GDPR-bøde: Datatilsynet har den 29. januar 2021 offentliggjort en ny vejledning om fastsættelse af GDPR-bøder for overtrædelse af reglerne om databeskyttelse.
Vejledningen opstiller en beregningsmodel, som har til hensigt at gøre udmålingen af GDPR-bøder for overtrædelser af persondataforordningen mere gennemsigtig.
Modellen indeholder fire trin, der samlet skal medføre, at bødefastsættelsen sker på struktureret vis, hvor både skærpende og formildende omstændigheder tages i betragtning for at finde et passende bødeniveau.
1: Fastsættelse af grundbeløb
I det første trin i Datatilsynets beregningsmodel i fastsætter Datatilsynet et grundbeløb for den påtænkte GDPR-bøde.
Datatilsynet foretager denne vurdering ved først og fremmest at klassificere overtrædelsen efter, om denne er omfattet af persondataforordningens artikel 83, stk. 4 eller stk. 5. Herefter kategoriseres overtrædelserne i seks underkategorier, som er afgrænset ud fra alvoren af overtrædelsen, og som hver især er tildelt et standardgrundbeløb. De første tre underkategorier indeholder overtrædelser, som er omfattet af artikel 83, stk. 4, mens de sidste tre kategorier indeholder overtrædelser, som er er omfattet af artikel 83, stk. 5.
Overtrædelserne er inddelt som følger:
Overtrædelser omfattet af art. 83, stk. 4 (Bødemaksimum på 75 mio. kr. / 2 % af årlig omsætning)
Kategori 1
- Udpegning af repræsentant (artikel 27)
- Samarbejde med tilsynsmyndigheden (artikel 31)
Alvorlig overtrædelse ⇒
Grundbeløb udgør 5 % af bødemaksimum dvs. 3,75 mio. kr.
Kategori 2
- Behandling der ikke kræver identifikation (artikel 11)
- Fortegnelse over behandlingsaktiviteter (artikel 30)
- Anmeldelse af brud på persondatasikkerheden (artikel 33)
- Udpegning mv. af databeskyttelsesrådgiver (DPO) (artikel 37-39)
Mere alvorlig overtrædelse ⇒
Grundbeløb udgør 10 % af bødemaksimum dvs. 7,5 mio. kr.
Kategori 3
- Børns samtykke (artikel 8)
- Privacy by design (artikel 25)
- Fælles dataansvarlige (artikel 26)
- Databehandleraftale (artikel 28)
- Behandling der udføres for den dataansvarlige/databehandleren (artikel 29)
- Behandlingssikkerhed (artikel 32)
- Underretning ved brud på persondatasikkerheden (artikel 34)
- Konsekvensanalyse (DPIA) (artikel 35-36)
- Kontrol med godkendte adfærdskodekser (artikel 41, stk. 4)
- Certificering (artikel 42-43)
Mest alvorlig overtrædelse ⇒
Grundbeløb udgør 20 % af bødemaksimum dvs. 15 mio. kr.
Kategori 4
- Underretning af modtagere ved sletning mv. (artikel 19)
- Ret til dataportabilitet (artikel 20)
Alvorlig overtrædelse ⇒
Grundbeløb udgør 5 % af bødemaksimum dvs. 7,5 mio. kr.
Kategori 5
- Grundprincipperne (artikel 5)
- Samtykke (artikel 7)
- Gennemsigtighed (artikel 12)
- Oplysningspligten ved indsamling af personoplysninger hos den registrerede selv (artikel 13)
- Lovlig behandling (artikel 6)
- Oplysningspligten ved indsamling af personoplysninger hos andre end den registrerede selv (artikel 14)
- Indsigtsretten (artikel 15)
- Ret til berigtigelse (artikel 16)
- Ret til sletning (artikel 17)
- Ret til begrænsning af behandling (artikel 18)
- Ret til indsigelse (artikel 21) )
- Automatiske individuelle afgørelser, herunder profilering (artikel 22)
Mere alvorlig overtrædelse ⇒
Grundbeløb udgør 10 % af bødemaksimum dvs. 15 mio. kr.
Kategori 6
- Behandling af særlige kategorier af personoplysninger (artikel 9-10)
- Overførsler til tredjelande og internationale organisationer (artikel 44-49)
Mest alvorlig overtrædelse ⇒
Grundbeløb udgør 20 % af bødemaksimum dvs. 30 mio. kr.
Når Datatilsynet har fastsat grundbeløbet ud fra overtrædelsens kategorisering, tilpasser Datatilsynet dette grundbeløb i forhold til virksomhedens omsætning og markedsandel for at fastsætte det endelige grundbeløb i den konkrete sag.
Alt afhængig af virksomhedens omsætning og markedsandel kan Datatilsynet nedjustere grundbeløbet til:
- 0,4 % af standardgrundbeløbet for mikrovirksomheder (med en årlig koncernomsætning på op til kr. 15.000.000)
- 2 % af standardgrundbeløbet for små virksomheder (med en årlig koncernomsætning på op til kr. 75.000.000)
- 10 % af standardgrundbeløbet for mellemstore virksomheder (med en årlig koncernomsætning på op til kr. 375.000.000)
Vejledningen lægger op til, at omsætningen skal fastsættes som koncernomsætning, også selvom moderselskabet ikke er dataansvarligt i den pågældende sag.
Læs også artiklen: H&M får GDPR-bøde på 260 mio. kr.
2: Justering af grundbeløb ud fra en konkret vurdering af overtrædelsens karakter
Når grundbeløbet er justeret i forhold til virksomhedens omsætning og markedsandel, kan Datatilsynet justere grundbeløbet yderligere med udgangspunkt i sagens konkrete omstændigheder, herunder fx i forhold til overtrædelsens karakter, alvor, varighed, omfang af registrerede og skade mv.
3: Formildende eller skærpende omstændigheder for justering
Når Datatilsynet har fastsat det endelige grundbeløb, vurderer Datatilsynet, om der er behov for yderligere justering af en GDPR-bød ud fra de formildende og skærpende omstændigheder, som oplistet i persondataforordningens artikel 83, stk. 2.
Datasynet gennemgår alle de i artikel 83, stk. 2, anførte momenter i vejledningen.
Det følger blandt andet af vejledningen, at det er en skærpende omstændighed, såfremt overtrædelsen har været forsætlig, men at det ikke er en formildende omstændighed, at overtrædelsen er sket som følge af uagtsomhed.
Derudover lægger vejledningen vægt på eventuelle foranstaltninger, som den dataansvarlige har truffet for at begrænse den skade, som de registrerede har lidt/lider.
Datatilsynet nævner endvidere tidligere overtrædelsestilfælde som en skærpende omstændighed.
4: Evt. justering efter persondataforordningens maksimum eller justering efter betalingsevne
Det fjerde og sidste trin i vejledningen vedrører en eventuel justering af bøden ud fra de maksimumbeløb, der er angivet i artikel 83, stk. 4 og 5, på henholdsvis 75 og 150 mio. kr. eller % af koncernomsætning.
Herudover anfører Datatilsynet i vejledningen, at der i visse tilfælde kan tages hensyn til den dataansvarliges ”manglende betalingsevne”. Dette skal ses som et proportionalitetsprincip, når en stor GDPR-bøde vil medføre en alvorlig økonomisk konsekvens for den dataansvarlige. Det er dog ikke et fritagelseskort, men kan ifølge Datatilsynet anvendes ved særlige omstændigheder, hvis den afskrækkende effekt kan opnås med en mindre bøde, der ikke sætter den dataansvarliges virksomhed over styr.
Bødesager i Danmark
Når Datatilsynet har foretaget den endelige udmåling af GDPR-bøden, vil Datatilsynet som udgangspunkt skulle foretage en politianmeldelse af virksomheden med en indstilling til en bøde, og det vil således være op til Anklagemyndigheden at vurdere sagen og Datatilsynets bødeindstilling og føre sagen mod virksomheden ved domstolene.
Siden persondataforordningen trådte i kraft, har Datatilsynet politianmeldt 8 virksomheder og offentlige myndigheder med bødeindstillinger på mellem 50.000 og 1,5 mio. kr.
Den 12. februar 2021 afsagde Retten i Aarhus dom i den første danske sag om overtrædelse af persondataforordningen. I denne sag mod IDdesign A/S nedsatte byretten bøden fra 1.5 mio. kr. til 100.000 kr.