Første dom om bøde efter GDPR-overtrædelse – er der herefter grund til at frygte massive bøder?

Skre­vet af Kira Kolby Chri­sten­sen, advo­kat og part­ner 19-02-2021

Allerførst Datatilsynets vejledning om bødeniveauet

Data­til­sy­net har i samar­bejde med Rigs­po­li­tiet udar­bej­det en vejled­ning, der skal give større gennem­sig­tig­hed omkring bøde­fast­sæt­telse ved over­træ­delse af data­be­skyt­tel­ses­for­ord­nin­gen (GDPR).

Vejled­nin­gen er offent­lig­gjort den 29. januar 2021 og kan læses her.

Vejled­nin­gen slår indled­nings­vist fast, at data­be­skyt­tel­ses­for­ord­nin­gen forud­sæt­ter, at bøden i hver enkelt sag skal være effek­tiv, stå i rime­ligt forhold til over­træ­del­sen og have afskræk­kende virkning.

Vejled­nin­gen opde­ler dernæst GDPR-overtrædelser i 6 hoved­ka­te­go­rier. Kate­go­ri­erne tager udgangs­punkt i den ikke-udtømmende liste af krite­rier, som forord­nin­gen forud­sæt­ter, at der skal lægges vægt på ved fast­læg­gel­sen af bøder. Ud fra de 6 hoved­ka­te­go­rier angi­ver vejled­nin­gen et grund­læg­gende bøde­ni­veau for hver enkelt kate­gori afhæn­gig af også virk­som­he­dens størrelse.

 

Eksempler på bødeniveauerne for de enkelte kategorier

Efter vejled­nin­gen vil en virk­som­hed med en årlig omsæt­ning på mellem 15 og 75 mio. kr., og som har over­t­rådt reglerne om f.eks. udar­bej­delse af forteg­nel­ser eller reglerne om anmel­delse af data­brud (= kate­gori 2), kunne blive mødt med et bøde­grund­ni­veau på ≥ 150.000 kr.

Har virk­som­he­den over­t­rådt sikker­heds­reg­lerne (= kate­gori 3), vil grund­bø­de­ni­veauet dog ligge på ≥ 300.000 kr. tilsva­rende niveau gælder for over­træ­delse af de grund­læg­gende behand­lings­reg­ler – herun­der slet­nings­kra­vet (= kate­gori 5).

Er der i stedet tale om en over­træ­delse af behand­lings­reg­lerne for den særlige kate­gori af oplys­nin­ger – bl.a. helbreds­op­lys­nin­ger og oplys­nin­ger om fagfor­e­nings­mæs­sigt tilhørs­for­hold – er vi i kate­gori 6, hvor grund­bø­de­ni­veauet er ≥ 600.000 kr.

Til sammen­lig­ning vil de tilsva­rende grund­bø­de­ni­veauer i en virk­som­hed med en årlig omsæt­ning på over 3,75 mia. kr. ligge på henholds­vis ≥ 7,5 mio. kr. (kate­gori 2), ≥ 15 mio. kr. (kate­gori 3 og 5) og ≥ 30 mio. kr. (kate­gori 6).

Niveau­erne fast­læg­ges som det frem­går ud fra omsæt­nings­in­ter­val­ler, og kan derfor juste­res i forhold til den konkrete virk­som­heds omsætning.

Konkrete omsæt­nings­tal kan heref­ter både tale for at hæve og sænke bøden. Ifølge vejled­nin­gen kan bøden dog maksi­malt nedju­ste­res til et beløb svarende til 2 % af angivne grund­ni­veaue. Efter data­be­skyt­tel­ses­for­ord­nin­gen kan bøden desu­den maksi­malt udgøre henholds­vis 2 % eller 4 % af den globale omsæt­ning – alt afhæn­gig af hvilke bestem­mel­ser, man har overtrådt.

 

Konkrete omstændigheder der skal tillægges vægt

Der er som angi­vet tale om grund­ni­veauer. Den nærmere fast­læg­gelse af bøden afhæn­ger derfor også af de konkrete omstæn­dig­he­der, som kan være:

 

  • Over­træ­del­sens karakter

Har der været forsæt eller udvist grov uagtsom­hed eller er der tale om simpel uagtsomhed?

  • Over­træ­del­sens varighed

Har over­træ­del­sen stået på i lang tid og burde/kunne der være reage­ret tidligere?

  • Behand­lin­gens karakter

Er der tale om følsomme/fortrolige eller helt banale oplysninger?

  • Behand­lin­gens omfang

Hvor mange regi­stre­rede og/eller personoplysninger er omfat­tet af behand­lin­gen, der er berørt af overtrædelsen?

  • Omfan­get af den skade, som over­træ­del­sen har indebå­ret eller kan inde­bære for de registrerede

Er der eksem­pel­vis tale om hemme­lig­holdte oplys­nin­ger, der er gjort tilgæn­ge­lige med risiko til følge for de regi­stre­re­des liv og helbred, eller er der tale om, at over­træ­del­sen ingen reel konse­kvens har haft for de regi­stre­rede, fordi de blot er glemt i en slet­nings­pro­ces og uden at uved­kom­mende har haft fat i dem?

 

Retten i Aarhus’ dom af 12. februar 2021 om 100.000 kr. i bøde for manglende sletning

Efter Data­til­sy­nets vejled­ning om bøde­ni­veauet har vi nu også fået den første dom om sank­tio­ne­ring efter databeskyttelsesforordningen.

Sagen drejede sig om et møbel­fir­mas mang­lende slet­ning af ca. 350.000 personoplysninger. Sagen vedrørte dermed en over­træ­delse af det grund­læg­gende behand­lings­prin­cip i data­be­skyt­tel­ses­for­ord­nin­gens arti­kel 5, stk. 1, litra e, hvor­ef­ter oplys­nin­ger ikke må opbe­va­res længere end nødven­digt for at opfylde det oprin­de­lige formål med indsam­lin­gen og behandlingen.

Data­til­sy­net havde indstil­let til en bøde på 1,5 mio. kr. Møbel­fir­maet fik ved dommen en bøde på 100.000 kr.

Af rettens begrun­delse frem­går, at bøden tager udgangs­punkt i den konkrete møbel­for­ret­nings omsæt­ning (ILVA) og ikke i den globale omsæt­ning for koncer­nen, som møbel­for­ret­nin­gen var en del af (Jysk). Efter data­be­skyt­tel­ses­for­ord­nin­gens bestem­melse om det maksi­male bøde­ni­veau skal de 2 % henholds­vis 4 % ellers bereg­nes ud fra den globale omsætning.

Deru­d­over lægger retten vægt på en række undskyl­dende forhold – herunder

 

  • at oplys­nin­gerne befandt sig i et ældre udfa­set system, der kun blev tilgået lejlighedsvis,
  • at der var tale om en forg­lem­melse, idet man fra virk­som­he­dens side havde haft en for ensi­dig foku­se­ring på de aktive IT-systemer,
  • at over­træ­del­sen derfor var begået uagtsomt,
  • at der var tale om en førstegangsovertrædelse,
  • at oplys­nin­gerne var af almin­de­lig og ikke-følsom karak­ter, og
  • at ingen regi­stre­rede havde lidt skade

 

Endvi­dere anfø­rer retten, at det skal indgå med bety­de­lig vægt, at møbel­virk­som­he­den havde udfol­det ganske bety­de­lige bestræ­bel­ser på at sikre, at mange af virk­som­he­dens data­sy­ste­mer var i over­ens­stem­melse med data­be­skyt­tel­ses­for­ord­nin­gens ikke ukom­pli­ce­rede regelsæt

Retten lander heref­ter på 100.000 kr. i bøde, idet der tages hensyn til, at der de facto er sket en over­træ­delse, og at det med forord­nin­gen er forud­sat, at bøde­ni­veauet skal væsent­ligt hæves fra tidli­gere prak­sis. Retten vurde­rer, at 100.000 kr. er en væsent­lig forø­gelse fra tidli­gere prak­sis om et bøde­ni­veau på op til maksi­malt 25.000 kr.

Læs om dommen her.

 

Vores bemærkninger

Efter Data­til­sy­nets og Rigs­po­li­tiets bøde­vej­led­ning, jf. oven­for, er der tale om en over­træ­delse inden for kate­gori 5 (mang­lende over­hol­delse af det grund­læg­gende slet­nings­krav), hvor grund­ni­veauet for virk­som­he­der med en omsæt­ning på over 3,75 mia. kr. lyder på over 15 mio. kr.

Det er derfor vanske­ligt at se, hvor­dan Data­til­sy­net er nået frem til en indstil­ling om 1,5 mio. kr. i bøde. Navn­lig hvis der er taget udgangs­punkt i Jysk-koncernens globale omsæt­ning. Jysk koncer­nen har ifølge deres egne oplys­nin­ger en årlig global omsæt­ning på 35,6 mia. kr.

Da der er tale om over­træ­delse af de grund­læg­gende betin­gel­ser, lyder bøde­mak­si­mum­met efter forord­nin­gens arti­kel 83, stk. 5, litra a, heref­ter på 4 % af 35,6 mia. kr. – altså omtrent 1,5 mia. kr.

Ser man udeluk­kende på ILVA, lyder deres årlige koncer­nom­sæt­ning (ifølge deres egne oplys­nin­ger) på 1,7 mia. kr.

Selvom der alene tages udgangs­punkt i ILVA’s omsæt­ning, vil en bøde efter vejled­nin­gen for en over­træ­delse inden for kate­gori 5 lyde på op til 15 mio. kr. Efter vejled­nin­gen kan ILVA’s konkrete omsæt­ning desu­den maksi­malt inde­bære en nedju­ste­ring til 2 % af 15 mio. kr. – altså 300.000 kr.

Uanset om der tages udgangs­punkt i ILVA’s eller i Jysks omsæt­ning forud­sæt­ter vejled­nin­gen derfor et noget højere grund­ni­veau, end den bøde, som Data­til­sy­net indstil­lede til, og den bøde, som Retten i Aarhus er nået frem til.

På den ene side viser dommen heref­ter, at undskyl­de­lige forhold skal tillæg­ges væsent­lig betyd­ning i den samlede stra­fud­må­ling. Trods kravet om et væsent­ligt højere bøde­ni­veau til alles skræk og advar­sel, tilsi­de­sæt­ter data­be­skyt­tel­ses­for­ord­nin­gen altså ikke de grund­læg­gende prin­cip­per om, at sank­tio­ner altid skal stå mål med overtrædelsen.

På den anden side viser dommen også, at mange undskyl­de­lige forhold heller ikke er tilstræk­ke­ligt til helt at undgå sank­tio­ne­ring, da det er forud­sat efter forord­nin­gen, at over­træ­del­ser skal sank­tio­ne­res med bøde.

Om dommen bliver anket, er endnu uvist. Resul­ta­tet med den væsent­ligt redu­ce­rede bøde synes umid­del­bart rime­ligt i lyset af de konkrete omstæn­dig­he­der. Givet den store diskre­pans mellem Retten i Aarhus’ dom og Data­til­sy­nets indstil­ling samt deres vejled­ning taler meget dog for, at ankla­ge­myn­dig­he­den vil ønske det prøvet ved landsretten.

 

Kontakt

Spørgs­mål om denne problem­stil­ling og/eller GDPR-reglerne gene­relt kan ske til advo­kat Kira Kolby Chri­sten­sen.

 

Kira Kolby Christensen

Partner

Læs også om