Advokat: Usikkerhed om GDPR-bøder bør få politisk opmærksomhed
Politikerne bør iværksætte en debat om GDPR-bøders størrelse, som ikke blot er reaktioner på specifikke bøder. Der er behov for klar retspraksis, skriver Johan Leonhard.
Af Johan Leonhard
Advokat, Nyborg & Rørdam
Datatilsynet offentliggjorde i januar 2021 en vejledning, der varsler en ny tilgang i beregningen af bøder for virksomheders overtrædelser af GDPR.
Den nye tilgang kan betyde markant højere bøder end hvad vi hidtil har set i Danmark, særligt for virksomheder med stor omsætning.
Lave bøder i norden
Det danske bødeniveau for overtrædelse af databeskyttelsesreglerne var meget lavt i årtierne før GDPR, hvor ingen var over 100.000 kroner. Med GDPR forudsatte EU en markant stigning i bødeniveauet, for at understrege alvoren og vigtigheden af at overholde reglerne.
I de første tre år efter GDPR trådte i kraft, har Datatilsynet i Danmark også lagt op til et højere bødeniveau. Men i skrivende stund der er dog kun afsagt én dom om bøde for overtrædelse af GDPR i Danmark. I dommen, der efterfølgende er appelleret, fastsatte byretten bøden til 100.000 kroner.
Datatilsynets tre største officielle bødeoplæg til dato er i niveauet 1,1-1,5 millioner kroner. Selvom det er mange penge, er det langt fra det bødeniveau mange frygtede GDPR ville indebære.
I 2017 og 2018 blev forordningens bødemaksimum på 150 millioner kroner eller fire procent af omsætningen ofte blev trukket frem som et skrækscenarie for mange virksomheder.
Den pragmatiske tilgang og det niveau vi hidtil har set i Danmark, har vi også set i Norge, Sverige og Finland. Men i de senere måneder er der sket noget i Skandinavien.
I december 2020 har det svenske datatilsyn lagt op til bøder på henholdsvis 12, 15 og 30 millioner svenske kroner for håndtering af patientdata, og tidligere på året kommunikerede tilsynet oplæg til en bøde på 75 millioner svenske kroner for Googles manglende efterlevelse af sletningsanmodninger.
I Norge har det lokale datatilsyn i januar 2021 offentliggjort oplæg til en bøde på 100 mio. NOK for mangelfuldt samtykke i appen Grindr. Der er markant højere bøder end vi tidligere har set i Skandinavien. Men måske ikke overraskende, når man ser i en større europæisk kontekst.
Større bøder i andre EU-lande
Hvis man kigger til store lande som Tyskland, England og Frankrig har man i længere tid set en hårdere tilgang fra myndighederne.
Eksempelvis kan nævnes markante bøder på 35 millioner euro til H&M for overvågning af medarbejdere i Tyskland, 20 millioner pund til British Airways for et omfattende databrud i England, og 50 millioner euro for Google’s Android platform i Frankrig.
Niveauforskellene handler selvfølgelig om de konkrete overtrædelsers karakter og omfang, men landene har også i lang tid haft en forskellig tilgang. I Tyskland introducerede myndighederne eksempelvis en omsætningsbaseret bødemodel allerede i 2019.
Den danske og den tyske model er forskellige, men følger samme grundlæggende princip med stor vægtning af omsætningen. Det er ikke utænkeligt, at Datatilsynet har skelet til vores nabo mod syd, da de lavede den nye model.
En tilnærmelse af et fælles bødeniveau ligger godt i tråd med forudsætningerne i GDPR – og den seneste udvikling i Skandinavien og den nye bødevejledning signalerer, at vi måske ved bevæge os væk fra den hidtidige skandinaviske laissez faire pragmatisme.
Spørgsmålet er bare hvor langt det er rimeligt og hensigtsmæssigt at gå.
Den nye model
I bødevejledningen fremhæver Datatilsynet forordningens ord om, at bøden skal være effektiv, stå i rimeligt forhold til overtrædelsen og have en afskrækkende virkning.
Grundet virksomhedernes forskellige størrelser er det forskelligt, hvilket modenhedsniveau man kan forvente, og hvornår en bøde er effektiv og afskrækkende.
Den nye model er baseret på virksomhedernes omsætning. Logikken i modellen er, at bøden beregnes ud fra et grundbeløb, der fastsættes som en procentdel af bødemaksimum. Procentdelen varierer fra fem procent til 20 procent af maksimum.
For mikro-, små og mellemstore virksomheder kan grundbeløbet reduceres i forskellig grad ud fra nogle graduerede faktorer, men for store virksomheder med en omsætning på mindst 500 millioner kroner er grundbeløbet fast. Den endelige bøde fastsættes ud fra grundbeløbet, men justeres efter overtrædelsens karakter, alvor og omfang samt øvrige omstændigheder.
For store virksomheder starter grundbeløbene for størstedelen af overtrædelserne ved henholdsvis 15 og 30 millioner kroner. De opjusteres yderligere hvor virksomheden har en meget stor omsætning.
Grundbeløbene må forventes at være pejlemærker for bødeoplæg til store virksomheder, medmindre Datatilsynet foretager kraftige nedjusteringer i praksis.
Vejledningen indeholder desuden en kategorisering af, hvilket bødeniveau Datatilsynet vil lægge op til for hver type af overtrædelse. Kategoriseringen er baseret på den risiko, som en overtrædelse efter Datatilsynets opfattelse må forventes at have for de berørte personer.
Hvad kan vi så forvente?
GDPR lægger ansvaret for bødernes effektivitet, proportionalitet og afskrækkende virkning hos Datatilsynet. Men i Danmark er domstolene en afgørende aktør for fastsættelse af bødeniveauet.
De danske domstole har tradition for at henholde sig til loven, og vejledninger fra en myndighed har ikke karakter af lov. I det lys er vejledningen først og fremmest en indikation på niveauet, som Datatilsynet og anklagemyndigheden vil efterstræbe ved domstolene.
Formålet med vejledningen er at skabe klarhed, og at sikre at bøderne er effektive og proportionale, og at de har afskrækkende virkning. Det er fornuftigt at graduere bøderne ud fra et risiko-perspektiv, men stor omsætning er ikke nødvendigvis lig stor risiko, og vice versa.
Derfor bliver det interessant at se, i hvilket omfang Datatilsynet vil regulere op og ned fra grundbeløbene.
Usikkerheden er problematisk
Modellens usikkerhed og usikkerheden om domstolenes anerkendelse af modellen bevirker, at der fortsat er en uklar retstilstand om bødeniveauet i Danmark. Det er problematisk.
Virksomhederne og samfundet bruger allerede mange ressourcer og penge på overholdelse af GDPR, men der er fortsat ikke nogen tydelig angivelse af, hvordan indsatserne skal prioriteres.
Der er behov for, at politikerne involverer sig i en debat om bødeniveauet, som ikke er en reaktion på bøder.
Det er let at være reaktiv og harcelere over eksorbitante bøder, eller at kritisere det modsatte, hvis der er stemmer i det. Men det hjælper ikke på forudsigeligheden.
Det ville være passende, at man fra politisk side tog initiativ til en debat af hvad et effektivt, proportionalt og afskrækkende bødeniveau er, og hvilke overtrædelser der skal takseres højt og lavt.
Datatilsynet er med sin vejledning kommet med et indspark. Hvis indsparket ikke snart resulterer i en relativt klar retspraksis, er der behov for at tage den grundlæggende debat.
Genbesøg dit beredskab
Uanset hvordan udfordringerne gribes politisk, bør den nye vejledning give anledning til at virksomhederne genbesøger deres GDPR-indsats.
Hvordan kan man forholde sig til den usikre retstilstand? Selvom man ikke ved hvornår ”ulven” kommer, er altid det en god ide med rimelige forberedelser. Kritiske forbedringer behøver ikke at være meget ressourcekrævende.
Man kan med fordel:
- Tage en praktisk tilgang, hvor fokus er på at lave simple konkrete forbedringer.
- Lave en basal risikoanalyse for at se om de hidtidige indsatser er dækkende for de største risici (højeste bødeniveauer og fokusområder).
- Planlægge og implementere konkrete forbedringer i en prioriteret rækkefølge baseret på risikoen.
Corona har vist vejen: Danskerne er klar til flere digitale velfærdsydelser
Debattør: EU forsømmer at sætte en kurs for regulering af nye teknologier
