Holland fastsætter retningslinjer for bødestørrelser i henhold til GDPR

Baggrund for retningslinjerne

I henhold til Databeskyttelsesforordningen kan der udstedes administrative bøder som følge af brud på forordningens bestemmelser. Inden Databeskyttelsesforordningen trådte i kraft, var der store forskelle på, hvor store bøder, der blev givet for brud på databeskyttelsesreglerne, og om der overhovedet blev givet bøder.

Den 3. oktober 2017 vedtog den daværende Artikel 29-gruppe ”Retningslinjer for anvendelse og fastsættelse af administrative bøder i henhold til forordning (EU) nr. 2016/679”. Retningslinjerne indeholder regler og principper inden for udstedelsen af administrative bøder med det formål at sikre en konsekvent anvendelse af beføjelsen til udstedelse af bøder i henhold til Databeskyttelsesforordningen. Det Europæiske Databeskyttelsesråd har dog ikke udtalt sig om et niveau for bødestørrelsen for forskellige forseelser, og databeskyttelsesmyndighederne i medlemsstaterne har derfor ikke haft andet end Databeskyttelsesforordningens tekst at støtte sig op ad.

Den hollandske databeskyttelsesmyndighed har på baggrund af manglende vejledning til fastsættelse af bødeniveauet, vedtaget deres egen retningslinje, der kan anvendes indtil Det Europæiske Databeskyttelsesråd måtte vedtage fælles principper for beregningen af bøder.

Fastsættelse af størrelsen på administrative bøder

Den hollandske databeskyttelsesmyndighed skal, udover at tage højde for Databeskyttelsesforordningen, også tage hensyn til relevant national lovgivning. Dette vil også gøre sig gældende i Danmark, hvor Datatilsynet og politiet ligeledes skal tage højde for tilsvarende forhold i øvrig lovgivning.

Retningslinjerne fastsætter en række bødeintervaller afhængig af, hvilken lovgivning bøden gives efter, og hvad maksimumbøden er efter denne lovgivning. Bødeintervallerne fastsættes desuden ud fra, hvor alvorlig overtrædelsen anses for at være. For hver kategori er der angivet en basisbøde, som der tages udgangspunkt i ved fastlæggelse af bødens størrelse.

Bødeniveauets størrelse er forsøgt fastsat ud fra, at de skal være tilstrækkeligt afskrækkende for både lovovertræderen og for andre potentielle lovovertrædere.

Overtrædelser af Databeskyttelsesforordningen er inddelt i kategori I-IV, hvor de første 3 kategorier skal anvendes til overtrædelse af forhold, der kan give en maksimumbøde på 10.000.000 euro, eller hvis det drejer sig om en virksomhed, op til 2 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere. Alle 4 kategorier finder anvendelse på overtrædelse af forhold, der kan give en maksimumbøde på 20.000.000 euro, eller hvis der er tale om en virksomhed, op til 4 % af dens samlede globale årlige omsætning.

Der er således risiko for, at man ved overtrædelse af et forhold, der har en maksimumbøde på 10.000.000 euro (eller 2 %), kan blive pålagt en større bøde, end ved en overtrædelse af et forhold, der har en maksimumbøde på 20.000.000 euro. Dette afhænger således af, hvor alvorlig overtrædelsen anses for at være, og hvilket forhold der er overtrådt.

Den bøde, der pålægges, beregnes ved først at finde ud af, hvilke(n) bestemmelse(r) i Databeskyttelsesforordningen, der er overtrådt og tage udgangspunkt i basisbøden for den kategori, som overtrædelsen tilhører. Hvis eksempelvis en virksomhed ikke har udarbejdet de(n) nødvendige fortegnelse(r) over deres databehandling, tilhører overtrædelsen kategori II, og bødeintervallet er således 120.000-500.000 euro, og basisbøden er 310.000 euro.

Basisbøden kan justeres efter bl.a. alvorligheden af den specifikke overtrædelse, og i hvilket omfang overtrædelsen skyldes overtræderen, samt de øvrige forhold som oplistet i Databeskyttelsesforordningens art. 83, stk. 2. Hvis den hollandske databeskyttelsesmyndighed anser det for nødvendigt, kan den beslutte at bevæge sig en kategori op eller ned på skalaen, så der er mulighed for fastsættelse af højere eller lavere bøder.

Skalaen ser ud som følger:

Det er interessant at se, at den hollandske databeskyttelsesmyndighed fastsætter en basisbøde for de ”mindst alvorlige” forseelser på 100.000 euro. Basisbøden kan formindskes afhængig af de konkrete forhold, men det er stadig værd at bemærke, hvor højt niveauet er fastsat i forhold til, hvad vi har været vant til i Danmark.

Et andet interessant aspekt i retningslinjerne er, at ingen af bødeintervallerne nærmer sig maksimumbøderne på 10.000.000 (eller 2%) hhv. 20.000.000 euro (eller 4%), idet det højeste interval går op til 1.000.000 euro, med en basisbøde på 725.000 euro. Det må derfor formodes, at den hollandske databeskyttelsesmyndighed vil være tilbageholdende med at udstede meget større bøder end dette.

Betydning for danske forhold

Retningslinjerne har ikke direkte virkning i Danmark, og Datatilsynet skal ikke rette sig efter dem, men i og med, at baggrunden for EU-forordninger er, at de skal sikre ensartethed i hele EU, må det formodes, at retningslinjerne også vil få betydning for fastlæggelsen af bødeniveauet i de øvrige EU-lande. Der er endnu ikke udstedt mange bøder på baggrund af Databeskyttelsesforordningen, så retningslinjerne vil utvivlsomt komme til at præge niveauet i de øvrige EU-lande, i hvert fald indtil flere databeskyttelsesmyndigheder måtte melde sig på banen, eller Det Europæiske Databeskyttelsesråd kommer med en udmelding.