Nyheder

FAQ: Bøder for overtrædelse af GDPR

GDPR er igen på alles læber. Konkrete sager om overtrædelse af reglerne og ikke mindst bødefastsættelsen har fået os til at samle svar på en række centrale spørgsmål, såsom hvordan Datatilsynet fastsætter en bødestørrelse, og hvor meget en bøde kan løbe op i ud fra konkrete scenarier.

Datatilsynet har for nyligt offentliggjort en bødevejledning i samarbejde med Rigsadvokaten og Rigspolitiet til brug for sager vedrørende overtrædelser af databeskyttelseslovgivningen. Vejledningen indeholder overordnede retningslinjer, som har til formål at sikre gennemsigtighed og systematik i bødefastsættelsen.

Der er fortsat ikke meget praksis på området, og vejledningen vil derfor blive opdateret i takt med fremtidens bødesager.

Vi har samlet de mest forekommende spørgsmål i en FAQ, som du kan læse her.

Q: Hvad er bødens overordnede formål?

A: Det følger af GDPR, at bøderne skal være effektive, stå rimeligt i forhold til overtrædelsen og have afskrækkende virkning. Bøden skal med andre ord forhindre dels, at lovovertrædelsen gentager sig, og dels at andre begår den.

Q: Hvordan fastsætter Datatilsynet en bøde?

A: Datatilsynet fastsætter bøden efter følgende trin:

  1. Fastsættelse af grundbeløb
    I bødevejledningen inddeler Datatilsynet et grundbeløb for bøder i 6 kategorier. Disse kategorier er inddelt efter alvorlige, mere alvorlige og mest alvorlige overtrædelser af GDPR.

    Derefter beregnes grundbeløbet ud fra overtrædelsens karakter og virksomhedens størrelse. Datatilsynet har opdelt bødens grundbeløb efter virksomhedens størrelse for at undgå en skævvridning. Bødens størrelse afhænger derfor af, om der er tale om mikro, små, mellemstore eller store virksomheder. 
     
  2. Justering af grundbeløb efter de konkrete omstændigheder
    Her tages der hensyn til overtrædelsens karakter, omfang eller formål, antal berørte registrerede samt omfanget af den skade de registrerede har lidt.

  3. Inddragelse af skærpende og formildende omstændigheder
    Når grundbeløbet er fastsat, kan der være formidlende eller skærpende omstændinger, som justerer på grundbeløbet for bøden.

    En skærpende omstændighed kan være, hvis overtrædelsen blev begået forsætligt eller uagtsomt. Modsætningsvist kan det vurderes som en formildende omstændighed, at den dataansvarlige selv har underrettet om overtrædelsen eller har begrænset de negative konsekvenser, som overtrædelsen måtte have givet anledning til.

  4. Eventuel korrigering efter bødemaksimum og betalingsevne
    Bøden kan ikke overstige det bødemaksimum, der følger af GDPR.

    I helt særlige tilfælde kan bøden nedsættes eller udsættes, hvis den bødepålagte, på grund af manglende evne til at betale, anmoder herom på grund af manglende betalingsevne. Det kræver ekstraordinære omstændigheder før en bødenedsættelse eller -udsættelse kan finde sted.

Q: Hvor meget kan jeg risikere at få i bøde?

A: Bødens størrelse afhænger af den konkrete overtrædelse. Nedenfor har vi oplistet en række eksempler på, hvad små og mellemstore virksomheder kan risikere at få i bøde for overtrædelser af GDPR.

Nedenstående tabeller kan anvendes som et udgangspunkt til beregning af en virksomheds bødeloft for angivne overtrædelser af GDPR. Dog er det vigtigt at huske, at fastsættelse af grundbeløbet kun er en overordnet retningslinje, som vil justeres af en lang række elementer og omstændigheder.

Bøde for manglende sletning af personoplysninger

Når virksomheder behandler personoplysninger, gælder principperne lovlighed, gennemsigtighed, formålsbegrænsning, dataminimering, opbevaringsbegrænsning og ansvarlighed efter GDPR art. 5.

Såfremt man som virksomhed ikke overholder disse principper, kan virksomheder risikere at få en bøde for overtrædelse af principperne. Eksempelvis kan en virksomhed få en bøde for manglende sletning af personoplysninger (Princippet om opbevaringsbegrænsning).

Grundbeløbet for bødeniveauet:

En overtrædelse for manglende sletning er netop blevet behandlet i Danmarks første GDPR-bødesag afsagt af Retten i Aarhus den 12. februar 2021. IDdesign (nu Ilva) blev idømt en bøde på 100.000 kr., der er markant under de 1.500.000 mio. kr., som Datatilsynet og Anklagemyndigheden indstillede selskabet til.

Selskabet havde ulovligt opbevaret et kundekartotek, som burde have været slettet. Der var tale om ca. 350.000 personoplysninger i form af kunders navne, adresser, telefonnumre, e-mails og købshistorik. IDdesign handlede derfor i strid med princippet om opbevaringsbegrænsning.

Retten fandt, at det var selskabets egen omsætning og ikke koncernomsætningen, der skulle lægges til grund for bødens beregning. Retten fandt endvidere alene bevis for, at selskabet havde begået overtrædelsen uagtsomt og dermed ikke forsætligt, som Datatilsynet vurderede. Derudover lagde domstolene en række formildende omstændigheder til grund, eksempelvis at der var tale om en førstegangsovertrædelse, samt at de omhandlende oplysninger var af almindelig karakter og ikke af følsom karakter mv.

Den principielle sag er dermed et eksempel på en praktisk anvendelse af de ovenfor nævnte formildende omstændigheder.

Bøde for manglende anmeldelse og/eller underretning af brud på datasikkerheden

Såfremt der sker et brud på datasikkerheden, skal det anmeldes til Datatilsynet uden unødig forsinkelse, og senest 72 timer efter den dataansvarlige er blevet bekendt med bruddet. Derudover skal den dataansvarlige uden unødig forsinkelse underrette den registrerede (personen, som oplysningerne vedrører), hvis bruddet vil indebære en risiko for fysiske personers rettigheder.

Grundbeløbet for bødeniveauet:

Bøde for manglende indgåelse af gyldige databehandleraftaler

Når dataansvarlig benytter databehandlere til at behandle personoplysninger på sine vegne, skal der indgås databehandleraftaler. Der følger af GDPR en række minimumskrav til, hvad en databehandleraftale skal indeholde bl.a. oplysninger om genstanden for, varigheden af behandlingen, typer af personoplysninger, kategorierne af registrerede osv.

Grundbeløbet for bødeniveauet:

Bøde for ulovlige overførsler af personoplysninger til tredjelande

Såfremt den dataansvarlige ønsker at overføre personoplysninger uden for nogle EU/EØS-lande (”tredjelande”), gælder der en række krav til tredjelandsoverførslen.

En ulovlig overførsel af data til tredjelande/internationale organisationer hører under kategori 6 og er dermed den mest alvorlige med det højeste bødeloft i vejledningen.

Grundbeløbet for bødeniveauet:

Har du brug for kompetent rådgivning om GDPR og persondata?

Hvis du har spørgsmål til din virksomheds behandling af personoplysninger eller til persondata generelt, er du velkommen til at kontakte DAHLs persondatateam, der står klar med råd og vejledning.

Tilmeld dig nyhedsbrevet DAHL Nyt

Modtag vores nyhedsbrev pr. e-mail og bliv opdateret på juridiske emner og nye kurser.

Læs betingelser

Betingelse for modtagelse af nyhedsbrevet DAHL Nyt

Hvem udsender nyhedsbrevet?

Nyhedsbrevet er en service, der udbydes af DAHL Advokatpartnerselskab. Vores fulde kontaktoplysninger er:

DAHL Advokatpartnerselskab
Lundborgvej 18
8800 Viborg
CVR. nr.: 37 31 00 85

Du vil kun modtage markedsføringsmateriale fra DAHL Advokatpartnerselskab.

Hvilke oplysninger indsamles om mig?

DAHL Advokatpartnerselskab behandler din oplyste e-mailadresse og dit navn – dette er alt, vi behøver for at kunne sende dig nyhedsbreve. Når du via nyhedsbrevet tilmelder dig et af vores arrangementer, vil vi i nogle tilfælde ligeledes behandle oplysninger om firmanavn og telefonnummer.

Vi indsamler desuden oplysninger om din adfærd i forbindelse med din brug af nyhedsbrevet – herunder oplysninger om om vores nyhedsbrev bliver åbnet, hvor lang tid e-mailen er åben, og om der klikkes på links i nyhedsbrevet. Du skal herudover være opmærksom på, at hvis du klikker på links i nyhedsbrevet til vores hjemmeside, kan vi indsamle yderligere oplysninger om dig, hvis du accepterer, at vores hjemmeside bruger cookies. Du kan finde yderligere information om vores brug af cookies i vores cookiepolitik.

Hvad bruger vi dine oplysninger til?

Når du tilmelder dig vores nyhedsbrev, bruger vi dine oplysninger til at udsende faglige nyheder, kursus- og øvrige arrangementstilbud samt andet markedsføringsmateriale til dig. Vi kan endvidere bruge dine oplysninger til at udsende orienterende e-mails om DAHL Advokatpartnerselskab eller om vores nyhedsbrev. Vores udsendelse af nyhedsbrevet sker på grundlag af dit samtykke.

De oplysninger, vi indsamler om dig og din adfærd i forbindelse med din brug af nyhedsbrevet, anvender vi til at forbedre vores service og indhold, så vi i fremtiden kan blive endnu bedre til at målrette og tilpasse indholdet i vores nyhedsbreve efter dine interesser. Vi behandler dine personoplysninger til disse formål efter reglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f. Hvis du ikke ønsker, at vi behandler dine oplysninger til disse formål, har du til enhver tid ret til at gøre indsigelse mod behandlingen.

Oplysninger om din brug af nyhedsbrevet anvender vi herudover til statistiske formål i anonymiseret form.

Dine oplysninger behandles fortroligt og sikkert

Vi opbevarer dine oplysninger fortroligt og sikkert. Vi har implementeret de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, der sikrer, at dine oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen.

Vi bruger en underleverandør til vores drift af IT. Vi har sikret, at vores IT-udbyder er underlagt samme forpligtelse, og at de alene handler på vores instruks.

Hvor ofte udsendes nyhedsbreve?

Vi udsender vores nyhedsbrev, når vi mener, at vi har noget vigtigt eller nyt at fortælle dig. Nyhedsbrevet udkommer ikke med faste intervaller. Det er derfor forskelligt, hvor ofte du kan forvente at modtage nyhedsbreve fra os. Vi bestræber os dog på at begrænse antallet, så vores nyhedsbreve ikke fylder hele din indbakke.

Vi videregiver ikke dine oplysninger

Vi videregiver ikke dine oplysninger til andre i kommerciel henseende. Vi videregiver kun oplysninger, hvis vi er forpligtet til det efter loven, eller hvis vi forpligtet til det efter en retskendelse.

Du kan altid rette eller ændre dine kontaktoplysninger

Du kan til enhver tid ændre eller rette i dine kontaktoplysninger (din e-mailadresse og navn) ved at afmelde dig nyhedsbrevet, og derefter tilmelde dig igen eller ved at sende en e-mail til tvc@dahllaw.dk, hvori du angiver ændringsønsker.

Det er beskrevet nedenfor, hvordan du framelder dig vores nyhedsbrev.

Du kan altid afmelde dig yderligere henvendelser

Du kan til enhver tid trække dit samtykke tilbage og framelde dig nyhedsbrevet. Når du har frameldt dig nyhedsbrevet, modtager du ikke yderligere fra os, medmindre du har givet andet samtykke til, at vi må henvende os til dig. Vi sender dig dog en bekræftelse på, at vi sletter dig fra modtagerlisten for vores nyhedsbrev, og vi sletter derefter dine oplysninger på vores modtagerliste.

Nyhedsbrevet kan afmeldes ved at klikke på linket ”afmeld nyhedsbrev”, som er indeholdt i hvert nyhedsbrev, du modtager fra os. Du kan også afmelde nyhedsbrevet ved at sende en e-mail til tvc@dahllaw.dk, hvori du oplyser dit navn og din e-mailadresse.

Hvor længe opbevarer I oplysningerne om mig?

Vi opbevarer og behandler dine oplysninger lige så længe, som du er tilmeldt vores nyhedsbrev. Hvis du afmelder dig fra nyhedsbrevet, sletter vi dine oplysninger.

Hvis du framelder dig vores nyhedsbrev, anonymiseres alle statistiske data om din brug af nyhedsbrevet. Anonymiseringen sker på en sådan måde, at det ikke efterfølgende er muligt at deanonymisere oplysningerne igen.

Dine øvrige rettigheder efter persondatalovgivningen

Du har til enhver tid mulighed for at gøre brug dine rettigheder efter persondatalovgivningen.

Du kan bl.a. anmode om indsigt i de personoplysninger, som vi behandler, samt gøre indsigelse mod behandlingen af oplysningerne. Du kan desuden anmode om berigtigelse eller sletning af eventuelle ukorrekte oplysninger om dig selv, trække et samtykke til behandling af dine personoplysninger tilbage samt gøre din ret til dataportabilitet gældende. I visse tilfælde kan du endvidere have ret til at få behandlingen af dine personoplysninger begrænset.

Hvis du ønsker at gøre brug af én eller flere af dine rettigheder, kan du kontakte cbm@dahllaw.dk.

Hvis du er uenig, i den måde vi behandler oplysninger om dig på, kan du klage til Datatilsynet.

Du modtager nu DAHL Nyt

Forretningsområder du ønsker info om:

  • Intet valgt

Din information

Du kan altid trække dit samtykke tilbage og afmelde dig vores nyhedsbrev

Accepter betingelserne