Dansk virksomhed kommer ind på top-10 liste over største europæiske databøder

Der har siden ikrafttrædelsen den 25. maj 2018 været megen fokus på bødernes størrelse i sager om overtrædelse af bestemmelserne i persondataforordningen - den såkaldte GDPR (General Data Protection Regulation). Størrelsen af bøderne er efter en række nyere afgørelser fra de europæiske datamyndigheder begyndt at tage form, men vi afventer stadig en endelig domstolsafgørelse i mange sager.

Da der er tale om sanktioner ved overtrædelse af en forordning, må det antages, at danske domstole i deres overvejelser omkring fastlæggelse af konkrete bøder vil tage udgangspunkt i praksis i de forskellige EU-medlemslande og altså ikke blot se på bødeniveaet ved danske selskabers overtrædelser. I Storbritannien er der for eksempel i juli 2019 truffet flere afgørelser, hvor datamyndighederne har indstillet flere til bøder på rekordstore beløb.

Danmark er dog også repræsenteret i top-10 listen over de største indstillede og afgjorte bøder. Vi kommer ind med en placering som nr. 9 og 11 i form af bødeindstillinger overfor virksomhederne IDdesign A/S og Taxa 4x35 (kr. 1,5 mio. kr. 1,2 mio. kr.). De to indstillinger fra Datatilsynet vedrører overtrædelser for henholdsvis manglende sletning af oplysninger om ca. 385.000 kunder og for at have gemt oplysninger om knap 9 mio. personhenførbare taxature uden et sagligt formål.

Endnu er de involverede bøder og godtgørelser i EU ikke på størrelse med konsekvensen af databrud i USA, hvor det fornyeligt blev offentliggjort, at Equifax skal betale 700 mio. dollar i et omfattende forlig, efter at hackere i 2017 stjal brugerdata fra flere end 143 mio. kunder i virksomheden.    

Nedenfor er der en liste over indstillinger om eller afgørelser af de 10 største bøder i EU:

1. British Airways (UK), indstilling af 8. juli 2019 på 204.600.000 euro.
2. Marriott International, Inc. (UK), indstilling af 9. juli 2019 på 110.390.200 euro.
3. Google Inc. (Frankrig), afgørelse af 21. januar 2019 på 50.000.000 euro.
4. Haga Hospital (Holland), indstilling af 18. juni 2019 på 460.000 euro.
5. Sergic (Frankrig), afgørelse af 17. juli 2019 på 400.000 euro.
6. Et hospital (Portugal), indstilling af 17. juli 2019 på 400.000 euro.
7. Laliga  (Spanien), afgørelsestidspunkt ukendt, 250.000 euro.
8. Privat selskab (Polen), afgørelse af 26. marts 2019 på 219.538 euro.
9. IDdesign A/S (Danmark), indstilling af 3. juni 2019 på 200.850 euro
10. Bergen Kommune (Norge), indstilling af marts 2019 på 170.000 euro.

I dag er det ikke muligt for Datatilsynet at afgøre sager om overtrædelse af databeskyttelseslovgivningen med administrative bødeforelæg. Dette vil først være muligt, når sanktionsniveauet for overtrædelse af de enkelte artikler i forordningen er tilstrækkelig afklaret i retspraksis.

Det vil derfor - indtil sanktionsniveaet er fastlagt - være anklagemyndigheden, der efter indstilling fra Datatilsynet, indbringer sager for retten, der herefter - muligvis efter behandling i flere instanser - træffer den endelige afgørelse om bødens størrelse.