Bødeniveauet i GDPR-sager begynder at tage form
Et taxaselskab skal betale 1,2 millioner kroner for brud på datareglerne, vurderer Datatilsynet i den første sag af sin slags herhjemme. Men det er endnu uvist hvor præcist at det generelle bødeniveau ender.
Det danske datatilsyn har indstillet et taxaselskab til en bøde på 1,2 mio. kr. for en overtrædelse af reglerne i databeskyttelsesforordningen.
Datatilsynet var i efteråret 2018 på et tilsynsbesøg hos taxaselskabet, hvor der bl.a. blev set på, om taxaselskabet havde fastsat frister for sletning af kundernes oplysninger, og om fristerne blev efterlevet.
Taxaselskabet anonymiserede de oplysninger, der skulle anvendes til kundens bestilling og afvikling af taxature efter to år. Men det var kun kundens navn, der blev slettet efter de to år, ikke kundens telefonnummer. Oplysninger om en kundes taxature (herunder opsamlings- og afleveringsadresser) kunne derfor fortsat henføres til en fysisk person via telefonnummeret, som først blev slettet efter fem år.
Der var registreret oplysninger om 8.873.333 personhenførbare taxature, som var ældre end to år. Datatilsynet indstiller blandt andet forseelsen til en bøde, fordi de meget store mængde af personoplysninger var blevet gemt uden et sagligt formål.
Datatilsynet i Danmark kan – i modsætning til de fleste andre europæiske lande - ikke selv udstede administrative bøder, men skal indgive en politianmeldelse. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv.
Politi og anklagemyndighed udsteder ofte bødeforelæg i straffesager begået af virksomheder. Men før det også kan ske i GDPR-sager, skal sanktionsniveauet afklares i retterne, hvor man inddrager erfaring fra andre EU-lande. Det tager tid og medfører utvivlsomt yderligere medieopmærksomhed omkring de virksomheder, som skal igennem den retlige mølle.
En bødestraf kan i de mest alvorlige sager koste op til 4 pct. af virksomhedens globale omsætning eller 20 mio. euro, alt efter hvilket beløb, der er højest. Der vil ved vurderingen af en bødes størrelse udover overtrædelsernes alvor og grovhed - blive set på virksomhedernes størrelse, omsætning og økonomiske forhold.
Der findes på EU-niveau - her ti måneder efter ikrafttrædelsen af GDPR - et meget begrænset antal sager, herunder følgende:
- Det portugisiske datatilsyn har udstedt en bøde på samlet 400.000 euro for brud på databeskyttelsesforordningen til et offentligt portugisisk hospital, hvor både læger og personer uden medicinsk baggrund havde adgang til patienters kliniske data.
- Datatilsynet i den tyske delstat Baden Würtembergs har udstedt en bøde på 20.000 euro til et større datingsite, som i sommeren 2018 blev udsat for et hackerangreb, hvor der blev stjålet adgangskoder og e-mailadresser fra 330.000 brugere. Datatilsynet lagde vægt på, at virksomheden havde været meget samarbejdsvillig efter, at bruddet var blevet opdaget, og at virksomheden havde gennemført omfattende foranstaltninger til forbedring af it-sikkerhedsarkitekturen inden for få uger.
- Det østrigske datatilsyn har udstedt sin første bøde på 4.800 euro til en iværksættervirksomhed, der havde installeret et overvågningskamera foran sin bygning. Der blev lavet optagelser af både området, der tilhørte virksomheden, og en stor del af fortovet (et offentligt område), hvilket ikke er tilladt efter TV-overvågningsloven. Bødens størrelse blev udmålt under hensyntagen til, at iværksættervirksomheden kun havde en indtjening på ca. 40.000 euro om året.
Bødeindstillingen fra det danske Datatilsyn, der altså er den første af sin slags herhjemme, giver en vis indledende indikation af bødeniveauet, men der er fortsat lang vej til fastlæggelse af det endelige niveau. En ting er dog helt sikkert: Der bliver i tråd med den generelle udvikling i retshåndhævelsen i Europa tale om bøder i en helt anden størrelsesorden, end de hidtidige. Compliance-afdelingerne i virksomhederne vil derfor utvivlsomt følge udviklingen nøje.