GDPR: Bødeudmåling til private virksomheder
30. juni 2021
4 minutters læsetid
Der går rygter om at det koster millioner at overtræde GDPR, når der laves bødeudmåling. Det kan være sandt i nogle tilfælde, men det er ikke hele sandheden. Eksempelvis er det klare udgangspunkt at små virksomheder ikke skal frygte uproportionelle bøder, der sender virksomheden direkte i konkurs.
Du bør være opmærksom på, at det i sidste ende er domstolene der afgør den endelige bøde, hvis den ikke vedkendes af overtræderen. Det følgende er derfor alene af vejledende karakter.
Læs også: Datatilsynet indstiller kommune til bøde på 200.000
Læs også: GDPR: Bødeudmåling til det offentlige
Datatilsynet sammensætter bøden efter følgende vejledende proces:
Når alle trin er gennemgået, når man det endelige bødebeløb.
Datatilsynet vurderer hvor stor den maksimale bøde er for den pågældende virksomhed og overtrædelse. Derefter udregnes grundbeløbet for den aktuelle bøde som en procentdel heraf.
Den maksimale bøde er ca. 75 mio. kr. (10 mio. EUR) eller 2 % af den årlige globale omsætning for mindre alvorlige typer af overtrædelser, og ca. 150 mio. kr. (10 mio. EUR) eller 4 % af den årlige globale omsætning for mere alvorlige typer overtrædelser.
Standard grundbeløbet for bøden beregnes derefter med en procentsats alt efter hvor alvorlig en kategori af overtrædelsen, som der er tale om;
| Kategori 1 og 4 | 5 % af bødemaksimum | F.eks. dataportabilitet |
| Kategori 2 og 5 | 10 % af bødemaksimum | F.eks. samtykke eller oplysningspligt |
| Kategori 3 og 6 | 20 % af bødemaksimum | F.eks. følsomme oplysninger eller børn |
For at undgå en skævvridning i hvordan bøderne påvirker forskellige størrelser af virksomheder, kan der foretages nedjustering af bøden for mikro, små og mellemstore virksomheder. I den forbindelse vurderer Datatilsynet både på omsætningen og markedsandelen for virksomheden.
Nedenfor kan du se et skema over grundbøderne for overtrædelse af mindre alvorlige forhold – dvs. hvor maksimalbøden er 75 mio. kr. Satser for alvorligere overtrædelser er det dobbelte.
| Virksomhedens størrelse | Maksimal justering (ned til) | Kategori 1 | Kategori 2 | Kategori 3 |
| Meget store virksomheder (omsætning > 3,75 mia. kr.) | >3,75 mio. kr. | >7,5 mio. kr. | >15 mio. kr. | |
| Store virksomheder (omsætning ≤ 3,75 mia. kr.) | 3,75 mio. kr. | 7,5 mio. kr. | 15 mio. kr. | |
| Mellemstore virksomheder (omsætning ≤ 375 mio. kr.) | Standard grundbeløb x 0,1 | ≥ 375.000 kr. | ≥ 750.000 kr. | ≥ 1,5 mio. kr. |
| Små virksomheder (omsætning ≤ 75 mio. kr.) | Standard grundbeløb x 0,02 | ≥ 75.000 kr. | ≥ 150.000 kr. | ≥ 300.000 kr. |
| Mikro virksomheder (omsætning ≤ 15 mio. kr.) | Standard grundbeløb x 0,004 | ≥ 15.000 kr. | ≥ 30.000 kr. | ≥ 60.000 kr. |
Når grundbeløbet er fastlagt, kan det op- eller nedjusteres yderligere. Der gives her et kort uddrag af eksempler, men listen er ikke udtømmende.
Manglende sletning af store mænger persondata, når der ikke længere foreligger et legitimt behandlingsgrundlag, er tilsyneladende en særligt skærpende og praktisk relevant omstændighed. Dette forhold går igen i samtlige de store bødeindstillinger fra Datatilsynet til dato, hvor der er indstillet til bøder på over 1 mio. kr.
Det vil efter omstændighederne kunne anses for formildende, hvis virksomheden har truffet en række konkrete foranstaltninger med henblik på at begrænse skade for de berørte registrerede personer, eller på anden måde beskytte de registrerede og deres rettigheder. Det samme gælder, hvis der er udført passende tekniske og organisatoriske sikkerhedsforanstaltninger.
Endelig kan det være en formildende omstændighed, hvis virksomheden selv har anmeldt et forhold eller datasikkerhedsbrud til Datatilsynet. Omvendt kan manglende pligtmæssigt anmeldelse være skærpende.
Datatilsynet påser naturligvis, at den konkret udmålte bøde ikke overstiger de maksimalbøder, som er fastsat i lovgivningen. Hvis virksomheden overtræder flere GDPR-regler ved samme eller forbundne databehandlinger, må bøden ikke overstige beløbet for den alvorligste overtrædelse.
En nedsættelse af bøden grundet dårlig betalingsevne kan komme på tale, hvis bøden truer økonomien i hele virksomheden, eller hvis bøden er så stor i forhold til virksomhedens økonomi, at den muligvis medfører konkurs. Tilsynet kan også anvende betalingsudsættelse som alternativ til nedsættelse af bødebeløbet.
Denne nedjustering er en meget begrænset undtagelse, som kun bliver taget i betragtning hvis virksomheden selv anmoder om det. Nedjustering kræver også helt særlige omstændigheder og objektive beviser for at bøden med sikkerhed vil bringe virksomhedens overlevelse i fare og få dens aktiviteter til at miste værdi.
Endelig skal der tages stilling til virksomhedens sociale og økonomiske kontrakt – eksempelvis kan der ikke forventes bødenedsættelse, hvis overtræderen kan søge økonomisk støtte hos et moderselskab.
Denne artikel baserer sig på de bødeindstillinger, som Datatilsynet har offentliggjort til og med 24-06-2021 på tilsynets hjemmeside, samt den bødevejledning, som tilsynet udgav januar 2021.
Du er altid velkommen til at henvende dig til os og få en indledende drøftelse af din sag. Vi har stor erfaring i at analysere situationen og give dig råd om, hvad der er bedst at gøre.
