Artikel 83 i GDPR
Tilsynsmyndighederne har beføjelse til at pålægge administrative bøder
Den nationale tilsynsmyndighed har beføjelse til at pålægge en virksomhed, som den anser for at være i strid med databeskyttelsesforordningen, administrative bøder i henhold til databeskyttelsesforordningens artikel 83. Virksomheden har dog altid mulighed for at appellere afgørelsen og gå videre med sagen til retten.
Hvad er de generelle betingelser for pålæggelse af administrative bøder?
I henhold til databeskyttelsesforordningens artikel 83, stk. 1, skal tilsynsmyndighederne sikre, at pålæggelse af administrative bøder har afskrækkende virkning, er effektiv og står i et rimeligt forhold til overtrædelsen i hvert enkelt tilfælde. Dette er de generelle betingelser for pålæggelse af administrative bøder i henhold til GDPR.
Hvilke overtrædelser af GDPR kan føre til en administrativ bøde?
I praksis kan enhver overtrædelse af databeskyttelsesforordningen i princippet føre til en administrativ bøde. Det er dog ikke alle, der normalt gør det. Tilsynsmyndigheden gennemgår den specifikke virksomhed, og der er mange faktorer, der spiller en rolle i afgørelsen. Jo mere alvorlig overtrædelsen er, desto større er risikoen for en administrativ bøde.
Maksimalt bødebeløb
- 20 mio. EUR eller
- 4 % af den globale omsætning.
Både dataansvarlige og databehandlere kan få bøder
Selv om det er den dataansvarlige, der har det største ansvar for behandlingen af personoplysninger, har databehandlerne også et ansvar. Den nationale tilsynsmyndighed kan pålægge både dataansvarlige og databehandlere administrative bøder.
Databeskyttelsesrådgiveren kan ikke få en administrativ bøde
Nogle virksomheder er forpligtet til at udpege en databeskyttelsesrådgiver, der blandt andet har til opgave at kontrollere, at virksomheden overholder GDPR. Den databeskyttelsesansvarlige rådgiver også virksomheden, kontrollerer de interne kontroldokumenter og er tilgængelig for de registrerede, både internt for medarbejdere og eksternt for andre registrerede. Den databeskyttelsesansvarlige har imidlertid ikke noget personligt ansvar og kan derfor ikke pålægges en administrativ bøde af tilsynsmyndigheden. Desuden er det forbudt for den dataansvarlige at straffe den databeskyttelsesansvarlige.
Kan en administrativ bøde kombineres med flere foranstaltninger?
Ja, tilsynsmyndigheden har ret til at kombinere en administrativ bøde med flere foranstaltninger. Navnlig de berigtigede foranstaltninger, der er fastsat i databeskyttelsesforordningens artikel 58, stk. 2.
Hvor højt kan en virksomhed straffes for overtrædelse af GDPR?
Det maksimale beløb, en virksomhed kan modtage i tilfælde af en alvorlig overtrædelse af GDPR, er 20 millioner euro eller 4% af virksomhedens globale årlige omsætning i det foregående regnskabsår (den højeste af mulighederne).
I tilfælde af en mindre alvorlig overtrædelse af GDPR er det maksimale beløb i stedet 10 mio. EUR eller 2 % af den samlede årlige omsætning i det foregående regnskabsår (den højeste af mulighederne).
Kan en offentlig myndighed eller andre offentlige aktører få en administrativ bøde for overtrædelse af GDPR?
Hver medlemsstat kan frit i sin nationale lovgivning bestemme, om offentlige myndigheder og organer, der er etableret i den pågældende medlemsstat, kan pålægges administrative bøder. Dette fremgår af databeskyttelsesforordningens artikel 83, stk. 7. For så vidt angår det maksimale beløb, som offentlige operatører kan modtage i bøder for overtrædelse af databeskyttelsesforordningen, er det således også op til den enkelte medlemsstat at træffe afgørelse om niveauet for sin nationale lovgivning.
Hvad er en alvorlig overtrædelse af GDPR?
Databeskyttelsesforordningens artikel 83, stk. 5, fastsætter, hvad der udgør en alvorlig overtrædelse af databeskyttelsesforordningen. For overtrædelser af følgende bestemmelser kan tilsynsmyndigheden pålægge en administrativ bøde på højst 20 mio. EUR eller 4 % af virksomhedens globale årlige omsætning i det foregående regnskabsår:
- 5, 6, 7 og 9 i GDPR, som omhandler databeskyttelsesprincipperne og betingelserne for samtykke.
- 12-22 i GDPR, der omhandler registreredes rettigheder
- 44-49 GDPR, som omhandler overførsel af personoplysninger til en international organisation eller en anden modtager i et tredjeland.
- Alle de forpligtelser, der er fastsat i medlemsstaternes nationale ret, og som er vedtaget i henhold til databeskyttelsesforordningens artikel 85-91.
- Manglende overholdelse af tilsynsmyndighedens afgørelser truffet i henhold til databeskyttelsesforordningens artikel 58 vedrørende:
- et påbud.
- en midlertidig eller permanent begrænsning af behandlingen af oplysninger.
- en beslutning om at suspendere datastrømme.
- manglende adgang til data.
Hvad er en mindre overtrædelse af GDPR?
Databeskyttelsesforordningens artikel 83, stk. 4, fastsætter, hvad der udgør en mindre overtrædelse af databeskyttelsesforordningen. For overtrædelser af følgende bestemmelser kan tilsynsmyndigheden pålægge en administrativ bøde på højst 10 mio. EUR eller 2 % af virksomhedens globale årlige omsætning i det foregående regnskabsår:
- 8, 11, 25-39, 42 og 43 i GDPR, som omhandler dataansvarliges og databehandleres forpligtelser.
- Databeskyttelsesforordningens artikel 42 og 43, som omhandler certificeringsorganets forpligtelser.
- 4 i den generelle forordning om databeskyttelse, som omhandler overvågningsorganets forpligtelser.
Eksempel på beregning af størrelsen af den administrative bøde, når den er maksimal
Bør den administrative bøde ikke overstige 4 % af virksomhedens årlige omsætning eller 20 mio. EUR? Det korte svar på spørgsmålet er, at det afhænger. Det højeste beløb tages som udgangspunkt.
Eksempel 1
Hvis en virksomhed har en årlig omsætning på verdensplan svarende til 1 mia. EUR, svarer 4 % heraf til 40 mio. EUR, hvilket er mere end 20 mio. EUR. Derfor er det maksimale bødebeløb i dette tilfælde 40 mio. EUR.
Eksempel 2
Hvis virksomheden i stedet har en global årlig omsætning svarende til 300.000 millioner euro, er 20 millioner euro højere end 4% af den globale årlige omsætning. I sådanne tilfælde fastsættes den maksimale bøde til 20 mio. EUR.
Hvilke faktorer tager tilsynsmyndigheden hensyn til, inden den træffer afgørelse om en bøde for overtrædelse af databeskyttelsesforordningen?
De foretager en vurdering fra sag til sag på grundlag af sagens omstændigheder, idet de navnlig tager hensyn til:
1. Overtrædelsens varighed, art og grovhed.
2. Behandlingens art, omfang og formål.
3. Antallet af registrerede, der er berørt af overtrædelsen, herunder den skade, som de registrerede har lidt som følge af overtrædelsen
4. Om overtrædelsen er begået forsætligt eller ved uagtsomhed eller grov uagtsomhed
5. hvilke foranstaltninger virksomheden har truffet for at minimere den skade, som overtrædelsen har forvoldt de registrerede.
6. Virksomhedens grad af ansvar under hensyntagen til de tekniske og organisatoriske sikkerhedsforanstaltninger, som virksomheden har gennemført.
7. Hvorvidt virksomheden tidligere har begået overtrædelser af GDPR.
8. hvor meget virksomheden samarbejder med tilsynsmyndigheden om at løse situationen og afbøde de potentielle negative virkninger af overtrædelsen
9. de kategorier af personoplysninger, der er berørt af overtrædelsen
10. hvordan tilsynsmyndigheden blev bekendt med overtrædelsen, navnlig om virksomheden anmeldte overtrædelsen til tilsynsmyndigheden, og i hvilket omfang den blev gennemført i sådanne tilfælde
11. Hvis tilsynsmyndigheden tidligere har påbudt korrigerende foranstaltninger over for virksomheden i henhold til artikel 58, stk. 2, i GDPR om samme emne, og om virksomheden har handlet i overensstemmelse med disse foranstaltninger.
12. Hvis virksomheden har anvendt godkendte adfærdskodekser i overensstemmelse med artikel 40 i GDPR.
13. Hvis virksomheden har anvendt godkendte certificeringsmekanismer i overensstemmelse med artikel 42 GDPR.
14. Eventuelle andre formildende eller skærpende faktorer, der gør sig gældende i forbindelse med sagens omstændigheder. F.eks. hvis overtrædelsen direkte eller indirekte har medført, at virksomheden har opnået en økonomisk fortjeneste eller undgået et økonomisk tab.
Hvad betyder det, hvis en overtrædelse begås forsætligt eller uagtsomt?
Tilsynsmyndigheden vurderer, om overtrædelsen er begået forsætligt eller uagtsomt. Hvis det er sket på grund af forsæt, er det værre, end hvis det skete ved uagtsomhed, og fører ofte til strengere straffe. Det kan derfor være nyttigt at kende forskellen mellem disse to begreber:
Fremad
Forsæt: Hvis en virksomhed har kendskab til og ved, at virksomheden ikke overholder reglerne i GDPR, er overtrædelsen sket på grund af forsæt. For eksempel, hvis en virksomhed behandler kreditkortoplysninger og ved, at sikkerhed ikke er tilstrækkelig, men vælger ikke at gøre noget ved det.
Overtrædelse
Manglende overholdelse er, når en virksomhed ikke har nogen viden eller hensigt bag overtrædelsen af GDPR. I stedet har virksomheden ikke opfyldt sin lovpligtige pligt til at udvise omhu.
De registrerede har ikke adgang til sanktioner
Når en virksomhed modtager en bøde, skal beløbet betales til tilsynsmyndigheden, dvs. staten. Dette er ikke et beløb, der kan deles med registrerede. På den anden side har de registrerede ret til at kræve erstatning, men dette er ikke noget, som tilsynsmyndigheden hævder. I sådanne tilfælde skal den registrerede i stedet anlægge et civilt søgsmål mod virksomheden.
Mere om GDPR
Forbud
Den nationale tilsynsmyndighed kan forbyde en virksomhed at foretage en bestemt type behandling. Det betyder, at behandlingen skal stoppes. Alternativt kan virksomheden pålægges at overholde særlige betingelser for, hvordan behandlingen vil blive udført.