GDPR, bøder og hvordan bødens størrelse fastlægges

Bliv klogere på GDPR- bøder og deres størrelse 

I maj 2018 opstod nogen GDPR-panik, ikke mindst pga. det kommende, høje bødeniveau.

De første, svære GDPR-år gik uden vi vidste, hvilke faktorer, der blev vurderet ved bødeudmåling.

Her i 2021 har Datatilsynet informeret om, hvilke faktorer, der spiller ind, i januar om bøder til virksomheder og i september om bøder til fysiske personer.

Desuden foreligger her 3½ år efter stramningen af GDPR-reglerne en vis bødepraksis.

Bøder til fysiske personer

Bøderne til fysiske personer er absolut mærkbare, men af langt mindre omfang end bøder til virksomheder. Datatilsynet har offentliggjort en foreløbig oversigt over standarder for bøder til fysiske personer på side 10-11 i sin vejledning. Find denne vejledning her.

Bøder til virksomheder

I det følgende fokuseres på faktorerne til udmåling af bøde til virksomheder.

Der er ikke tvivl om, at bøder bør undgås, men viden om faktorerne kan være nyttigt, også for at prioritere arbejdet med de GDPR-forhold, der endnu ikke måtte være helt på plads.

Datatilsynet har, delvist sammen med de øvrige europæiske datatilsyn, udarbejdet en model, som tilsynet anvender til at udmåle et bødebeløb for virksomheder.

Kategorien af overtrædelsen

Når størrelsen af en bøde skal fastlægges, ses først på overtrædelsen i sig selv. Her har datatilsynene inddelt overtrædelser i kategorier, hvor kategori 3,5 og 6 giver endnu højere bøder end kategori 1,2 og 4. Skemaet fra Datatilsynet er som følger:

 

Overtrædelser omfattet af artikel 83, stk. 4 Kat. 1 Udpegning af repræsentant (artikel 27)

Samarbejde med tilsynsmyndigheden (artikel 31)

Kat. 2 Behandling der ikke kræver identifikation (artikel 11)

Fortegnelse over behandlingsaktiviteter (artikel 30)

Anmeldelse af brud på persondatasikkerheden (artikel 33)

Udpegning mv. af databeskyttelsesrådgiver (DPO) (artikel

37-39)

Kat. 3 Børns samtykke (artikel 8)

Privacy by design (artikel 25)

Fælles dataansvarlige (artikel 26)

Databehandleraftale (artikel 28)

Behandling der udføres for den

dataansvarlige/databehandleren (artikel 29)

Behandlingssikkerhed (artikel 32)

Underretning ved brud på persondatasikkerheden (artikel

34)

Konsekvensanalyse (DPIA) (artikel 35-36)

Kontrol med godkendte adfærdskodekser (artikel 41, stk 4)

Certificering (artikel 42-43)

Kat. 4 Underretning af modtagere ved sletning mv. (artikel 19)

Ret til dataportabilitet (artikel 20)

Kat. 5 Grundprincipperne (artikel 5)

Samtykke (artikel 7)

Gennemsigtighed (artikel 12)

Oplysningspligten ved indsamling af personoplysninger hos

den registrerede selv (artikel 13)

Overtrædelser omfattet af artikel 83, stk. 5 Lovlig behandling (artikel 6)

Oplysningspligten ved indsamling af personoplysninger hos

andre end den registrerede selv (artikel 14)

Indsigtsretten (artikel 15)

Ret til berigtigelse (artikel 16)

Retten til sletning (artikel 17)

Ret til begrænsning af behandling (artikel 18)

Ret til indsigelse (artikel 21) )

Automatiske individuelle afgørelser, herunder profilering

(artikel 22)

Kat. 6 Behandling af særlige kategorier af personoplysninger

(artikel 9-10)

Overførsler til tredjelande og internationale organisationer

(artikel 44-49)

 

 

Bødestørrelsen afhænger ikke kun af kategorien af overtrædelsen, men også af størrelsen af virksomhedens omsætning og af bødeloftet.

Virksomhedens omsætning

Størrelsen af virksomhedens omsætning spiller en lige så stor rolle for fastlæggelse af bødens størrelse som kategorien af overtrædelsen.

Datatilsynet har udarbejdet nogle skemaer over den grundlæggelse bødestørrelse ud fra overtrædelsens kategori og virksomhedens størrelse. Skemaer kan ses nedenfor. Find det også i Datatilsynets vejledning om udmåling af bøder til virksomheder her.

De bødestørrelser, der fremgår af skemaet nedenfor, er som udgangspunkt minimumsbeløb (derfor er tegnet ”>” foran). De angivne minimumsbeløb i skemaerne skal forstås som grundbeløb, der dog kan justeres efter den konkrete sag.

Grundbeløb for overtrædelser af bestemmelser omfattet af artikel 83, stk. 4

Virksomhedens størrelse Maksimal justering (ned til) Kategori 1 Kategori 2 Kategori 3
Meget store virksomheder

(omsætning > 3,75 mia. kr.)

> 3,75 mio. kr. > 7,5 mio. kr. > 15 mio. kr.
Store virksomheder

(omsætning ≤ 3,75 mia. kr.)

3,75 mio. kr. 7,5 mio. kr. 15 mio. kr.
Mellemstore virksomheder

(omsætning ≤ 375 mio. kr.)

Standard grundbeløb x 0,1 ≥ 375.000 kr. ≥ 750.000 kr. ≥ 1,5 mio. kr.
Små virksomheder

(omsætning ≤ 75 mio. kr.)

Standard grundbeløb x 0,02 ≥ 75.000 kr. ≥ 150.000 kr. ≥ 300.000 kr.
Mikro virksomheder

(omsætning ≤ 15 mio. kr.)

Standard grundbeløb x 0,004 ≥ 15.000 kr. ≥ 30.000 kr. ≥ 60.000 kr.

 

Grundbeløb for overtrædelser af bestemmelser omfattet af artikel 83, stk. 5

Virksomhedens størrelse Maksimal justering (ned til) Kategori 4 Kategori 5 Kategori 6
Meget store virksomheder

(omsætning > 3,75 mia. kr.)

> 7,5 mio. kr. > 15 mio. kr. > 30 mio. kr.
Store virksomheder

(omsætning ≤ 3,75 mia. kr.)

7,5 mio. kr. 15 mio. kr. 30 mio. kr.
Mellemstore virksomheder

(omsætning ≤ 375 mio. kr.)

Standard grundbeløb x 0,1 ≥ 750.000 kr. ≥ 1,5 mio. kr. ≥ 3 mio. kr.
Små virksomheder

(omsætning ≤ 75 mio. kr.)

Standard grundbeløb x 0,02 ≥ 150.000 kr. ≥ 300.000 kr. ≥ 600.000 kr.
Mikro virksomheder

(omsætning ≤ 15 mio. kr.)

Standard grundbeløb x 0,004 ≥ 30.000 kr. ≥ 60.000 kr. ≥ 120.000 kr.

 

Justering af grundbeløbet

Som det ses af skemaerne, er bøder for mindre og mellemstore virksomheder med en omsætning på op til kr. 375 mio. reduceret efter størrelsen af virksomhedens omsætning.

Datatilsynet har oplyst i sin vejledning, at grundbeløbene kan justeres både op og ned.

Datatilsynet ser på diverse faktorer, hvor nogle er formildende og andre skærpende i forbindelse med GPDR-overtrædelsen:

  • overtrædelsens omfang (fx om overtrædelsen har lokal virkning, hvor mange mennesker er ramt / kunne være blevet ramt)
  • dens karakter (fx hvis formålet med overtrædelsen var kommercielt, er det skærpende, der ses på grovheden og skadevirkningen af overtrædelsen)
  • dens varighed

Eksempelvis kan man forestille sig en lille virksomhed med en omsætning på 76 mio kr. (lige over grænsen fra en mikrovirksomhed), der ikke har fået udarbejdet en intern fortegnelse (lokal virkning, få mennesker ramt af overtrædelsen). Selv om et grundbeløb som udgangspunkt er et minimumsbeløb, vil det være nærliggende ud fra vejledningen, at bøden blev nedsat til under kr. 150.000, da den lille virksomhed ligger på grænsen til at være en mikrovirksomhed, og da overtrædelsen var af begrænset omfang.

Herudover ser Datatilsynet også på følgende skærpende faktorer, som medvirker til en større bøde:

  • om overtrædelsen er forsætlig
  • om virksomheden ikke har søgt at begrænse skaden
  • om virksomheden ikke har søgt at hindre GDPR-bruddet
  • hvis virksomheden tidligere har overtrådt GDPR-lovgivningen eller påbud fra Datatilsynet
  • om virksomheden samarbejder med Datatilsynet eller ej
  • om personoplysningerne, der er omfattet af overtrædelsen, er særligt følsomme
  • om virksomheden ikke havde meldt sig selv, og evt. endda søgte at skjule overtrædelsen, og
  • om virksomheden har profiteret af overtrædelsen

Til sidst justeres bødens størrelse efter databeskyttelsesforordningens bødelofter og i ekstraordinære tilfælde, hvor bødens størrelse objektivt set sandsynligvis vil medføre konkurs, kan justeres efter virksomhedens betalingsevne.

Bødelofter

For virksomheder med en årlig omsætning på mindre end kr. 3,75 mia. (dvs. langt de fleste virksomheder i Danmark) gælder et loft på 75 mio. for overtrædelser af kategori 1-3, mens der er et loft på 150 mill. for overtrædelser af kategori 4-6.

Bødelofterne på hhv. 2% (kategori 1-3) og 4% (kategori 4-6) af årlig omsætning angår virksomheder, der har en årlig omsætning på mere end kr. 3,75 mia.

Der foreligger ikke endnu i Danmark nogen sager, hvor bødestørrelsen er kommet op i nærheden af bødeloftet. Bødelofterne har derfor ikke stor indflydelse på bødestørrelsen i praksis.

Bødeniveau i praksis

Der er efterhånden nogen praksis vedr. overtrædelser af persondatalovgivningen. Som man kan se af Datatilsynets afgørelser, er der mange sager, hvor Tilsynet har valgt at påpege overtrædelser, udtale kritik og anvise, hvad der skal til for at overholde lovgivningen – uden at indstille til nogen bøde.

Datatilsynet havde i 2020 over 17.000 nyoprettede sager, men har kun indstillet til bøde 18 gange[1]. Størstedelen af bøderne er i øvrigt givet til offentlige myndigheder[2].

De gange, hvor Datatilsynet på det seneste har valgt at indstille en virksomhed til en bøde, har der været tale om gentagelsestilfælde eller grove overtrædelser i form af omfang eller karakter af oplysninger.

Ud fra Datatilsynets vejledning kan man forvente, at en mellemstor virksomhed (omsætning på mere end kr. 375 mio.) ved manglende sletning af kundeoplysninger (kategori 5) typisk vil blive indstillet til en bøde på kr. 1.500.000 med evt. tillæg af skærpende omstændigheder.

Datatilsynet indstillede i 2019 en møbelkæde, der havde undladt at slette oplysninger om 385.000 kunder til en bøde på kr. 1,5 mio.[3]. Der var ikke tale om følsomme oplysninger, men det er pt. den største bøde, der er givet, formentlig grundet omfanget af oplysninger og det forhold, at dele af kædens IT-system slet ikke indeholdt sletning af kunder.

Til sammenligning indstillede Datatilsynet et taxafirma til en bøde på kr. 1,2 mio. for manglende sletning af over 8 mio. personhenførbare taxature. Omfanget af ikke-slettede persondata var større i forhold til møbelkæden, men det har spillet ind som lidt formildende, at taxaselskabet havde indført delvis anonymisering efter 2 år og slettede oplysningerne helt efter 5 år.

Et andet eksempel: en mellemstor virksomhed (omsætning på kr. 75-375 mio.) vil ved manglende beskyttelse af følsomme oplysninger som udgangspunkt få en bøde på kr. 3 mill. , da det er en kategori 6-overtrædelse. Bødeniveauet er efter skemaet på kr. 600.000 for små virksomheder og kr. 120.000 for mikrovirksomheder for kategori 6-overtrædelser, der bl.a. omfatter følsomme personoplysninger.

Som eksempel indstillede Datatilsynet i juli 2020 et mindre byggefirma til en bøde på kr. 400.000 for videregivelse af følsomme oplysninger til samarbejdspartnere om en tidligere medarbejder[4]. Her blev bøden forhøjet af oplysningernes karakter og den virkning, videregivelsen havde.

Yderligere har Datatilsynet den 29. september 2021 indstillet en forening (her vurderet til en omsætning på kr. 76 mio. fraregnet donationer og tilskud) til en bøde på kr. 800.000 for ikke at have overholdt interne retningslinier om beskyttelse af over tusind menneskers helbredsoplysninger trods gentagne tilfælde af hacking og tyveri[5]. Her spillede det på den ene side meget ind, at virksomheden lå omsætningsmæssigt tæt på et grundbeløb på kr. 600.000, men omvendt var omfanget og grovheden af overtrædelsen skærpende.

Det ses af praksis, at bøderne er høje – som man må forvente ud fra GDPR-lovgivningen.

Men det er værd at bemærke, at Datatilsynet i langt de fleste sager indgår i en dialog med virksomheden om optimering af persondatabeskyttelsen. Størstedelen af sagerne afsluttes med et løft af virksomhedens persondatabeskyttelse, måske med en offentlig kritik, men uden bøde.

[1] https://www.datatilsynet.dk/om-datatilsynet/datatilsynet-i-tal

[2] https://www.datatilsynet.dk/om-datatilsynet/gdpr-boeder

[3] https://www.datatilsynet.dk/afgoerelser/afgoerelser/2019/jun/tilsyn-med-iddesigns-behandling-af-personoplysninger

[4] https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/jul/privat-virksomhed-indstillet-til-boede

[5] https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/sep/kraeftens-bekaempelse-indstillet-til-boede