Menu
Tilbage til oversigt
15. februar 2021 here

Ny vejledning om fastsættelse af bøder ved overtrædelse af GDPR-regler

Datatilsynet har i samarbejde med Rigspolitiet og Rigsadvokaten offentliggjort en vejledning om bødefastsættelse ved overtrædelse af databeskyttelsesreglerne. Vejledningen skal skabe større gennemsigtighed om hvordan tilsynet fastsætter bødestørrelsen og fremtidig ensartethed.

Bødens størrelse

Det forudsættes at bøden i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Ud fra nedenstående model fastsættes det beløb Datatilsynet kan indstille virksomheden til:

Ved fastsættelse af bødens grundbeløb tages der først og fremmest udgangspunkt i hvilken overtrædelse, der er tale om. Overtrædelserne inddeles i 6 kategorier af Datatilsynet, hvor de mest alvorlige overtrædelser relaterer sig til f.eks. generel behandling af særlige kategorier af personoplysninger, manglende underretning ved brud mv. Af mere alvorlige overtrædelser kan nævnes overtrædelser der relaterer sig til f.eks. anmeldelse af brud på persondatasikkerheden, fortegnelser, grundprincipperne og den registreredes rettigheder. Af mindst alvorlige overtrædelser kan nævnes underretning af modtagere ved sletning.

Herefter kan der ske justering af bøden efter de konkrete omstændigheder. Foruden virksomhedens størrelse og markedsmæssige position tages der blandt andet hensyn til behandlingens omfang, formål, antal registrerede, den lidte skade samt varighed.

Eventuelle formidlende og skærpende omstændigheder kan inddrages og medføre hhv. en nedjustering eller en opjustering. Af databeskyttelsesforordningen fremgår en række forhold der kan lægges vægt på herunder forsæt, uagtsomhed, foranstaltninger truffet for at begrænse skaden, tidligere overtrædelser, afhjælpning samt typen af personoplysninger, som overtrædelsen vedrører.

Til sidst kan der ske yderligere justering efter maksimum eller betalingsevne. Dette medfører at bøden aldrig kan overstige forordningens bødemaksimum, ligesom der under særlige omstændigheder kan tages hensyn til virksomhedens betalingsevne. For at inddrage hensyn til virksomhedens betalingsevne, skal der foreligge ekstraordinære omstændigheder, ligesom det er en forudsætning, at den betalingspålagte virksomhed selv anmoder om det.

Administrativt bødeforlæg

Datatilsynet har mulighed for at udstede administrativt bødeforlæg (dvs. uden straffesag) såfremt overtrædelsen erkendes og der vel at mærke er klarhed om bødeniveauet. I takt med der kommer flere afgørelser på området, vil bødesatserne for forskellige typer af overtrædelser i højere grad standardiseres, således at der opnås et klart og gennemskueligt bødeniveau ved bødeforlæg.

Læs hele vejledningen her, og find vejledning om persondatareglerne her.

Tilbage til oversigt
brown wooden tool on white surface