EDPB's uddybende retningslinjer om udmåling af bøder til private virksomheder

Det Europæiske Databeskyttelsesråd (EDPB) har vedtaget uddybende retningslinjer om udmåling af bøder til private virksomheder. Det omtales bl.a. som en skærpende omstændighed, hvis overtrædelsen er begået i strid med et råd fra databeskyttelsesrådgiveren og dermed bliver anset for forsætlig. Som andre omstændigheder, der peger på forsætlige overtrædelser, er desuden nævnt ulovlig behandling, der udtrykkeligt er godkendt af den dataansvarliges øverste ledelse eller er i strid med eksisterende politikker. Hvis der er tale om manglende vedtagelse af politikker (og ikke blot manglende anvendelse af vedtagne politikker), fremgår det af retningslinjerne, at dette kan være tegn på uagtsomhed.


På plenarmødet i Det Europæiske Databeskyttelsesråd (EDPB) den 24. maj 2023 blev EDPB’s uddybende retningslinjer om udmåling af bøder til private virksomheder endeligt vedtaget. Formålet med retningslinjerne om udmåling af bøder til private virksomhederer at sikre ensartethed og gennemsigtighed i forhold til bødeudmålingen på tværs af de europæiske tilsynsmyndigheder.


Retningslinjerne angiver en model for bødeudmålingen og nogle rammer for bødefastsættelsen, men retningslinjerne fastsætter ikke konkrete beløb. Bødens størrelse beror bl.a. på en konkret vurdering af overtrædelsens alvorlighed og virksomhedens omsætning, og samlet set skal det sikres, at bøderne er effektive, proportionale og afskrækkende.


Datatilsynet har publiceret en nyhed om retningslinjerne. Det fremgår her, at Datatilsynet allerede i 2021 udarbejdede en vejledning om udmåling af bøder til virksomheder i samarbejde med Rigsadvokaten og Rigspolitiet. Vejledningen byggede på det igangværende arbejde i EDPB-regi og beregningsprincipperne er derfor i det væsentlige overensstemmende med de netop vedtagne uddybende retningslinjer fra EDPB. Datatilsynet oplyser videre, at der aktuelt arbejdes  på en opdatering af den danske vejledning, som vil afspejle de nye fælleseuropæiske retningslinjer på området.


Kommentarer

Retningslinjerne beskriver en række parametre, der vil indgå i fastsættelsen af bøderne. Jeg har valgt at fokusere på et par interessante elementer:


Det fremgår af retningslinjerne, at det bl.a. er en skærpende omstændighed, hvis der er handlet i strid med DPO'ens råd. Se fx eksempel 5a (oversat her): "Overtrædelsens grovhed blev imidlertid forøget af, at overtrædelsen blev begået i strid med et råd fra databeskyttelsesrådgiveren og dermed blev anset for forsætlig."

Som andre omstændigheder, der peger på forsætlige overtrædelser, er nævnt ulovlig behandling, der udtrykkeligt er godkendt af den dataansvarliges øverste ledelse eller er i strid med eksisterende politikker. Hvis der er tale om manglende vedtagelse af politikker (og ikke blot manglende anvendelse af vedtagne politikker), fremgår det af retningslinjerne, at dette kan være tegn på uagtsomhed.

Men lad nu ikke dette afholde jer fra at søge DPO'ens råd eller vedtage de politikker og retningslinjer, der er brug for - for det vil jo i sig selv være brud på reglerne.


 Som sagt er der er mange parametre omtalt i retningslinjerne ud over de her omtalte. 

.........................................

Dette er en nyhedstekst, som fremhæver udvalgte elementer fra en afgørelse eller vejledning mv. For den fulde forståelse henvises til indholdet af afgørelsen eller vejledningen og evt. professionel rådgivning.

Dato: 24. maj 2023

Titel: Guidelines 04/2022 on the calculation of administrative fines under the GDPR
Version 2.0
Adopted on 24 May 2023

Link til retningslinjerne