Fortsæt til indhold

Hvordan fastlægges bøder ved brud på GDPR?

Direkte

Databeskyttelsesforordningen (også kendt som GDPR) har skabt store frustrationer hos mange. Den har givet anledning til en del spørgsmål, herunder særligt hvordan bøder ved brud fastlægges. Nu har Datatilsynet informeret om, hvordan de forskellige faktorer vægtes, og hvordan de den nærmere bødefastlæggelse sker.

Det er dog ikke muligt at opstille en udtømmende liste over forhold, der skal tages hensyn til i den konkrete sag. Det skyldes navnlig, at bøden fastsættes ud fra de konkrete omstændigheder i den enkelte sag, og at bøden i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og ikke mindst have afskrækkende virkning.

Bøder til virksomheder

Når der skal fastsættes en bøde til en virksomhed, bliver der først og fremmest set på selve overtrædelsen, og hvor alvorlig bruddet på GDPR har været. Af formildende og skærpende omstændigheder kan bl.a. nævnes:

  • Overtrædelsens omfang (f.eks. om overtrædelse har ramte mange mennesker)
  • Dens karakter (f.eks. hvis formålet med overtrædelsen har været af kommerciel karakter, kan det have en skærpende virkning)
  • Overtrædelsens varighed

Derudover er følgende skærpende faktorer, der medvirker til en større bøde:

  • At overtrædelsen er forsætlig
  • At virksomheden ikke har forsøgt at begrænse skaden eller hindre GDPR-bruddet
  • At virksomheden før har overtrådt GDPR-lovgivningen eller påbud fra Datatilsynet
  • At de personoplysninger, som er omfattet af overtrædelsen, er særligt følsomme
  • At virksomheden ikke har meldt sig selv og evt. forsøgt at skjule overtrædelsen

Af formildende faktorer, der medvirker til en mindre bøde, kan nævnes:

  • At overtrædelsen har haft en begrænset varighed
  • At personoplysningerne kun er delt med et begrænset antal mennesker

Herefter ses der på virksomhedens omsætning. Der sker herved en kategorisering af virksomhedens størrelse, der er afgørende for bødestørrelsen. Dvs. jo større omsætning virksomheden har, desto større bliver bøden udmålt.

Datatilsynet har imidlertid lagt en bødevejledning ud på deres hjemmeside. Her finder du både kategorier af GDPR-brud samt bødeniveauer og -lofter.

Du bør, som læser, ikke lade artiklen stå alene i forhold til konkrete, juridiske problemer, men derimod søge individuel rådgivning i form af at konsultere en advokat. Vær også opmærksom på, at artiklen kan være forældet, også efter ganske kort tid f.eks. på grund af praksisændringer eller på grund af ændret lovgivning.