Ny bødevejledning for GDPR-sager offentliggjort

Datatilsynet har i samarbejde med Rigsadvokaten og Rigspolitiet netop udgivet en bødevejledning til brug for sager vedrørende overtrædelse af databeskyttelsesforordningen og -loven.

Bødevejledningen blev udgivet i udgangen af januar 2021. Formålet med vejledningen er at skabe gennemsigtighed og strømlining i sager om brud på databeskyttelsesforordningen og -loven. Der er tale om en vejledning, som vil blive opdateret i takt med og i overensstemmelse med kommende retspraksis.

Bødens overordnede formål

Det overordnede formål med bøder i sager om overtrædelse af databeskyttelseslovgivningen er, at disse skal have en afskrækkende virkning, men samtidig at bødestørrelsen skal være rimelig og effektiv, jf. Databeskyttelsesforordningens artikel 83, stk. 1.

Bødens grundbeløb

Den nye vejledning opdeler i hovedtræk overtrædelserne i 6 kategorier, hvoraf kategori 1-3 behandles efter artikel 83, stk. 4, og kategori 4-6 behandles efter artikel 83, stk. 5.

Inddelingen i kategorier skal overskueliggøre de forskellige former for overtrædelser. Samtidig reguleres hver kategori med et grundbeløb for bødestørrelsen. Kategoriernes alvorlighed er listet således, at kategori 1 er den mest alvorlige overtrædelse indenfor artikel 83, stk. 4, hvorefter 2 og 3 er mindre alvorlige overtrædelser. På samme måde er kategori 4 den mest alvorlige overtrædelse indenfor artikel 83, stk. 5, hvorefter 5 og 6 er mindre alvorlige.

For de overtrædelser, der er omfattet af artikel 83, stk. 4, er der fastsat et maksimalt bødebeløb på 75 mio. kr. eller op til 2 % af virksomhedens globale omsætning i det foregående regnskabsår. For de overtrædelser, der er omfattet af artikel 83, stk. 5, er der fastsat et maksimalt bødebeløb på 150 mio. kr. eller op til 4 % af virksomhedens globale indkomst i det foregående regnskabsår.

Af vejledningen fremgår et skema over kategoriopdelingen af overtrædelser. En overtrædelse under kategori 1-3, som følger af artikel 83, stk. 4, kan til eksempel være manglende udpegning af repræsentant, behandling, der ikke kræver identifikation eller børns samtykke mm. En overtrædelse under kategori 4-6, som følger af artikel 83, stk. 5, kan til eksempel være manglende underretning af modtagere ved sletning mv., samtykke og gennemsigtighed, samt behandling af særlige kategorier af personoplysninger.

Beregning af bødestørrelsen

Grundbeløbet skal ses som en overordnet retningslinje, som kan og bør justeres af flere forhold. Bødesatsen skal blandt andet justeres i forbindelse med en vurdering af overtrædelsens karakter, alvor og varighed. Tilmed skal der tages hensyn til henholdsvis skærpende og formildende omstændigheder, således at disse også kan påvirke bødestørrelsen i hhv. den ene eller anden retning. Virksomhedens evne til at betale bøden tages også i betragtning, og kan tale for hhv. en lavere eller højere bøde.

De første retssager

Mandag den 1. februar 2021 begyndte den første af de store prøvesager ved retten. Sagen drejer sig om Ilva/IDDesign’s overtrædelse af databeskyttelsesforordningen, hvor 385.000 kunders informationer var opbevaret ulovligt. Datatilsynet stiller i sagen krav om betaling af 1.5 mio. kr. i bøde.

Da sagen er den første af flere prøvesager, må det forventes at afgørelsen kan have stor betydning for fremtidige sager på området. Retten i Aarhus ventes at afsige dom den 12. februar 2021. Hvis du ønsker at læse Datatilsynets vejledning og se kategoriopdelingen kan denne læses her. En kort oversigt over Ilva/IDDesign-sagen kan læses her.

Har du brug for rådgivning? 

Har du spørgsmål til gældende ret på området, kan du kontakte en af TVC Advokatfirmas specialister indenfor fokusområdet Persondatabeskyttelse uforpligtende. Vi sidder altid klar til en drøftelse af din konkrete case.