fbpx

Første dom om bøde efter GDPR-overtrædelse – er der herefter grund til at frygte massive bøder?

Skrevet af Kira Kolby Christensen, advokat og partner 19-02-2021

Allerførst Datatilsynets vejledning om bødeniveauet

Datatilsynet har i samarbejde med Rigspolitiet udarbejdet en vejledning, der skal give større gennemsigtighed omkring bødefastsættelse ved overtrædelse af databeskyttelsesforordningen (GDPR).

Vejledningen er offentliggjort den 29. januar 2021 og kan læses her.

Vejledningen slår indledningsvist fast, at databeskyttelsesforordningen forudsætter, at bøden i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Vejledningen opdeler dernæst GDPR-overtrædelser i 6 hovedkategorier. Kategorierne tager udgangspunkt i den ikke-udtømmende liste af kriterier, som forordningen forudsætter, at der skal lægges vægt på ved fastlæggelsen af bøder. Ud fra de 6 hovedkategorier angiver vejledningen et grundlæggende bødeniveau for hver enkelt kategori afhængig af også virksomhedens størrelse.

 

Eksempler på bødeniveauerne for de enkelte kategorier

Efter vejledningen vil en virksomhed med en årlig omsætning på mellem 15 og 75 mio. kr., og som har overtrådt reglerne om f.eks. udarbejdelse af fortegnelser eller reglerne om anmeldelse af databrud (= kategori 2), kunne blive mødt med et bødegrundniveau på ≥ 150.000 kr.

Har virksomheden overtrådt sikkerhedsreglerne (= kategori 3), vil grundbødeniveauet dog ligge på ≥ 300.000 kr. tilsvarende niveau gælder for overtrædelse af de grundlæggende behandlingsregler – herunder sletningskravet (= kategori 5).

Er der i stedet tale om en overtrædelse af behandlingsreglerne for den særlige kategori af oplysninger – bl.a. helbredsoplysninger og oplysninger om fagforeningsmæssigt tilhørsforhold – er vi i kategori 6, hvor grundbødeniveauet er ≥ 600.000 kr.

Til sammenligning vil de tilsvarende grundbødeniveauer i en virksomhed med en årlig omsætning på over 3,75 mia. kr. ligge på henholdsvis ≥ 7,5 mio. kr. (kategori 2), ≥ 15 mio. kr. (kategori 3 og 5) og ≥ 30 mio. kr. (kategori 6).

Niveauerne fastlægges som det fremgår ud fra omsætningsintervaller, og kan derfor justeres i forhold til den konkrete virksomheds omsætning.

Konkrete omsætningstal kan herefter både tale for at hæve og sænke bøden. Ifølge vejledningen kan bøden dog maksimalt nedjusteres til et beløb svarende til 2 % af angivne grundniveaue. Efter databeskyttelsesforordningen kan bøden desuden maksimalt udgøre henholdsvis 2 % eller 4 % af den globale omsætning – alt afhængig af hvilke bestemmelser, man har overtrådt.

 

Konkrete omstændigheder der skal tillægges vægt

Der er som angivet tale om grundniveauer. Den nærmere fastlæggelse af bøden afhænger derfor også af de konkrete omstændigheder, som kan være:

 

  • Overtrædelsens karakter

Har der været forsæt eller udvist grov uagtsomhed eller er der tale om simpel uagtsomhed?

  • Overtrædelsens varighed

Har overtrædelsen stået på i lang tid og burde/kunne der være reageret tidligere?

  • Behandlingens karakter

Er der tale om følsomme/fortrolige eller helt banale oplysninger?

  • Behandlingens omfang

Hvor mange registrerede og/eller personoplysninger er omfattet af behandlingen, der er berørt af overtrædelsen?

  • Omfanget af den skade, som overtrædelsen har indebåret eller kan indebære for de registrerede

Er der eksempelvis tale om hemmeligholdte oplysninger, der er gjort tilgængelige med risiko til følge for de registreredes liv og helbred, eller er der tale om, at overtrædelsen ingen reel konsekvens har haft for de registrerede, fordi de blot er glemt i en sletningsproces og uden at uvedkommende har haft fat i dem?

 

Retten i Aarhus’ dom af 12. februar 2021 om 100.000 kr. i bøde for manglende sletning

Efter Datatilsynets vejledning om bødeniveauet har vi nu også fået den første dom om sanktionering efter databeskyttelsesforordningen.

Sagen drejede sig om et møbelfirmas manglende sletning af ca. 350.000 personoplysninger. Sagen vedrørte dermed en overtrædelse af det grundlæggende behandlingsprincip i databeskyttelsesforordningens artikel 5, stk. 1, litra e, hvorefter oplysninger ikke må opbevares længere end nødvendigt for at opfylde det oprindelige formål med indsamlingen og behandlingen.

Datatilsynet havde indstillet til en bøde på 1,5 mio. kr. Møbelfirmaet fik ved dommen en bøde på 100.000 kr.

Af rettens begrundelse fremgår, at bøden tager udgangspunkt i den konkrete møbelforretnings omsætning (ILVA) og ikke i den globale omsætning for koncernen, som møbelforretningen var en del af (Jysk). Efter databeskyttelsesforordningens bestemmelse om det maksimale bødeniveau skal de 2 % henholdsvis 4 % ellers beregnes ud fra den globale omsætning.

Derudover lægger retten vægt på en række undskyldende forhold – herunder

 

  • at oplysningerne befandt sig i et ældre udfaset system, der kun blev tilgået lejlighedsvis,
  • at der var tale om en forglemmelse, idet man fra virksomhedens side havde haft en for ensidig fokusering på de aktive IT-systemer,
  • at overtrædelsen derfor var begået uagtsomt,
  • at der var tale om en førstegangsovertrædelse,
  • at oplysningerne var af almindelig og ikke-følsom karakter, og
  • at ingen registrerede havde lidt skade

 

Endvidere anfører retten, at det skal indgå med betydelig vægt, at møbelvirksomheden havde udfoldet ganske betydelige bestræbelser på at sikre, at mange af virksomhedens datasystemer var i overensstemmelse med databeskyttelsesforordningens ikke ukomplicerede regelsæt

Retten lander herefter på 100.000 kr. i bøde, idet der tages hensyn til, at der de facto er sket en overtrædelse, og at det med forordningen er forudsat, at bødeniveauet skal væsentligt hæves fra tidligere praksis. Retten vurderer, at 100.000 kr. er en væsentlig forøgelse fra tidligere praksis om et bødeniveau på op til maksimalt 25.000 kr.

Læs om dommen her.

 

Vores bemærkninger

Efter Datatilsynets og Rigspolitiets bødevejledning, jf. ovenfor, er der tale om en overtrædelse inden for kategori 5 (manglende overholdelse af det grundlæggende sletningskrav), hvor grundniveauet for virksomheder med en omsætning på over 3,75 mia. kr. lyder på over 15 mio. kr.

Det er derfor vanskeligt at se, hvordan Datatilsynet er nået frem til en indstilling om 1,5 mio. kr. i bøde. Navnlig hvis der er taget udgangspunkt i Jysk-koncernens globale omsætning. Jysk koncernen har ifølge deres egne oplysninger en årlig global omsætning på 35,6 mia. kr.

Da der er tale om overtrædelse af de grundlæggende betingelser, lyder bødemaksimummet efter forordningens artikel 83, stk. 5, litra a, herefter på 4 % af 35,6 mia. kr. – altså omtrent 1,5 mia. kr.

Ser man udelukkende på ILVA, lyder deres årlige koncernomsætning (ifølge deres egne oplysninger) på 1,7 mia. kr.

Selvom der alene tages udgangspunkt i ILVA’s omsætning, vil en bøde efter vejledningen for en overtrædelse inden for kategori 5 lyde på op til 15 mio. kr. Efter vejledningen kan ILVA’s konkrete omsætning desuden maksimalt indebære en nedjustering til 2 % af 15 mio. kr. – altså 300.000 kr.

Uanset om der tages udgangspunkt i ILVA’s eller i Jysks omsætning forudsætter vejledningen derfor et noget højere grundniveau, end den bøde, som Datatilsynet indstillede til, og den bøde, som Retten i Aarhus er nået frem til.

På den ene side viser dommen herefter, at undskyldelige forhold skal tillægges væsentlig betydning i den samlede strafudmåling. Trods kravet om et væsentligt højere bødeniveau til alles skræk og advarsel, tilsidesætter databeskyttelsesforordningen altså ikke de grundlæggende principper om, at sanktioner altid skal stå mål med overtrædelsen.

På den anden side viser dommen også, at mange undskyldelige forhold heller ikke er tilstrækkeligt til helt at undgå sanktionering, da det er forudsat efter forordningen, at overtrædelser skal sanktioneres med bøde.

Om dommen bliver anket, er endnu uvist. Resultatet med den væsentligt reducerede bøde synes umiddelbart rimeligt i lyset af de konkrete omstændigheder. Givet den store diskrepans mellem Retten i Aarhus’ dom og Datatilsynets indstilling samt deres vejledning taler meget dog for, at anklagemyndigheden vil ønske det prøvet ved landsretten.

 

Kontakt

Spørgsmål om denne problemstilling og/eller GDPR-reglerne generelt kan ske til advokat Kira Kolby Christensen.

 

Kira Kolby Christensen

Partner

Læs også om