Rigspolitiet, Rigsadvokaten og Datatilsynet har netop offentliggjort en ny vejledning om fastsættelse af bøder for overtrædelser af databeskyttelsesreglerne. Vejledningen er den første vejledning, som skaber gennemsigtighed om, hvordan Datatilsynet fastsætter størrelsen på bøder.

Bødevejledningen er udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, idet både Datatilsynet, politiet og domstolene på nuværende tidspunkt er involveret i behandlingen af sagerne. Vejledningen vil blive udbygget løbende efterhånden som Datatilsynet, anklagemyndigheden og domstolene håndterer flere straffesager.

Vejledningen indeholder en model for beregning af bøden, som indeholder de skridt, der skal tages, før et endeligt bødebeløb fastsættes.

Disse skridt inddeles i vejledningen i følgende trin:

  • Fastsættelse af bødens grundbeløb
  • Justering af grundbeløbet på baggrund af en konkret vurdering af overtrædelsens karakter, alvor og varighed
  • Inddragelse af skærpende og formildende omstændigheder
  • Eventuel justering af beløbet efter GDPR’s maksimum og betalingsevne.

Når disse trin er fulgt, vil Datatilsynet kunne indstille virksomheder med et endeligt bødebeløb. 

Datatilsynet har også mulighed for at udstede administrative bøder, hvilket dog kræver, at der foreligger et klart bødeniveau. Der vil således med tiden, efterhånden som praksis bliver udbygget, kunne fastsættes ”standardiserede” bøder for nærmere angivne overtrædelser af de databeskyttelsesretlige regler. 

Fastsættelse af bødens grundbeløb
Det følger af vejledningen, at Datatilsynet fastsætter grundbeløbet ud fra, hvilken overtrædelse, der er tale om – herunder den pågældende overtrædelses grovhed, bestemmelsens plads i GDPR og de underliggende mål, som bestemmelsen søger at beskytte. 

Datatilsynet har i vejledningen derfor kategoriseret overtrædelserne i seks kategorier, hvor de er inddelt efter alvorlige, mere alvorlige og mest alvorlige overtrædelser. De mest alvorlige overtrædelser omfatter fx indgåelse af databehandleraftaler, behandling af følsomme personoplysninger og overførsler til tredjelande. Datatilsynet har udarbejdet et skema, som viser størrelsen af den bøde, man kan forvente, alt efter hvilken kategori overtrædelsen vedrører. 

For at undgå en skævvridning i, hvordan bøderne rammer virksomheder af forskellige størrelser, skal det afspejles i bødens størrelse, om der er tale om en mikro, lille eller mellemstor virksomhed. Grundbeløbet kan således nedjusteres efter virksomhedernes størrelse, hvor virksomhedens omsætning, størrelse og/eller markedsandels betydning for overtrædelsens karakter også skal tages i betragtning. 

Justering af grundbeløbet 
Når grundbeløbet er fastsat, vil Datatilsynet justere beløbet efter de konkrete omstændigheder. 

Der tages her hensyn til behandlingens karakter, omfang eller formål, antallet af registrerede samt omfanget af den skade, de registrerede har lidt som følge af overtrædelsen. Der tages desuden hensyn til varigheden af overtrædelsen, idet det har betydning for, hvor lang tid, der har været en risiko for de registrerede og de registreredes rettigheder. 

data

Inddragelse af skærpende og formildende omstændigheder
Bøden skal efter fastsættelse af grundbeløbet og justering af overtrædelsens karakter, justeres efter skærpende og formildende omstændigheder. Disse skærpende og formildende omstændigheder følger direkte af databeskyttelsesforordningen.

Det indgår blandt andet i vurderingen, hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt, om der er truffet eventuelle foranstaltninger for at begrænse den skade, som de registrerede har lidt og den dataansvarliges eller databehandlerens grad af ansvar under hensyntagen til tekniske og organisatoriske foranstaltninger, som de har gennemført. 

Derudover spiller samarbejdet med tilsynsmyndigheden og eventuelle tidligere overtrædelser også en rolle. Det har også betydning, om virksomheden selv har underrettet tilsynsmyndigheden om overtrædelsen. 

Det skal også tages i betragtning, hvilke kategorier af personoplysninger, der er berørt af overtrædelsen, samt om der er andre skærpende eller formildende faktorer ved sagens omstændigheder, såsom opnåede økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen.

Der er således tale om en samlet vurdering, som kan medvirke til at bødens størrelse justeres op eller ned. 

Eventuel justering af beløbet efter GDPR’s maksimum og betalingsevne
Endeligt skal Datatilsynet vurdere, om der skal justeres yderligere på beløbet i henhold til bødemaksimum og betalingsevnen. 

Bøden kan aldrig overstige det bødemaksimum, der følger af GDPR. Dette gælder selvom flere bestemmelser er overtrådt, hvis de pågældende behandlingsaktiviteter er forbundne.

Datatilsynet anfører i vejledningen, at der med ”forbundne behandlingsaktiviteter” skal forstås handlinger, der er så nært beslægtet, at de umiddelbart synes at være en sammenhængende handling. Fx hvis overtrædelsen består af flere sammenhængende handlinger for at overtræde en bestemmelse. 

Datatilsynet har endvidere en forpligtelse til at overveje, om en stor bøde vil medføre alvorlig økonomisk konsekvens for den dataansvarlige, men kun hvis den dataansvarlige selv anmoder om nedsættelse grundet dette forhold. Inden nedsættelse af bøden overvejes, kan mere moderate betalingsbetingelser fx udsættelse af betalingen, overvejes

Dette betyder, at Datatilsynet ikke kan indstille til en høj bøde, der får en virksomhed til at gå konkurs, selvom det er både effektiv og afskrækkende, inden det er overvejet om målet kan nås med en mindre bøde.

Når disse trin er gennemgået, kan Datatilsynet indstille den pågældende virksomhed til en bøde.

Bech-Bruuns kommentarer 
Datatilsynets vejledning er den første, som giver nogle retningslinjer for størrelsen på en bøde for overtrædelse af GDPR i Danmark. 

Særligt interessant er Datatilsynets kategorisering af overtrædelser, som kan hjælpe organisationer med at inddele deres egne behandlingsaktiviteter efter, hvor stor en risiko den pågældende behandling medfører. Vejledningen gør det således muligt for organisationer at udarbejde konkrete risikovurderinger efter Datatilsynets inddeling af, hvor alvorlig en given behandlingsaktivitet er og dermed, hvor stor risikoen for de registrerede er. 

Det kan derfor være en god idé som organisation at genbesøge sine behandlingsaktiviteter og vurdere risikoen af dem ud fra Datatilsynets kategorisering. 

Derudover er det med vejledningen nu muligt at vurdere, hvilken betydning den pågældende virksomheds størrelse vil have for fastsættelsen af grundbeløbet. En lignende model findes ikke for offentlige myndigheder, hvorfor det må antages, at dette element ikke tæller med i grundbeløbet, hvis der er tale om en offentlig myndighed.

Det er dog også væsentligt at være opmærksom på, at det ultimativt er domstolene, som fastsætter bødeniveauet i sager vedr. manglende overholdelse af GDPR. Dette pågår for øjeblikket i en række verserende sager hos domstolene. I den forbindelse skal det bemærkes, at domstole i andre EU-lande både har underkendt og nedsat bøder udstedt af de nationale datatilsynsmyndigheder. 

Bech-Bruun bistår virksomheder både før, under og efter et tilsyn, sikkerhedsbrud, klagesag mv., som kan føre til en indstilling til en bøde. 

Du er altid velkommen til at tage fat i Bech-Bruuns databeskyttelsesretsteam.