De første bøder er faldet om overtrædelse af databeskyttelsesforordningen

Mads Bernstorn

I flere af EU’s medlemslande er de første afgørelser om overtrædelse af databeskyttelsesforordningen nu blevet truffet, og de nationale datatilsyn har med afgørelserne givet en indikation af bødeniveauet. I henhold til databeskyttelsesforordningens artikel 83, kan overtrædelse af databeskyttelsesforordningens bestemmelser sanktioneres med bøder på op til 20 mio. euro, eller op til 4 % af en virksomheds samlede globale årlige omsætning i det foregående regnskabsår.

Der har været særlig stor medieopmærksomhed på emnet siden den franske tilsynsmyndighed (CNIL) den 21. januar 2019 pålagde Google en bøde på 50 mio. euro svarende til 373 mio. kr. for overtrædelse af reglerne om, hvordan samtykke indsamles samt mangel på transparent og let tilgængelig information om, hvordan virksomheden anvender de data, den indsamler fra brugerne. Google har kæret afgørelsen, og dermed overgår sagen til de franske domstole.

Det er dog ikke kun store virksomheder, som er blevet pålagt bøder for overtrædelse af databeskyttelsesforordningen. Det østrigske datatilsyn har pålagt en mindre virksomhed en bøde for brud på databeskyttelsesforordningen, idet virksomheden havde installeret et kamera uden for virksomheden, som også filmede en stor del af fortovet. Dette var i strid med reglerne om overvågning af offentlige områder. Den østrigske tilsynsmyndighed tog virksomhedens størrelse og proportionalitetsprincippet med i betragtning ved fastsættelsen af bødens størrelse og pålagde virksomheden en bøde på 4.800 euro svarende til godt 36.000 kr.

Herudover har datatilsynet i Portugal (NCDP) i 2018 pålagt et hospital en bøde for ikke at begrænse adgangen til fortrolige patientoplysninger til de medarbejdere, som havde brug for at tilgå sådanne oplysninger. Bøden blev fastsat til 400.000 euro, idet bruddet på datasikkerheden var en klar og alvorlig overtrædelse af databeskyttelseslovgivningen. Afgørelsen viser vigtigheden af, at adgangen til personoplysninger, herunder særligt følsomme personoplysninger, begrænses til de medarbejdere, som har brug for at kunne tilgå oplysningerne.

I november 2018 pålagde datatilsynet i Baden-Württemberg i Tyskland det sociale medie Knuddels.de en bøde på 20.000 euro, efter en hacker havde skaffet sig adgang til personoplysninger på hundredtusindvis af netstedets brugere. Myndighederne vurderede, at mediet var ansvarlig for databruddet, eftersom personoplysningerne, herunder passwords, blev opbevaret som almindelig tekst. Datatilsynet fandt, at denne form for opbevaring af personoplysninger var en overtrædelse af forordningens artikel 32, hvorefter dataansvarlige og databehandlere, skal “træffe passende tekniske og organisatoriske foranstaltninger” for at sikre et sikkerhedsniveau, der passer til de risici, som er forbundet med behandlingen. Ved fastsættelsen af bødeniveauet tog datatilsynet i Baden-Württemberg i betragtning, at Knuddels.de var samarbejdsvillig og straks gik i gang med at træffe passende, og strammere, sikkerhedsforanstaltninger.

Eksemplerne viser, at både store og små virksomheder er i datatilsynets søgelys og må indrette sig på de databeskyttelsesretlige regler. Afgørelserne viser også, at myndighederne ser på en lang række faktorer, når de afgør en sag om overtrædelse af de databeskyttelsesretlige regler, og det må antages, at bødeniveauet i Danmark, også kan afspejle om virksomhederne udviser samarbejdsvilje og straks iværksætter afhjælpende tiltag.

I Danmark har hverken Datatilsynet eller domstolene indtil nu truffet afgørelse om bøder for overtrædelse af databeskyttelsesforordningen eller databeskyttelsesloven. Datatilsynets har dog  politianmeldt et taxaselskab og indstillet selskabet til en bøde på 1,2 mio. kr. for overtrædelse af reglerne i databeskyttelsesforordningen. Taxaselskabet anonymiserede de fleste kundeoplysninger, der anvendes ved bestilling og afvikling af taxature, to år efter en taxatur. Kundens telefonnummer blev imidlertid først slettet fem år efter taxaturen, og det var derfor muligt, at henføre taxaturene til en fysisk person via telefonnummeret. Efter Datatilsynets opfattelse, er denne praksis i strid med slettereglerne i databeskyttelsesforordningen.

Det bemærkes, at det i Danmark alene er domstolene, der kan træffe afgørelse om at pålægge bøder. Datatilsynets kompetence er begrænset til udstedelse af administrative bødeforlæg, men såfremt den, der har begået overtrædelsen, ikke er villig til at betale bøden, vil domstolene afgøre bødespørgsmålet. Datatilsynet skal i sådanne tilfælde indgive politianmeldelse sammen med en redegørelse for datatilsynets vurdering, herunder en vurdering af niveauet for bøden.

Mette Klingsten Advokatfirma rådgiver om kravene til behandling af personoplysninger, herunder om Datatilsynets nyeste praksis og bistår med udarbejdelse af databeskyttelsespakker med politikker, procedurer og øvrige relevante dokumenter.