Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ny vejledning: Sådan skal GDPR-bøder udmåles

Kromann Reumert
04/03/2021
Ny vejledning: Sådan skal GDPR-bøder udmåles
Kromann Reumert logo
Rigspolitiet, Rigsadvokaten og Datatilsynet har offentliggjort en vejledning, der skaber gennemsigtighed om Datatilsynets udmåling af bøder i sager om overtrædelser af databeskyttelsesforordningen og -loven.

Bødevejledningen indeholder overordnede retningslinjer for Datatilsynets indstilling af bødepåstande, som tager udgangspunkt i de vurderingskriterier, der fremgår af databeskyttelsesforordningen- og loven.


Selvom Datatilsynet har udarbejdet vejledningen i samarbejde med Rigspolitiet og Rigsadvokaten, er det vigtigt at understrege, at vejledningen vedrører Datatilsynets bødefastsættelse.


Vejledningen er et arbejdsdokument, der løbende vil blive revideret, efterhånden som Datatilsynet, anklagemyndigheden og domstolene håndterer flere straffesager på området, og i takt med at praksis – såvel nationalt som i EU – udvikles.


I vejledningen står der desuden, at Det Europæiske Databeskyttelsesråd (EDPB) arbejder på lignende retningslinjer for bødeudmåling efter databeskyttelsesforordningen. Vi forventer, at Datatilsynets bødevejledning bliver revideret på baggrund af EDPB's retningslinjer, når de er klar.


Hvilke organisationer er omfattet?

Vejledningen omhandler udelukkende fastsættelse af bøder i forbindelse med private virksomheders overtrædelser af databeskyttelsesreglerne, da bødeberegningen, ifølge Datatilsynet, er særlig kompleks i disse sager. Offentlige myndigheder er derfor ikke omfattet af bødemodellen. Ikke desto mindre kan offentlige myndigheder bruge vejledningen til at udlede, hvad Datatilsynet lægger vægt på i forbindelse med en bødeudmåling.


Model for beregning af bøder

I vejledningen inddeles overtrædelserne af databeskyttelsesreglerne i seks kategorier afhængig af overtrædelsens grovhed. Eksempelvis er overtrædelser af databeskyttelsesforordningens artikel 9 om behandling af følsomme personoplysninger kategoriseret som nogle af de mest alvorlige.


For hver kategori er der fastlagt et grundbeløb for bøden, som efterfølgende justeres til virksomhedens størrelse (målt på omsætning og markedsandel) og de øvrige faktorer i den trinbaserede bødemodel.


Bødemodellen i vejledningen tager afsæt i fem trin:


  1. Fastsættelse af bødens grundbeløb på baggrund af kategorisering af overtrædelsens alvorlighed og virksomhedens koncernomsætning.
  2. Justering på baggrund af en vurdering af overtrædelsens karakter, alvor og varighed.
  3. Hensynstagen til skærpende og formildende omstændigheder.
  4. Eventuel justering for databeskyttelsesforordningens bødemaksimum.
  5. Eventuel justering for den dataansvarliges betalingsevne.
    

Læs mere om de enkelte udmålingstrin i bødevejledningen.


Ligheder med den tyske bødemodel

Den danske bødemodel har flere ligheder med den tyske bødemodel, hvor bødeberegningen på tilsvarende vis baseres på en kategorisering af overtrædelsens alvorlighed og den dataansvarliges størrelse efter den gennemsnitlige årlige koncernomsætning.


Dog er den danske bødemodel ikke helt så fokuseret på virksomhedens omsætning som den tyske model, idet den danske model eksempelvis også tager højde for den dataansvarliges markedsandel. Den danske bødemodel adskiller sig også fra den tyske på andre punkter, f.eks. ved at tage højde for den dataansvarliges betalingsevne. Det indebærer blandt andet, at bøden under særlige omstændigheder kan nedsættes, hvis virksomheden kan risikere at gå konkurs ved betaling af bøden.


Er vejledningen bindende?

I indledningen til vejledningen står der, at den skal sikre, at der "gennem retspraksis skabes systematik i bødefastsættelsen", og at retningslinjerne skal sikre en fælles forståelse for bestemmelserne i databeskyttelsesforordningen. Vejledningen har dog ikke bindende karakter, da Datatilsynet ikke har kompetence til at udstede administrative bøder. Efter at have belyst en sag kan Datatilsynet i stedet vælge at politianmelde den dataansvarlige og indstille til en bøde. Derefter undersøger politiet, om der er grundlag for at rejse en sigtelse, hvorefter en eventuel bødestraf bliver afgjort ved en domstol. I sidste ende er det altså op til domstolene at fastsætte den endelige bøde.


Siden databeskyttelsesforordningen fandt anvendelse den 25. maj 2018 har Datatilsynet politianmeldt og bødeindstillet en række dataansvarlige for at overtræde databeskyttelseslovgivningen, men den første straffesag er først for nylig blevet afgjort ved Byretten i Aarhus (anklagemyndigheden har anket denne til landsretten).


Bøder på europæisk plan

Ifølge enrapport er der på europæisk plan udstedt bøder for overtrædelse af databeskyttelseslovgivningen for 272.5 millioner euro (svarende til over 2 milliarder kroner) siden databeskyttelsesforordningen fandt anvendelse den 25. maj 2018.


Med en bødesum på 69.3 millioner euro (svarende til ca. 515 millioner kroner) er Italien det land, der samlet set har udstedt de højeste bøder.


Den højeste GDPR-bøde til dato er bøden på 50 millioner euro (svarende til over 371 millioner kroner), som Google blev pålagt af det franske datatilsyn for at overtræde databeskyttelsesforordningens gennemsigtighedsprincip og for ulovlig behandling af personoplysninger baseret på ugyldige samtykker.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted