Databeskyttelsesforordningen og databeskyttelsesloven, der har fundet anvendelse siden den 25. maj 2018, lægger op til et nyt, væsentligt forhøjet bødeniveau, der skal virke effektivt og afskrækkende. Med forordningen er det endvidere forudsat, at medlemsstaterne harmoniserer sanktionerne for overtrædelser af databeskyttelsesreglerne.
I Danmark er det Datatilsynet, der som tilsynsførende myndighed, fører kontrol med privates og offent-lige myndigheders overholdelse af databeskyttelsesreglerne. For så vidt angår Domstolenes behandling af persondata er opgaven overladt til Domstolsstyrelsen. Datatilsynet behandler klager og kan, om nødvendigt, af egen drift indlede undersøgelser.
Datatilsynet er som led i håndhævelsen af databeskyttelsesreglerne tillagt en række beføjelser. Disse beføjelser er opdelt i undersøgelsesbeføjelser, korrigerende beføjelser og godkendelses- og rådgivningsbeføjelser. Denne artikel beskæftiger sig udelukkende med de to første typer af beføjelser.
For så vidt angår undersøgelsen af databehandlerens overholdelse af databeskyttelsesreglerne, kan Datatilsynet af databehandleren kræve enhver oplysning, der er af betydning for dets virksomhed – med andre ord kan Datatilsynet udstede påbud om, at databehandleren skal udlevere oplysninger. Dernæst har Datatilsynet uden retskendelse adgang til databehandlerens lokaler, hvorfra behandling af personoplysninger foretages.
Såfremt Datatilsynet konkluderer, at databehandleren ikke overholder databeskyttelsesreglerne, er det tillagt en række såkaldt korrigerende beføjelser, hvoraf advarsler, kritik, diverse påbud, forbud og bøder er de væsentligste. Denne artikel beskæftiger sig udelukkende med bøder til virksomheder.
Når Datatilsynet skal fastsætte en bøde, sker dette overordnet ud fra de betragtninger, som er angivet i databeskyttelsesforordningen artikel 83. Bøden skal således være effektiv, stå i rimeligt forhold til over-trædelsen og have afskrækkende virkning.
Datatilsynet har på baggrund af de overordnede principper, som følger af databeskyttelsesforordningen, udstedt bødevejledninger vedrørende både bøder til fysiske personer samt bøder til virksomheder. For så vidt angår bøder til virksomheder, følger det af vejledningen for udmåling af bøder til virksomheder, at Datatilsynet først fastsætter det såkaldte grundbeløb, som herefter justeres på baggrund af en række momenter:
- Datatilsynet fastlægger grundbeløbet
- Grundbeløbet justeres på baggrund af overtrædelsens karakter, alvor og varighed
- Yderligere skærpende eller formildende omstændigheder inddrages
- Såfremt bøden nu overstiger databeskyttelsesforordningens maksimum, justeres den ned
- Såfremt vægtige grunde taler herfor, kan bøden justeres pga. virksomhedens betalingsevne
Da beregningen af den samlede bøde er forholdsvis kompleks, beskæftiger denne artikel alene de overordnede træk i beregningen af grundbeløbet. I beregningen af grundbeløbet inddrages overtrædelsens karakter og virksomhedens størrelse. Datatilsynet har offentliggjort en række afgørelser, som kan bidrage til en mere konkret forståelse af bødeniveauet. Du kan finde de offentliggjorte bødesager her.
I henhold til databeskyttelsesforordningen kan virksomheder maksimalt pålægges bøder på op til:
- 75 mio. kr. (statisk bødeloft) eller 2 % af virksomhedens samlede globale omsætning (dynamisk bødeloft), alt efter hvilket beløb der er højest. Datatilsynet har inddelt disse overtrædelser i katego-rierne 1-3, hvor kategori 3 kan give den største bøde.
- 150 mio. kr. (statisk bødeloft) eller op til 4 % af virksomhedens samlede globale omsætning (dynamisk bødeloft), alt efter hvilket beløb der er højest. Datatilsynet har inddelt disse overtrædelser i kategorierne 4-6, hvor kategori 6 kan give den højeste bøde.
Udover beføjelserne til at udstede bøder, har Datatilsynet hjemmel til at offentliggøre sine udtalelser og afgørelser. Dette indebærer i praksis, at databehandlerens fejl kan blive offentliggjort på Datatilsynets hjemmeside, hvorfra enhver (herunder journalister) har adgang til sagens omstændigheder og Datatilsynets stillingtagen hertil.
Afsluttende bemærkninger
Databeskyttelsesreglerne kan for mange helt almindelige mennesker virke meget uoverskuelige. Som det fremgår foroven, kan manglende kendskab til reglerne have meget store økonomiske konsekvenser samt konsekvenser for din virksomheds omtale.
Hvis du er i tvivl om, hvorvidt din virksomheds behandling af persondata er i overensstemmelse med databeskyttelsesreglerne, kan du altid henvende dig til DreistStorgaard Advokater. Vi står til rådighed i forbindelse med de spørgsmål, som du måtte have. Du kan kontakte os på telefon 56 63 44 66 eller på mail kontakt@dslaw.dk.