Sådan beregnes GDPR-bøder

På GDPR-området lægges der med Databeskyttelsesforordningen op til et nyt, væsentligt højere bødeniveau, der gennem retspraksis skal skabe grundlag for mere ensartede, gennemskuelige og til dels standardiserede bøder for konkrete overtrædelser af de databeskyttelsesretlige regler. Derfor har Datatilsynet udarbejdet en vejledning til, hvordan de konkrete bødestørrelser fastsættes. Den har vi i det følgende prøvet at koge ned til en lækker lille buillonterning.

Beregningsmodel for bøder

Helt overordnet skal en bøde…

  • være effektiv
  • stå i rimeligt forhold til overtrædelsen
  • have afskrækkende virkning

Grundlæggende baseres bøden på et grundbeløb, der efterfølgende justeres efter virksomhedens størrelse samt overtrædelsens karakter, alvor og varighed. Dernæst vurderes det, om der er skærpende eller formildende omstændigheder, og endelig tilrettes bøden blandt andet efter betalingsevne. Regnestykket ser altså således ud:

Grundbeløb
+/- justering efter overtrædelsens karakter, alvor og varighed
+ skærpende omstændigheder
+ formildende omstændigheder
Justeret grundbeløb
– evt. justering efter databeskyttelsesforordningens maksimum
– evt. justering efter betalingsevne
Endeligt bødebeløb

Grundbeløbet

Grundbeløbet tager udgangspunkt i store virksomheder med en omsætning op til 500 mio. kr., men justeres efter virksomhedens størrelse alt efter, om man er en mellemstor (< 375 mill. kr.), lille (< 75 mill. kr.) eller mikro-virksomhed (< 15 mill. kr.).

Da bøden både skal være effektiv, forholdsmæssig og afskrækkende, inddeles overtrædelserne desuden i kategorier efter grad af alvorlighed.

Justering efter overtrædelsens karakter, alvor og varighed

Efter at have fastlagt grundbeløbet, justeres bøden efter overtrædelsens karakter, alvor og varighed i det konkrete tilfælde, hvilket omfatter…

Behandlingens omfang
Udføres behandlingen lokalt, nationalt eller grænseoverskridende?

Formål med behandlingen
Er formålet anerkendelsesværdigt? I givet fald bedømmes det mildere.

Antal registrerede
Hvor mange registrerede er egentligt berørt – og hvor mange kunne potentielt blive berørt?

Omfanget af den skade, der er lidt
Hvilken og hvor alvorlig er den skade, de berørte registrerede har lidt?

Varighed
Hvor længe har overtrædelsen stået på? Jo længere, desto højere straf.

Skærpende og formildende omstændigheder

Dernæst kan der ske en stigning af beløbet ved skærpende omstændigheder og/eller et fald ved formildende omstændigheder. Det drejer sig om…

  • blev overtrædelsen begået forsætligt eller uagtsomt?
  • hvilke foranstaltninger er der truffet for at begrænse skaden?
  • hvor vidt der er gennemført passende tekniske og organisatoriske sikkerhedsforanstaltninger?
  • er der relevante tidligere overtrædelser?
  • graden af samarbejde med tilsynsmyndigheden for at afhjælpe overtrædelsen og begrænse de negative konsekvenser af overtrædelsen?
  • hvilke kategorier af personoplysninger er berørt af overtrædelsen?
  • hvordan og hvor meget er tilsynsmyndigheden blevet gjort bekendt med overtrædelsen?
  • er der truffet tidligere lignende foranstaltninger over for den pågældende virksomhed?
  • er alle godkendte adfærdskodekser eller godkendte certificeringsmekanismer overholdt?
  • er der andre skærpende eller formildende faktorer ved sagens omstændigheder?

Justering efter databeskyttelsesforordningens maksimum

Hvis bøden overstiger maksimum fastsat i databeskyttelsesforordningen, skal bødes justeres. Der er fastsat et statisk og et dynamisk bødeloft, der igen afhænger af graden af alvorlighed.

Det statiske bødeloft går op til 75 mill. kr. (€ 10 mill.) ifølge artikel 83, stk. 4, mens loftet er 150 mill. kr. (€ 20 mill.) for artikel 83, stk. 5.

Det dynamiske bødeloft er henholdsvis 2% eller 4% af virksomhedens samlede globale årlige omsætning i det foregående regnskabsår.

Bødeloftet fastsættes efter hvilket beløb, der er størst – det statiske eller det dynamiske.

Justering efter betalingsevne

Bøden skal som nævnt matche overtrædelsens karakter, alvor og varighed, så hvis en høj bøde medfører konkurs, bør det altid overvejes, om målet kan nås med en mindre bøde. Det kan godt være, at en sådan bøde er både effektiv og afskrækkende, men den skal også være proportional.

Derfor kan bøden i særlige tilfælde nedsættes grundet manglende betalingsevne – eller alternativt udsættes. Men det kræver ekstraordinære omstændigheder, og nedsættelse kan kun ske, hvis der foreligger objektive beviser for, at den pålagte bøde med sikkerhed vil bringe den pågældende virksomheds økonomiske levedygtighed i fare.

Et visuelt overblik

De basale krav før individuelle justeringer er skitseret i nedenstående oversigt, hvor de to hovedkategorier (artikel 83, stk. 4 og 5) lodret er inddelt i kategorier og vandret er specificeret efter virksomhedsstørrelse.

Det er dermed muligt at finde det grundbeløb, der er udgangspunktet for netop din virksomhed. Men husk, at det efterfølgende skal justeres efter alle de elementer, der er skitseret i artiklen ovenfor.