GDPR: Bødeudmåling til det offentlige
30. juni 2021
2 minutters læsetid
Datatilsynet indstiller til væsentligt lavere bøder, når det offentlige har overtrådt persondatareglerne, set i forhold til bødeniveauet for private aktører. Det kan virke uretfærdigt ved første øjekast, men der er en logik bagved, ligesom det lavere bødeniveau er i overensstemmelse med lovgivers ønske.
Du bør være opmærksom på, at det i sidste ende domstolene afgør den endelige bøde, hvis den ikke vedkendes af overtræderen. Det følgende er derfor alene af vejledende karakter.
Læs også: Datatilsynet indstiller kommune til bøde på 200.000
Læs også: GDPR: Bødeudmåling til private virksomheder
Normalt kan offentlige myndigheder ikke straffes for opgaver, som falder ind und myndighedsudøvelse. Dette udgangspunkt er dog konkret fraveget i de danske databeskyttelsesregler. Bødeindstilling fungerer i praksis ved at Datatilsynet indstiller en bøde til politiet, der herefter vurderer, om der skal rejses sigtelse.
To sager er aldrig ens, og en bøde skal altid udmåles efter alle de relevante omstændigheder. De kommunale sager vedrører fortrinsvist brud på datasikkerheden, dvs. hvor oplysninger kommer til uberettigede modtagere, mens de private sager vedrører manglende sletning af store mængder gamle men ikke-kompromitterede oplysninger. Sagernes indhold adskiller sig således fra hinanden.
Uanset ovenstående kan en generel oversigt over det hidtidige bødeniveau være med til at illustrere, i hvor stort omfang bødeniveauet i den offentlige sektor afviger fra den private sektor.
| Offentlig sektor | Privat sektor |
| Kommune A: | 200.000 | Møbelvirksomhed: | 1.500.000 |
| Kommune B: | 100.000 | Taxaselskab: | 1.200.000 |
| Kommune C: | 50.000 | Hotelkæde: | 1.100.000 |
| Kommune D: | 50.000 | Boligselskab: | 150.000 |
| Kommune E: | 50.000 | Vikarbureau: | 50.000 |
Maksimalbøderne for det offentlige er ifølge lovforarbejderne forudsat at være op 2 % af driftsbevillingen dog maksimalt 8 mio. for nogle overtrædelser, og op til 4 % dog maksimalt 16 mio. for andre.
Årsagen til den generelle lempelse findes i databeskyttelseslovens § 41, stk. 6 med tilhørende forarbejder. Lovgiver har forudsat, at der skal tages særligt hensyn til de offentlige myndigheders særlige situation.
Offentlige myndigheder varetager lovfæstede opgaver, og har således ikke samme mulighed for at stoppe behandlinger eller undlade at udføre en aktivitet, som private aktærer har. Derudover kan der gælde særlige rammevilkår, eller myndighedens opgaver kan være bundet op på en driftsbevilling.
Denne artikel baserer sig på de bødeindstillinger, som Datatilsynet har offentliggjort til og med 24-06-2021 på tilsynets hjemmeside.
Du er altid velkommen til at henvende dig til os og få en indledende drøftelse af din sag. Vi har stor erfaring i at analysere situationen og give dig råd om, hvad der er bedst at gøre.
