Inden vedtagelsen af databeskyttelsesforordningen i 2018 var bødeniveauet for overtrædelser af de databeskyttelsesretlige regler i Danmark lavt. De højeste bøder lå dengang på 25.000 kr. Med forordningen tilsigtedes en ændring, således at bødeniveauet fremover skulle forhøjes markant.

Forordningen opererer med et administrativt bødesystem, hvilket betyder, at de kompetente myndigheder inden for databeskyttelsesområdet kan pålægge virksomheder og fysiske personer bøder direkte. Dette følger af forordningens art. 83, stk. 1.

Fastsættelse af bødens størrelse efter databeskyttelsesforordningen

Efter art. 83, stk. 1 skal en administrativ bøde opfylde to kriterier. Bøden skal være proportional, altså den skal stå i et rimeligt forhold til overtrædelsen, og den skal have en afskrækkende virkning.

Art. 83, stk. 2 oplister de hensyn, som en myndighed skal inddrage i vurderingen af hhv. om der skal gives en bøde og bødens størrelse.

a) Overtrædelsens beskaffenhed, herunder alvoren, varigheden og omfanget af overtrædelsen, samt antallet af berørte registrerede og omfanget af den skade de har lidt.

b) Om overtrædelsen er begået forsætligt eller uagtsomt.

c) Om den dataansvarlige eller databehandleren har gennemført foranstaltninger til at begrænse skaden for de registrerede.

d) Den dataansvarliges eller databehandlerens ansvar efter art. 25 og 32, der vedrører tekniske og organisatoriske foranstaltninger vedrørende databehandlingen.

e) Eventuelle tidligere relevante overtrædelse hos den dataansvarlige eller databehandleren.

f) Graden af villighed til at samarbejde med tilsynsmyndigheden for at afhjælpe overtrædelsen og minimere skaden.

g) Hvilken type af personoplysninger som overtrædelsen vedrører.

h) På hvilken måde tilsynsmyndigheden er kommet til kendskab om sagen, herunder om den dataansvarlige eller databehandleren selv har underrettet tilsynsmyndigheden.

i) Om den dataansvarlige eller databehandleren har overholdt de foranstaltninger efter art. 58, stk. 2, som tilsynsmyndigheden eventuelt har fastsat. Dette kunne eksempelvis være et påbud eller en kritik fra myndigheden.

j) Om de godkendte adfærdskodekser efter art. 40 eller de godkendte certificeringsmekanismer efter art. 42 er overholdt.

k) Andre formildende eller skærpende omstændigheder, som eksempelvis opnåede økonomiske fordele eller undgåede tab som følge af overtrædelsen.

Bøderammer efter databeskyttelsesforordningen

Bøderammerne for overtrædelser af GDPR varierer afhængigt af, hvilken bestemmelse der er overtrådt.

De mindre grove overtrædelser er reguleret i art. 83, stk. 4. Disse omfatter bl.a. overtrædelser af de generelle forpligtelser i art. 25 til 39.  Bødeniveauet her er maksimalt 10 mio. euro eller 2 % af den årlige, globale omsætning, hvis dette beløb er højere end det førnævnte.

De grovere overtrædelser er reguleret i art. 83, stk. 5, og omfatter overtrædelser af f.eks. databehandlingsprincipperne i art. 5, kravene til behandlingsgrundlag i art. 6 eller 9, samt den registreredes rettigheder efter art. 12-22. Bødeniveauet er her fastsat til maksimalt 20 mio. euro eller 4 % af den årlige, globale omsætning, hvis dette beløb er højere end det førnævnte

Det danske bødesystem

I Danmark blev det administrative bødesystem ikke indført. Begrundelsen var, at dette ville stride mod princippet om magtens tredeling, idet det er domstolene, som dømmende magt, der skal udstede bøder og ikke den udøvende magt.

Danmark er den eneste EU-medlemsstat, der finder det administrative bødesystem forfatningsmæssigt betænkeligt. I Danmark er det derfor domstolene og ikke Datatilsynet, der er den danske tilsynsmyndighed, der idømmer bøder. Hjemlen til at fravige forordningens bødesystem findes i art. 83, stk. 9.

Et nationalt bødesystem, som fraviger det foreskrevne i forordningen, er dog stadig underlagt visse krav. Efter art. 83, stk. 9 skal bøder idømt af domstolene være effektive og have samme virkning som administrative bøder. De skal også være proportionale i forhold til overtrædelsen og have afskrækkende virkning.  Den nationale tilsynsmyndighed er desuden forpligtet til at tage skridt til bøder. I praksis har Datatilsynet derfor politianmeldt mulige overtrædelser, og de har samtidig indstillet den bøde, de mener er korrekt. 

Databeskyttelseslovens § 41, stk. 1 og 2 foreskriver straf i form af bøde eller fængsel i op til 6 måneder for overtrædelser af størstedelen af de materielle bestemmelser i databeskyttelsesforordningen og databeskyttelsesloven. Der er ikke her fastsat et maksimalt bødeniveau.

Domstolene skal følge art. 83, stk. 2, når de idømmer en bøde. Dette følger af Databeskyttelseslovens § 41, stk. 3.

Bøderammer i Danmark

Databeskyttelsesloven indeholder ikke bøderammer ligesom databeskyttelsesforordningen. Datatilsynet har på den baggrund udarbejdet en bødevejledning, hvori de fastsætter en model for udregning af bøder.

I bødevejledningen fastsættes først et grundbeløb. Grundbeløbets størrelse afhænger af typen af overtrædelse samt virksomhedens størrelse. Ved typen af overtrædelser sondres der mellem de oplistede i art. 83, stk. 4 og 83, stk. 5 i forordningen.

Efter grundbeløbet er fastsat, justeres bøden på baggrund af sagens omstændigheder, herunder overtrædelsens karakter, alvor og varighed. Dernæst inddrages sagens skærpende og formildende omstændigheder. Til sidst justeres bøden i forhold til det gældende bødemaksimum, hvis bøden har oversteget dette, samt i forhold til den ansvarliges betalingsevne.

Bødevejledningen og Datatilsynets indstillinger er ikke bindende for domstolene, omend domstolene bør tage hensyn til indstillingerne efter forordningens præambelbetragtning 151.

Der er til dags dato kun idømt en bøde for overtrædelse af Databeskyttelsesloven. Dommen blev afsagt i februar 2021, hvor ILVA blev pålagt at betale en bøde på 100.000 kr. Datatilsynet havde ellers indstillet virksomheden til en bøde på 1,5 mio. kr. Dommen er anket til Vestre Landsret. Det forventes, at dommen kommer til at være særlig betydningsfuld i fastlæggelsen af fremtidig retspraksis vedrørende GDPR-bøder i Danmark.

Hvad skal du være opmærksom på

Du eller din virksomhed skal være opmærksomme på, at en overtrædelse af databeskyttelseslovens eller databeskyttelsesforordningens materielle regler kan medføre en høj bødestraf. Kontakt os, hvis du har brug for rådgivning til, hvordan du undgå at overtræde databeskyttelsesloven. Hvis du har enkelte spørgsmål til GDPR som du ikke har fundet her på siden, så kan du muligvis finde svaret på denne side.