Første danske bøde for overtrædelse af persondatareglerne
Tilbage i juni 2019 indstillede Datatilsynet møbelkæden IDdesign A/S (nu ILVA A/S) til en bøde på 1,5 mio. kr. for manglende sletning af oplysninger på ca. 385.000 kunder. Denne sag er nu afgjort ved byretten i Aarhus, hvor dommen blev en bøde på 100.000 kr.
Bemærk: Dommen er anket til landsretten
Datatilsynet konstaterede under et kontrolbesøg, at virksomheden ikke havde forholdt sig til, hvor længe kundeoplysninger var nødvendige at opbevare i et gammelt system. For hovedparten af virksomhedens butikker var systemet erstattet af et nyt, men enkelte benyttede dog stadig det gamle system.
Du kan læse nærmere om datatilsynets resultat af kontrolbesøget i vores tidligere nyhedsbrev her
Rettens vurdering og fastsættelse af bødens størrelse
Sagen er nu afgjort i byretten i Aarhus, og dommen lød på en bøde på 100.000 kr., hvilket ligger væsentligt under Datatilsynets bødeforlæg.
I dommen blev det konstateret, at virksomhedens gamle system indeholdt ca. 350.000 personoplysninger, som normalt bør slettes efter fem år. Årsagen til den lavere bøde skyldtes rettens vedtagelse af, at det blot var den tiltaltes egen omsætning, der skulle lægges til grund for bødens størrelse i modsætning til hele koncernens omsætning, som Datatilsynet ellers havde taget udgangspunkt i. Dertil vurderede retten, at den manglende sletning skyldtes en uagtsom forglemmelse, som følge af at virksomheden havde fokuseret sit GDPR-arbejde på virksomhedens aktive systemer og ikke de udfasede systemer.
Yderligere vurderede retten, at det var en formildende omstændighed, at der var tale om en førstegangsforseelse, at de omhandlede personoplysninger var almindelige personoplysninger, at ingen registrerede havde lidt skade, samt at oplysningerne lå i et system, som kun lejlighedsvist blev tilgået, da systemet for hovedparten af virksomhedens afdelinger var blevet udfaset.
Databeskyttelsesforordningens strafudmålingsprincip er, at overtrædelser skal mødes med sanktioner, der er effektive, proportionelle og har en afskrækkende virkning. Ligeledes lægger forarbejderne til databeskyttelsesloven op til en væsentlig forøgelse af bødeniveauet fra sager afgjort efter det tidligere regelsæt. I denne sag fandt retten derfor, at en bøde på 100.000 kr. var det rigtige niveau, idet den hidtidige praksis for lignende overtrædelser har været på mellem 2.000 til 25.000 kr.
Vejledning til fastsættelse af bøder
Længere nede på siden her kan du læse en sammenfatning af Rigspolitiets, Rigsadvokatens og Datatilsynets vejledning til, hvordan bøder for overtrædelser af databeskyttelsesreglerne skal fastsættes.
Overtrædelsen var en kategori 5
For nærværende sag er der tale om en kategori 5 overtrædelse med et grundbødebeløb på 15 mio. kr. for virksomheder af samme størrelse som ILVA A/S. Retten har derfor fundet, at konkrete omstændigheder og efterfølgende væsentlig formildende omstændigheder har fundet sted, hvilket medførte en nedjustering af bøden til 100.000 kr.
Dommen er anket til landsretten, og der er derfor endnu ikke sat et endeligt punktum i sagen.
HjulmandKaptains kommentarer
Som det fremgår i sagen og i nedenstående bødevejledning, er der mange faktorer, der spiller ind, når en bøde for overtrædelse af GDPR skal fastsættes. Kommende domsafsigelser vil sige mere om, hvor niveauet for overtrædelser af databeskyttelsesreglerne skal ligge i Danmark.
For ikke at havne i samme situation er det vigtigt, at virksomheder, der behandler personoplysninger for kunder og medarbejdere, til hver en tid sikrer sig at have det fornødne overblik over, hvilke personoplysninger virksomheden behandler, hvordan de behandles, og hvornår de slettes.
Har du spørgsmål eller brug for rådgivning i forbindelse med GDPR, så er du altid velkommen til at kontakte os.
I det følgende kan du se en sammenfatning af Rigspolitiets, Rigsadvokatens og Datatilsynets vejledning til bødefastsættelse.
Hvordan skal bøder for overtrædelse af GDPR fastsættes?
Vejledningen skal ses som et arbejdsdokument, der løbende vil blive udbygget i takt med, at Datatilsynet, anklagemyndigheden og domstolene håndterer flere straffesager på området, og praksis på nationalt- og EU-plan udvikles. Vejledningen vedrører alene fastlæggelse af bøder i forbindelse med virksomheders overtrædelse af databeskyttelsesreglerne.
Sådan justeres bøden
Når en bøde skal fastlægges, findes der et grundbeløb ud fra kategorien af overtrædelsen. Herefter justeres beløbet op eller ned på baggrund af en konkret vurdering af overtrædelsens karakter, alvor og varighed. Derudover kan der være skærpende eller formildende omstændigheder, som også kan få indflydelse på bødens størrelse i opadgående eller nedadgående retning. Slutteligt kan der ske justering i nedadgående retning, hvis første fastlæggelse overstiger databeskyttelsesforordningens maksimum, eller hvis bødemodtagers betalingsevne nødvendiggør dette.
Kategorier af overtrædelser og grundbeløb for bødefastsættelse
Overtrædelser omfattet af databeskyttelsesforordningens artikel 83, stk. 4 og stk. 5 er hver opdelt i tre kategorier:
- Kategori 1 og 4 er alvorlige overtrædelser
- Kategori 2 og 5 er mere alvorlige overtrædelser
- Kategori 3 og 6 er de mest alvorlige overtrædelser
Overtrædelse af kategori 1-3 har et bødeloft på 75 mio. kr. eller 2 % af virksomhedens samlede globale omsætning i det foregående regnskabsår, hvis dette er højere end 75 mio. kr.
Overtrædelse af kategori 4-6 har et bødeloft på 150 mio. kr. eller 4 % af virksomhedens samlede globale omsætning.
I nedenstående tabeller ses en oversigt over, hvilke overtrædelser der tilhører henholdsvis kategori 1-6.
Kategori | Overtrædelse |
1 |
|
2 |
|
3 |
|
Kategori | Overtrædelse |
4 |
|
5 |
|
6 |
|
Grundbeløbet for overtrædelse af kategori 1 og 4 er 5 % af bødeloftet (hhv. 3,75 mio. kr. og 7,5 mio. kr.)
Grundbeløbet for overtrædelse af kategori 2 og 5 er 10 % af bødeloftet (hhv. 7,5 mio. kr. og 15. mio. kr.)
Grundbeløbet for overtrædelse af kategori 3 og 6 er 20 % af bødeloftet (hhv. 15 mio. kr. og 30. mio. kr.)
Grundbeløbet kan nedjusteres til 0,4 % af standardgrundbeløbet for mikrovirksomheder, 2 % for små virksomheder og 10 % for mellemstore virksomheder. Samtidig kan grundbeløbet justeres efter virksomhedens konkrete omsætning og størrelse/markedsandele.
Overtrædelsens karakter, alvor og varighed
Efter fastlæggelse af grundbeløbet skal beløbet justeres efter de konkrete omstændigheder.
Her tages navnlig hensyn til behandlingens karakter, omfang, formål, antal af registrerede og omfanget af den lidte skade.
Omfang af behandling
Her kigges der på, om behandlingen er udført lokalt, nationalt eller grænseoverskridende. Risikoen for de registrerede og afhjælpningsmulighederne vurderes sværere, jo større omfanget af behandlingen er, hvilket kan opjustere bødefastsættelsen.
Formål
Et anerkendelsesværdigt formål vil blive set mildere på. Her kigges f.eks. på, om der er tale om kommercielle formål eller non-profit formål, og om formålet er inden for virksomhedens kerneområde.
Antal af registrerede
Et større antal berørte eller potentielt berørte registrerede vil blive set strengere på end en overtrædelse med et mindre antal berørte registrerede.
Omfanget af den skade der er lidt
Større og mere alvorlig skade for de berørte registrerede vil skulle opjustere bødefastsættelsen
Varighed
Jo længere overtrædelsen har stået på, jo højere skal bøden fastsættes til. Det bemærkes dog, at der kun kan fastsættes bøder for overtrædelser, der er sket efter den 25. maj 2018, men at det vil blive set skærpende på, hvis overtrædelsen også stod på før denne dato, og ligeledes var overtrædelse af de før gældende regler.
Yderligere skærpende og formildende omstændigheder
Når grundbeløbet er fastsat og justeret efter de konkrete omstændigheder, alvor og varighed, skal bøden justeres efter de øvrige skærpende og formildende omstændigheder.
Her kigges på:
- Hvorvidt overtrædelsen er begået med forsæt eller uagtsomhed
- Om den dataansvarlige eller databehandleren har foretaget foranstaltninger for at begrænse den skade, som de registrerede har lidt
- Hvorvidt de valgte sikkerhedsforanstaltninger lever op til det ansvar, man med rimelighed kan forvente af den dataansvarlige/databehandleren
- Graden af samarbejde med Datatilsynet (relevant tilsynsmyndighed)
- Kategorien af de berørte personoplysninger
- Overholdelse af tidligere truffet sikkerhedsforanstaltninger
- Overholdelse af godkendte adfærdskodekser
- Om der er andre skærpende eller formildende omstændigheder, såsom om dataansvarlige/databehandleren har opnået en økonomisk fordel som direkte eller indirekte følge af overtrædelsen
Har du spørgsmål eller brug for rådgivning?
Har du spørgsmål eller brug for rådgivning i forbindelse med GDPR, så er du altid velkommen til at kontakte os.
Nyheder
Se flereTilmeld dig
HjulmandKaptains
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.