentlige myndigheder er derfor ikke omfattet af bødemodellen. Ikke desto mindre kan offentlige myndigheder bruge vejledningen til at udlede, hvad Datatilsynet lægger vægt på i forbindelse med en bødeudmåling.


Model for beregning af bøder

I vejledningen inddeles overtrædelserne af databeskyttelsesreglerne i seks kategorier afhængig af overtrædelsens grovhed. Eksempelvis er overtrædelser af databeskyttelsesforordningens artikel 9 om behandling af følsomme personoplysninger kategoriseret som nogle af de mest alvorlige.


For hver kategori er der fastlagt et grundbeløb for bøden, som efterfølgende justeres til virksomhedens størrelse (målt på omsætning og markedsandel) og de øvrige faktorer i den trinbaserede bødemodel.


Bødemodellen i vejledningen tager afsæt i fem trin:


  1. Fastsættelse af bødens grundbeløb på baggrund af kategorisering af overtrædelsens alvorlighed og virksomhedens koncernomsætning.
  2. Justering på baggrund af en vurdering af overtrædelsens karakter, alvor og varighed.
  3. Hensynstagen til skærpende og formildende omstændigheder.
  4. Eventuel justering for databeskyttelsesforordningens bødemaksimum.
  5. Eventuel justering for den dataansvarliges betalingsevne.
    

Læs mere om de enkelte udmålingstrin i bødevejledningen.


Ligheder med den tyske bødemodel

Den danske bødemodel har flere ligheder med den tyske bødemodel, hvor bødeberegningen på tilsvarende vis baseres på en kategorisering af overtrædelsens alvorlighed og den dataansvarliges størrelse efter den gennemsnitlige årlige koncernomsætning.


Dog er den danske bødemodel ikke helt så fokuseret på virksomhedens omsætning som den tyske model, idet den danske model eksempelvis også tager højde for den dataansvarliges markedsandel. Den danske bødemodel adskiller sig også fra den tyske på andre punkter, f.eks. ved at tage højde for den dataansvarliges betalingsevne. Det indebærer blandt andet, at bøden under særlige omstændigheder kan nedsættes, hvis virksomheden kan risikere at gå konkurs ved betaling af bøden.


Er vejledningen bindende?

I indledningen til vejledningen står der, at den skal sikre, at der "gennem retspraksis skabes systematik i bødefastsættelsen", og at retningslinjerne skal sikre en fælles forståelse for bestemmelserne i databeskyttelsesforordningen. Vejledningen har dog ikke bindende karakter, da Datatilsynet ikke har kompetence til at udstede administrative bøder. Efter at have belyst en sag kan Datatilsynet i stedet vælge at politianmelde den dataansvarlige og indstille til en bøde. Derefter undersøger politiet, om der er grundlag for at rejse en sigtelse, hvorefter en eventuel bødestraf bliver afgjort ved en domstol. I sidste ende er det altså op til domstolene at fastsætte den endelige bøde.


Siden databeskyttelsesforordningen fandt anvendelse den 25. maj 2018 har Datatilsynet politianmeldt og bødeindstillet en række dataansvarlige for at overtræde databeskyttelseslovgivningen, men den første straffesag er først for nylig blevet afgjort ved Byretten i Aarhus (anklagemyndigheden har anket denne til landsretten).


Bøder på europæisk plan

Ifølge enrapport er der på europæisk plan udstedt bøder for overtrædelse af databeskyttelseslovgivningen for 272.5 millioner euro (svarende til over 2 milliarder kroner) siden databeskyttelsesforordningen fandt anvendelse den 25. maj 2018.


Med en bødesum på 69.3 millioner euro (svarende til ca. 515 millioner kroner) er Italien det land, der samlet set har udstedt de højeste bøder.


Den højeste GDPR-bøde til dato er bøden på 50 millioner euro (svarende til over 371 millioner kroner), som Google blev pålagt af det franske datatilsyn for at overtræde databeskyttelsesforordningens gennemsigtighedsprincip og for ulovlig behandling af personoplysninger baseret på ugyldige samtykker.

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Kromann Reumert logo
København
Sundkrogsgade 5
2100 København Ø
70 12 12 11
mail@kromannreumert.com
Aarhus
Rådhuspladsen 3
8000 Aarhus C
London
65 St. Paul's Churchyard
London EC4M 8AB
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Fransk domstol anvender Schrems II præmisser på vaccinationsplatform: Brugen af AWS var ikke i strid med GDPR
Fransk domstol anvender Schrems II præmisser på vaccinationsplatform: Brugen af AWS var ikke i strid med GDPR
07/04/2021
Persondata
Derfor var tredjelands­overførsel i overens­stemmelse med Schrems II
Derfor var tredjelands­overførsel i overens­stemmelse med Schrems II
31/03/2021
Persondata
Datatilsynet i Bayern griber ind mod brugen af Mailchimp
Datatilsynet i Bayern griber ind mod brugen af Mailchimp
30/03/2021
Persondata, E-handel og markedsføring
Databeskyttelses­rådets seneste vejledninger og udtalelser
Databeskyttelses­rådets seneste vejledninger og udtalelser
30/03/2021
Persondata
Videoovervågning på arbejdspladsen
Videoovervågning på arbejdspladsen
17/03/2021
Ansættelses- og arbejdsret, Persondata
Medlems­staterne er blevet enige om udkastet til e-data­beskyttelses­forordningen
Medlems­staterne er blevet enige om udkastet til e-data­beskyttelses­forordningen
04/03/2021
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted