Første danske bøde for overtrædelse af persondatareglerne

Bemærk: Dommen er anket til landsretten

 

Datatilsynet konstaterede under et kontrolbesøg, at virksomheden ikke havde forholdt sig til, hvor længe kundeoplysninger var nødvendige at opbevare i et gammelt system. For hovedparten af virksomhedens butikker var systemet erstattet af et nyt, men enkelte benyttede dog stadig det gamle system. 

 

Du kan læse nærmere om datatilsynets resultat af kontrolbesøget i vores tidligere nyhedsbrev her

 

Rettens vurdering og fastsættelse af bødens størrelse  

Sagen er nu afgjort i byretten i Aarhus, og dommen lød på en bøde på 100.000 kr., hvilket ligger væsentligt under Datatilsynets bødeforlæg.

 

I dommen blev det konstateret, at virksomhedens gamle system indeholdt ca. 350.000 personoplysninger, som normalt bør slettes efter fem år. Årsagen til den lavere bøde skyldtes rettens vedtagelse af, at det blot var den tiltaltes egen omsætning, der skulle lægges til grund for bødens størrelse i modsætning til hele koncernens omsætning, som Datatilsynet ellers havde taget udgangspunkt i. Dertil vurderede retten, at den manglende sletning skyldtes en uagtsom forglemmelse, som følge af at virksomheden havde fokuseret sit GDPR-arbejde på virksomhedens aktive systemer og ikke de udfasede systemer.

 

Yderligere vurderede retten, at det var en formildende omstændighed, at der var tale om en førstegangsforseelse, at de omhandlede personoplysninger var almindelige personoplysninger, at ingen registrerede havde lidt skade, samt at oplysningerne lå i et system, som kun lejlighedsvist blev tilgået, da systemet for hovedparten af virksomhedens afdelinger var blevet udfaset.  

 

Databeskyttelsesforordningens strafudmålingsprincip er, at overtrædelser skal mødes med sanktioner, der er effektive, proportionelle og har en afskrækkende virkning. Ligeledes lægger forarbejderne til databeskyttelsesloven op til en væsentlig forøgelse af bødeniveauet fra sager afgjort efter det tidligere regelsæt. I denne sag fandt retten derfor, at en bøde på 100.000 kr. var det rigtige niveau, idet den hidtidige praksis for lignende overtrædelser har været på mellem 2.000 til 25.000 kr.

 

Vejledning til fastsættelse af bøder

Længere nede på siden her kan du læse en sammenfatning af Rigspolitiets, Rigsadvokatens og Datatilsynets vejledning til, hvordan bøder for overtrædelser af databeskyttelsesreglerne skal fastsættes.

 

Overtrædelsen var en kategori 5

For nærværende sag er der tale om en kategori 5 overtrædelse med et grundbødebeløb på 15 mio. kr. for virksomheder af samme størrelse som ILVA A/S. Retten har derfor fundet, at konkrete omstændigheder og efterfølgende væsentlig formildende omstændigheder har fundet sted, hvilket medførte en nedjustering af bøden til 100.000 kr.

 

Dommen er anket til landsretten, og der er derfor endnu ikke sat et endeligt punktum i sagen.

 

HjulmandKaptains kommentarer

Som det fremgår i sagen og i nedenstående bødevejledning, er der mange faktorer, der spiller ind, når en bøde for overtrædelse af GDPR skal fastsættes. Kommende domsafsigelser vil sige mere om, hvor niveauet for overtrædelser af databeskyttelsesreglerne skal ligge i Danmark.

 

For ikke at havne i samme situation er det vigtigt, at virksomheder, der behandler personoplysninger for kunder og medarbejdere, til hver en tid sikrer sig at have det fornødne overblik over, hvilke personoplysninger virksomheden behandler, hvordan de behandles, og hvornår de slettes. 

Har du spørgsmål eller brug for rådgivning i forbindelse med GDPR, så er du altid velkommen til at kontakte os.

 

I det følgende kan du se en sammenfatning af Rigspolitiets, Rigsadvokatens og Datatilsynets vejledning til bødefastsættelse.

 

Hvordan skal bøder for overtrædelse af GDPR fastsættes?

Vejledningen skal ses som et arbejdsdokument, der løbende vil blive udbygget i takt med, at Datatilsynet, anklagemyndigheden og domstolene håndterer flere straffesager på området, og praksis på nationalt- og EU-plan udvikles. Vejledningen vedrører alene fastlæggelse af bøder i forbindelse med virksomheders overtrædelse af databeskyttelsesreglerne.

 

Sådan justeres bøden

Når en bøde skal fastlægges, findes der et grundbeløb ud fra kategorien af overtrædelsen. Herefter justeres beløbet op eller ned på baggrund af en konkret vurdering af overtrædelsens karakter, alvor og varighed. Derudover kan der være skærpende eller formildende omstændigheder, som også kan få indflydelse på bødens størrelse i opadgående eller nedadgående retning. Slutteligt kan der ske justering i nedadgående retning, hvis første fastlæggelse overstiger databeskyttelsesforordningens maksimum, eller hvis bødemodtagers betalingsevne nødvendiggør dette.

 

Kategorier af overtrædelser og grundbeløb for bødefastsættelse

Overtrædelser omfattet af databeskyttelsesforordningens artikel 83, stk. 4 og stk. 5 er hver opdelt i tre kategorier:

• Kategori 1 og 4 er alvorlige overtrædelser
• Kategori 2 og 5 er mere alvorlige overtrædelser
• Kategori 3 og 6 er de mest alvorlige overtrædelser

  

Overtrædelse af kategori 1-3 har et bødeloft på 75 mio. kr. eller 2 % af virksomhedens samlede globale omsætning i det foregående regnskabsår, hvis dette er højere end 75 mio. kr.

 

Overtrædelse af kategori 4-6 har et bødeloft på 150 mio. kr. eller 4 % af virksomhedens samlede globale omsætning.  

 

I nedenstående tabeller ses en oversigt over, hvilke overtrædelser der tilhører henholdsvis kategori 1-6.

Kategori	Overtrædelse
1	Udpegning af repræsentant (artikel 27) Samarbejde med tilsynsmyndigheden (artikel 31)
2	Behandling der ikke kræver identifikation (artikel 11) Fortegnelse over behandlingsaktiviteter (artikel 30) Anmeldelse af brud på persondatasikkerheden (artikel 33) Udpegning mv. af databeskyttelsesrådgiver (DPO) (artikel 37-39)
3	Børns samtykke (artikel 8) Privacy by design (artikel 25) Fælles dataansvarlige (artikel 26) Databehandleraftale (artikel 28) Behandling der udføres for den dataansvarlige/databehandleren (artikel 29) Behandlingssikkerhed (artikel 32) Underretning ved brud på persondatasikkerheden (artikel 34) Konsekvensanalyse (DPIA) (artikel 35-36) Kontrol med godkendte adfærdskodekser (artikel 41, stk 4) Certificering (artikel 42-43)

 

 

Kategori	Overtrædelse
4	Underretning af modtagere ved sletning mv. (artikel 19) Ret til dataportabilitet (artikel 20)
5	Grundprincipperne (artikel 5) Samtykke (artikel 7) Gennemsigtighed (artikel 12) Oplysningspligten ved indsamling af personoplysninger hos den registrerede selv (artikel 13) Lovlig behandling (artikel 6) Oplysningspligten ved indsamling af personoplysninger hos andre end den registrerede selv (artikel 14) Indsigtsretten (artikel 15) Ret til berigtigelse (artikel 16) Retten til sletning (artikel 17) Ret til begrænsning af behandling (artikel 18) Ret til indsigelse (artikel 21) Automatiske individuelle afgørelser, herunder profilering (artikel 22)
6	Behandling af særlige kategorier af personoplysninger (artikel 9-10) Overførsler til tredjelande og internationale organisationer (artikel 44-49)

 

Grundbeløbet for overtrædelse af kategori 1 og 4 er 5 % af bødeloftet (hhv. 3,75 mio. kr. og 7,5 mio. kr.)

 

Grundbeløbet for overtrædelse af kategori 2 og 5 er 10 % af bødeloftet (hhv. 7,5 mio. kr. og 15. mio. kr.)

 

Grundbeløbet for overtrædelse af kategori 3 og 6 er 20 % af bødeloftet (hhv. 15 mio. kr. og 30. mio. kr.)

 

Grundbeløbet kan nedjusteres til 0,4 % af standardgrundbeløbet for mikrovirksomheder, 2 % for små virksomheder og 10 % for mellemstore virksomheder. Samtidig kan grundbeløbet justeres efter virksomhedens konkrete omsætning og størrelse/markedsandele.

 

Overtrædelsens karakter, alvor og varighed

Efter fastlæggelse af grundbeløbet skal beløbet justeres efter de konkrete omstændigheder.

Her tages navnlig hensyn til behandlingens karakter, omfang, formål, antal af registrerede og omfanget af den lidte skade.

 

Omfang af behandling

Her kigges der på, om behandlingen er udført lokalt, nationalt eller grænseoverskridende. Risikoen for de registrerede og afhjælpningsmulighederne vurderes sværere, jo større omfanget af behandlingen er, hvilket kan opjustere bødefastsættelsen.

 

Formål

Et anerkendelsesværdigt formål vil blive set mildere på. Her kigges f.eks. på, om der er tale om kommercielle formål eller non-profit formål, og om formålet er inden for virksomhedens kerneområde.

 

Antal af registrerede

Et større antal berørte eller potentielt berørte registrerede vil blive set strengere på end en overtrædelse med et mindre antal berørte registrerede.

 

Omfanget af den skade der er lidt

Større og mere alvorlig skade for de berørte registrerede vil skulle opjustere bødefastsættelsen

 

Varighed

Jo længere overtrædelsen har stået på, jo højere skal bøden fastsættes til. Det bemærkes dog, at der kun kan fastsættes bøder for overtrædelser, der er sket efter den 25. maj 2018, men at det vil blive set skærpende på, hvis overtrædelsen også stod på før denne dato, og ligeledes var overtrædelse af de før gældende regler.

 

Yderligere skærpende og formildende omstændigheder

Når grundbeløbet er fastsat og justeret efter de konkrete omstændigheder, alvor og varighed, skal bøden justeres efter de øvrige skærpende og formildende omstændigheder.

 

Her kigges på:

• Hvorvidt overtrædelsen er begået med forsæt eller uagtsomhed
• Om den dataansvarlige eller databehandleren har foretaget foranstaltninger for at begrænse den skade, som de registrerede har lidt
• Hvorvidt de valgte sikkerhedsforanstaltninger lever op til det ansvar, man med rimelighed kan forvente af den dataansvarlige/databehandleren
• Graden af samarbejde med Datatilsynet (relevant tilsynsmyndighed)
• Kategorien af de berørte personoplysninger
• Overholdelse af tidligere truffet sikkerhedsforanstaltninger
• Overholdelse af godkendte adfærdskodekser
• Om der er andre skærpende eller formildende omstændigheder, såsom om dataansvarlige/databehandleren har opnået en økonomisk fordel som direkte eller indirekte følge af overtrædelsen

  

Har du spørgsmål eller brug for rådgivning?

Har du spørgsmål eller brug for rådgivning i forbindelse med GDPR, så er du altid velkommen til at kontakte os.