Sådan beregner Datatilsynet GDPR-bøder

11/02/21

Der er i øjeblikket ni politianmeldelser, hvor Datatilsynet har indstillet til bøde for overtrædelse af GDPR. I en ny vejledning, der er udarbejdet af Datatilsynet i samarbejde med Rigspolitiet og Rigsadvokaten, fremgår det, hvordan Datatilsynet udregner bøder til virksomheder.

Denne artikel giver et overblik over de elementer, der danner grundlag for Datatilsynets beregning samt eksempler på bødestørrelsen for forskellige typer af overtrædelser.

Datatilsynet beregner GDPR-bøder i følgende trin:
  1. Fastsættelse af et grundbeløb på baggrund af maksimumbeløb samt virksomhedens omsætning og størrelse
  2. Justering af grundbeløb på baggrund af overtrædelsens karakter, alvor og varighed
  3. Inddragelse af skærpende og formildende omstændigheder
  4. Eventuel yderligere justering af beløbet efter betalingsevne og i tilfælde af flere forbundne overtrædelser.

Bødernes størrelse

I henhold til GDPR kan virksomheder maksimalt pålægges bøder på op til:

  • 75 mio. kr. (statisk bødeloft) eller 2 % af virksomhedens samlede globale omsætning (dynamisk bødeloft) – alt efter hvilket beløb der er højest – ved ”mindre alvorlige” overtrædelser. Datatilsynet har inddelt disse overtrædelser i kategorierne 1-3, hvor kategori 3 kan give den største bøde.

  • 150 mio. kr. (statisk bødeloft) eller op til 4 % af virksomhedens samlede globale omsætning (dynamisk bødeloft) – alt efter hvilket beløb der er højest – ved overtrædelser af de ”mere alvorlige” regler. Datatilsynet har inddelt disse overtrædelser i kategorierne 4-6, hvor kategori 6 kan give den højeste bøde. 

Kategoriseringen af overtrædelser er lavet ud fra den konsekvens, der kan være for den registrerede, som der behandles personoplysninger om. 

 

Kategori 1

Kategori 2


Kategori 3


Kategori 4 


Kategori 5 

Kategori 6 

Eksempler på overtrædelser

Utilstrækkeligt samarbejde med tilsynet

Manglende eller for sen anmeldelse af sikkerhedsbrud

Manglende databehandler-aftale,

Utilstrækkelig sikkerhed

 

Manglende underretning af modtagere om sletning

Ulovligt eller manglende samtykke,

Utilstrækkelig eller manglende oplysningspligt

Ulovlige overførsler til tredjeland

Grundbeløb –Statisk loft

3,75 mio. kr.

7,5 mio. kr.

15 mio. kr.

7,5 mio. kr.

15 mio. kr.

30 mio. kr.

Grundbeløb –

Dynamisk loft

> 3,75 mio. kr.

> 7,5 mio. kr.

>15 mio. kr.

> 7,5 mio. kr. 

> 15 mio. kr.

> 30 mio. kr.

Datatilsynet finder først maksimumbeløbet for overtrædelsen og justerer herefter dette tal til et grundbeløb, som fastlægges, alt efter hvilken regel der er overtrådt, samt efter virksomhedens omsætning og størrelse på baggrund af de europæiske regnskabsklasser.

Konkrete eksempler

Nedenfor giver PwC eksempler på Datatilsynets bødeniveau for specifikke overtrædelser af GDPR afhængigt af virksomhedens størrelse. Beregningerne er foretaget på baggrund af skema 3 og 4 i Datatilsynet vejledning.

Manglende anmeldelse af et sikkerhedsbrud (Kategori 2)

Virksomheder skal være i stand til at identificere brud på persondatasikkerheden og anmelde disse til Datatilsynet inden 72 timer, medmindre det er usandsynligt, at bruddet medfører en risiko for personers rettigheder eller frihedsrettigheder. 

Hvis en virksomhed anmelder et brud for sent (efter fristen på 72 timer) eller slet ikke anmelder bruddet, vil maksimumbeløbet for en bøde være 7,5 mio. kr. Beløbet nedjusteres, alt efter virksomhedens omsætning. 

  • For en virksomhed med en omsætning på under 15 mio. kr. justeres grundbeløbet for en bøde til 30.000 kr. 

  • For en virksomhed med en omsætning på 15-75 mio. kr. justeres grundbeløbet for en bøde til 150.000 kr. 

  • For en virksomhed med en omsætning på 75-375 mio. kr. justeres grundbeløbet for en bøde til 750.000 kr.

Manglende behandlingssikkerhed (Kategori 3) 

Virksomheder skal beskytte personoplysninger tilstrækkeligt. For at kunne gøre det skal den dataansvarlige, allerede før en behandling foretages, bl.a. kortlægge risikoen for sine kunder og ansattes rettigheder og afveje disse risici i forhold til de sikkerhedsforanstaltninger, der bliver truffet for at beskytte disse personer.

Hvis en virksomhed fx sender oplysninger til uvedkommende, vil maksimumbeløbet for en bøde være 15 mio. kr. Beløbet nedjusteres, alt efter virksomhedens omsætning. 

  • For en virksomhed med en omsætning på under 15 mio. kr. justeres grundbeløbet for en bøde til 60.000 kr. 

  • For en virksomhed med en omsætning på 15-75 mio. kr. justeres grundbeløbet for en bøde til 300.000 kr. 

  • For en virksomhed med en omsætning på 75-375 mio. kr. justeres grundbeløbet for en bøde til 1,5 mio. kr. 

Manglende oplysningspligt (”privatlivspolitik”) (Kategori 5) 

Virksomheder har pligt til at give bl.a. sine kunder og ansatte en række oplysninger om, hvordan virksomheden behandler personoplysninger, fx hvilke oplysninger virksomheden behandler, til hvilke formål, og hvornår man forventer at slette personoplysningerne. Det kan bl.a. gøres ved privatlivspolitikker.

Hvis en virksomhed ikke iagttager sin oplysningspligt (eller ”privatlivspolitik”), fx ved ikke at give de registrerede de korrekte oplysninger om, hvordan personoplysninger behandles, vil maksimumbeløbet for en bøde være 15 mio. kr. Beløbet nedjusteres, alt efter virksomhedens omsætning. 

  • For en virksomhed med en omsætning på under 15 mio. kr. justeres grundbeløbet for en bøde til 60.000 kr. 

  • For en virksomhed med en omsætning på 15-75 mio. kr. justeres grundbeløbet for en bøde til 300.000 kr. 

  • For en virksomhed med en omsætning på 75-375 mio. kr. justeres grundbeløbet for en bøde til 1,5 mio. kr. 

Overførsler til usikre tredjeland (fx USA) (Kategori 6) 

EU-Domstolen har senest i juli 2020 fastslået, at der ikke kan overføres personoplysninger til tredjelande, fx USA, medmindre man kan dokumentere, at oplysningerne er beskyttet på samme niveau som i EU.

Hvis en virksomhed overfører personoplysninger til et usikkert tredjeland, uden at oplysningerne er beskyttet tilstrækkeligt, vil maksimumbeløbet for en bøde være 30 mio. kr. Beløbet nedjusteres, alt efter virksomhedens omsætning. 

  • For en virksomhed med en omsætning på under 15 mio. kr. justeres grundbeløbet for en bøde til 120.000 kr. 

  • For en virksomhed med en omsætning på 15-75 mio. kr. justeres grundbeløbet for en bøde til 600.000 kr. 

  • For en virksomhed med en omsætning på 75-375 mio. kr. justeres grundbeløbet for en bøde til 3 mio. kr. 

Formildende og skærpende omstændigheder

Grundbeløbet i beregningen af bødestørrelsen, kan justeres både op og ned på baggrund af en vurdering af sagens karakter og alvor. Her lægger Datatilsynet bl.a. vægt på sagens omfang, formålet med aktiviteten, og hvor længe overtrædelsen har stået på. 

Datatilsynet vil i sin vurdering endvidere inddrage, om der er formildende eller skærpende omstændigheder, der gør, at bøden skal justeres yderligere. Her kan Datatilsynet fx skele til, om virksomheden har forsøgt at afdække sine aktiviteter og foretaget en risikovurdering, hvordan virksomheden beskytter personoplysninger, og hvad virksomheden gjorde efter, overtrædelsen blev opdaget.

PwC anbefaler

PwC anbefaler, at virksomheder altid foretager en risikovurdering og dokumenterer deres beslutninger og overvejelser, da denne dokumentation både kan bidrage til en mildere sanktion, fx kritik frem for bøde, og kan anvendes som grundlag for implementering af sikkerhedsforanstaltninger til beskyttelse af data. 

Vejledningen kan læses her

Kontakt os

Christian Kjær

Partner, Technology & Security, PwC Denmark

Tlf: 3945 3282

Følg PwC