Ny vejledning om fastsættelse af bøder
Datatilsynet har udarbejdet en ny vejledning i samarbejde med Rigspolitiet og Rigsadvokaten. Det skyldes, at både Datatilsynet, politiet og domstolene er involveret i behandlingen af sager om overtrædelser af databeskyttelsesforordningen og databeskyttelsesloven.
Vejledningen skal bidrage til større gennemsigtighed om, hvordan tilsynet fastsætter størrelsen af indstillede bøder. Vejledningen vil blive udbygget løbende, efterhånden som der håndteres flere sager, og i takt med at praksis udvikles, både nationalt og i EU.
Der er udarbejdet en model for beregningen af bøder, der indeholder de trin, der skal gennemgås, før et endeligt bødebeløb fastsættes. Vejledningen er inddelt i følgende trin:
- Fastsættelse af bødens grundbeløb
- Justering på baggrund af en konkret vurdering af overtrædelsens karakter, alvor og varighed
- Vurdering af skærpede og formidlende omstændigheder
- Eventuel justering af beløbet efter databeskyttelsesforordningens maksimum
- Eventuel justering efter betalingsevne
Fastsættelse af bødens grundbeløb
Datatilsynet fastsætter grundbeløbet ud fra, hvilken overtrædelse der er tale om og overtrædelsens grovhed. Der er især taget højde for overtrædelsens betydning for de registreredes ret til beskyttelse af personoplysninger og til den frie bevægelighed for personoplysninger indenfor EU.
Overtrædelserne er inddelt i kategori 1 til 6. Kategori 1 og 4 er alvorlige overtrædelser. Kategori 2 og 5 er mere alvorlige overtrædelser. Kategori 3 og 6 er de mest alvorlige overtrædelser. Der er udarbejdet et standardgrundbeløb for disse overtrædelser.
For at undgå en skævvridning i, hvordan bøderne rammer virksomheder af forskellig størrelse, vil det afspejle sig i bødens størrelse, om der er tale om en mikro, lille eller mellemstor virksomhed. Dermed kan grundbeløbets størrelse nedjusteres, på trods af de standarder der fremgår af vejledningen.
Justering på baggrund af en konkret vurdering af overtrædelsens karakter, alvor og varighed
Når grundbeløbet er fastsat, vil Datatilsynet justere beløbet efter de konkrete omstændigheder.
Der tages hensyn til behandlingens karakter, omfang eller formål, antallet af registrerede samt omfanget af den skade, de registrerede har lidt som følge af overtrædelsen. Der bliver også taget højde for varigheden af overtrædelsen, da det har betydning for hvor lang tid, der har bestået en risiko for de registrerede og deres rettigheder.
Vurdering af skærpede og formidlende omstændigheder
Når grundbeløbet er fastsat, og der er justeret for overtrædelsens karakter, skal der justeres efter skærpede og/eller formidlende omstændigheder. Der laves dermed en samlet vurdering, som kan medvirke til, at bødens størrelse justeres op eller ned.
De omstændigheder, der kan være enten skærpede eller formidlende, fremgår direkte af databeskyttelsesforordningen. Der vurderes f.eks., om overtrædelsen er begået med forsæt eller uagtsomt, samt om man har forsøgt at begrænse den skade, den registrerede har lidt.
Der vil også blive lagt vægt på eventuelle tidligere overtrædelser.
Eventuel justering af beløbet efter databeskyttelsesforordningens maksimum
Bøden kan aldrig overstige det bødemaksimum, der følger af databeskyttelsesforordningen.
Bødemaksimummet gælder også i de tilfælde, hvor der er tale om forbundne overtrædelser. Overtrædelserne er forbundne, når der er tale om flere handlinger, der kan betragtes som en sammenhængende handling.
Eventuel justering efter betalingsevne
Datatilsynet har en forpligtelse til at overveje, om en stor bøde vil medføre alvorlig økonomisk konsekvens for den dataansvarlige. Dette skal dog kun overvejes, hvis den bødepålagte selv anmoder om det.
At få nedsat bøden på grund af manglende betalingsevne kræver ekstraordinære omstændigheder, og det kan kun ske, hvis der foreligger objektive beviser for, at bøden med sikkerhed vil bringe virksomhedens økonomiske levedygtighed i fare.
Njords bemærkninger
Vejledningen fra Datatilsynet giver for første gang retningslinjer for størrelsen på en bøde for overtrædelse af databeskyttelsesforordningen i Danmark. Det er dermed nu muligt at vurdere, hvilken betydning virksomhedens størrelse vil have for fastsættelsen af bøden, og hvilke elementer der i øvrigt lægges vægt på.
Vejledningens kategorisering af overtrædelser kan være et godt værktøj ved risikovurderingen af en virksomheds behandling af personoplysninger. Det er nu muligt at udarbejde konkrete risikovurderinger efter Datatilsynets inddeling af, hvor alvorlig en behandlingsaktivitet er, samt hvilket standardgrundbeløb der er fastsat.
NJORD anbefaler derfor, at virksomheder gennemgår deres behandlingsaktiviteter og udarbejder en risikovurdering på baggrund af vejledningen.