Datatilsynets bødevejledning i forhold til GDPR bøder

Vi har tidligere skrevet en artikel om, hvad det koster at overtræde GDPR-reglerne, og siden da har Datatilsynet udgivet en bødevejledning. Vejledningen er interessant, fordi den giver nogle indikationer af Datatilsynets forventninger til bødeniveauet. Dog skal man huske, at det i sidste ende er domstolene, der fastsætter bødeniveauet. Vejledningen kan derfor ikke betragtes som en facitliste.

Datatilsynets bødevejledning ved overtrædelse af GDPR-reglerne

Datatilsynets vejledning er meget skematisk opbygget:

• Der er fastsat nogle ”grundbøder” til henholdsvis 5, 10 eller 20 % af bødemaksimum afhængigt af overtrædelsens karakter, og dernæst
• Er der forsøgt taget højde for virksomhedens omsætning, så bøderne rammer ”lige hårdt”

De to forudsætninger kan sammenfattes til følgende skematiske oversigt (klik på oversigten for at se den i et større format):

Med grundbøderne forsøger Datatilsynet at tage hensyn til både virksomhedens størrelse, overtrædelsens grovhed, forordningens bødelofter og formålet med at sikre overholdelsen af forordningen.

Når grundbøden er fastsat, vurderes det, om der foreligger særligt skærpende eller formildende omstændigheder, som skal ændre størrelsen på den konkrete bøde.

For mere information se Datatilsynets vejledning.

Penta mener

Ud fra det almindelige bødeniveau i Danmark, er bødeniveauet for overtrædelse af GDPR-reglerne meget højt, og sådanne bøder vil kunne mærkes.

I forhold til Ilva-sagen der har fået en del medieopmærksomhed, kunne noget imidlertid tyde på, at domstolene ikke umiddelbart agter at følge Datatilsynets vejledning. Ud fra sagens oplysninger vurderer vi, at ”grundbøden” burde have været 15 millioner kr. Inden der tages højde for eventuelle formildende omstændigheder. Alligevel blev Ilva (kun) dømt til at betale 100.000 kr. Dommen er anket fra anklagemyndighedens side, og vi følger sagen tæt.

Såfremt du måtte have spørgsmål til Databeskyttelse generelt, er du velkommen til at kontakte advokat Henrik Norup