Overtrædelse af GDPR – bøder og sanktioner
Da GDPR trådte i kraft i maj 2018, var et at målene, at overtrædelse af reglerne skulle kunne mærkes. Det fremgår bl.a. af forordningen, at bøder skal være effektive og have en afskrækkende virkning. Det kan da også konstateres, at netop truslen om store bøder har fået mange dataansvarlige til at tage beskyttelse af personoplysninger langt mere alvorligt end før GDPR, hvor stort set samme regelsæt var gældende.
Bøder til offentlige myndigheder
I Danmark har Folketinget valgt, at også offentlige myndigheder skal kunne pålægges en bøde for overtrædelse af de databeskyttelsesretlige regler. Bøderne er dog væsentligt mindre end de bøder, som private virksomheder kan stå over for. Det skyldes blandt andet et ønske om at tage hensyn til offentlige myndigheders særlige situation, f.eks. at de ved lov er pålagt opgaver og ikke uden videre kan standse sådanne behandlinger.
Fra maj 2018 til august 2022 har Datatilsynet indstillet til en bøde i 25 sager. Af dem er 14 offentlige myndigheder.
Bøder til private virksomheder
Når Datatilsynet vurderer, hvilket beløb bøden til en privat virksomhed skal lyde på, så tages der blandt andet udgangspunkt i, hvilken overtrædelse der er tale om, hvilken skade overtrædelsen har medført eller potentielt kunne medføre for de registrerede, og hvor mange personer der er berørt. Der bliver også lagt vægt på, om overtrædelsen er forsætlig, eller om den dataansvarlige har gjort, hvad der var muligt for at undgå overtrædelsen.
Overtrædelse af f.eks. de grundlæggende principper i forordningen eller de registreredes rettigheder er dyrest. Her kan bøden lyde på maximalt 20 millioner EUR eller 4 % af virksomhedens samlede årlige globale omsætning.
Overtrædelse af blandt andet de forpligtelser, som den dataansvarlige eller databehandleren har, kan medføre en bøde på maksimalt 10 mio. EUR eller 2 % af virksomhedens samlede globale årlige omsætning.
Den højeste bøde, som en privat virksomhed indtil videre er indstillet til i Danmark, er på 10 millioner kroner.
Sådan foregår det, når Datatilsynet indstiller til en bøde
I modsætning til andre lande i EU kan Datatilsynet i Danmark ikke udstede administrative bøder. Hvis Datatilsynet vurderer, at den dataansvarlig skal have en bøde for overtrædelse af GDPR, så anmelder Datatilsynet den dataansvarlige til politiet og vedlægger en indstilling til, hvad bøden skal lyde på. Herefter er det op til politi og anklagemyndighed at rejse tiltale og føre sagen ved domstolene, og det er domstolen, der afgør, om der skal idømmes en bøde, og om Datatilsynets bødeindstilling i så fald skal følges.
Vær opmærksom på andre typer af sanktioner
Risikoen for de meget store bøder har fået størst opmærksomhed i forbindelse med GDPR’s ikrafttræden. Men dataansvarlige bør også være opmærksomme på de øvrige sanktioner, som Datatilsynet kan anvende. Det er f.eks. forbud og påbud, der kan medføre store ressourcemæssige og økonomiske omkostninger for en dataansvarlig.
Forbud
Forbuddet blev blandt andet anvendt i forbindelse med den såkaldte Chromebook-sag fra Helsingør. Her fik kommunen forbud mod at anvende Chromebook i skolerne, før sikkerheden var bragt i orden. Et forbud betyder altså, at den dataansvarlige skal stoppe med behandlingen straks.
Påbud
En anden sanktion er påbuddet. Et påbud kan f.eks. handle om at bringe en behandlingsaktivitet i overensstemmelse med forordningen. Et påbud kommer som hovedregel med en frist for, hvornår det skal være efterlevet. Nogle vil mene, at der gives en rimelig frist, men for mange dataansvarlige, der mødes af sådan et påbud, vil fristen med stor sandsynlighed opleves som kort. Særligt, hvis påbuddet skyldes, at behandlingssikkerheden ikke er tilstrækkelig, og den dataansvarlig derfor skal i gang med at opdatere it-systemer eller andre omfattende og komplicerede opgaver.
Sådan undgår du sanktioner
Den mest effektive vej til at undgå bøder og andre sanktioner er naturligvis at have styr på datasikkerheden. Jo mere effektivt og seriøst din organisation kan dokumentere, at I arbejder med GDPR, des mindre er sandsynligheden for at blive mødt med en sanktion.
Det fremgår af Datatilsynets og justitsministeriets bødevejledning at en eventuel bøde udregnes efter følgende model:
- Grundbeløb (det skal være effektivt og afskrækkende)
- Justering på baggrund af en konkret vurdering af overtrædelsens karakter, alvor og varighed
- Justering som følge af skærpende omstændigheder
- Justering som følge af formildende omstændigheder
- Justering for GDPR’s maksimumsats
- Justering efter betalingsevne
- = Endelig bøde
Skærpende omstændigheder er bl.a. forsæt til at overtræde reglerne. Et eksempel kan være, at en dataansvarlig er klar over, at reglerne overtrædes, men fortsætter behandlingen alligevel. Måske vælges der af økonomiske grunde et billigere it-system, selvom systemet ikke overholder GDPR.
Formildende omstændigheder er bl.a., når den dataansvarlige gør, hvad der er muligt for at begrænse skaden f.eks. ved at opdatere interne politikker og behandlingssikkerhed samt at samarbejde med Datatilsynet om at få bragt behandlingen i overensstemmelse med GDPR.
Bødevejledningens beskrivelse af skærpende og formildende omstændigheder kan generelt anvendes til en forståelse af, hvad Datatilsynet lægger vægt på, når tilsynet vælger den rette sanktion. Du finder vejledning om udmåling af bøder til virksomheder her
På Datatilsynets hjemmeside kan du også finde en oversigt over, hvilke sanktioner der er anvendt, herunder sager hvor der er indstillet til en bøde
Har du spørgsmål eller brug for rådgivning?
Har du spørgsmål vedrørende bøder og sanktioner i forbindelse med GDPR, eller ønsker du råd og sparring, så er du altid velkommen til at kontakte vores specialister i databeskyttelse.
Nyheder
Se flereTilmeld dig
HjulmandKaptains
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.