Under den nuværende persondatalov, kan man næppe få mere end 25.000 kr. i bøde for de mest grove forseelser. Dette bliver ændret markant under persondataforordningen. Overtrædelser af forordningen bliver ikke en gratis fornøjelse. Man kan således risikere bøder i millionklassen, hvis man overtræder forordningens regler. Hermed vil EU sende et signal om, at persondatabeskyttelse skal tages alvorligt. Bøder er dog ikke den eneste sanktion. I milde tilfælde kan man nøjes med en advarsel. Derudover kan man udover en bøde også blive mødt af et erstatningskrav.
ADVARSLER OG LIGNENDE
Datatilsynet kan vælge at udstede forskellige sanktioner i stedet for en bøde:
- Advarsler
- Kritik
- Forbud
- Påbud
- Suspension af overførsler af personoplysninger til lande uden for EU
- Trække certificeringer tilbage
I hvilket omfang, disse muligheder vil blive benyttet, vides ikke på nuværende tidspunkt, men vil formentlig mest blive benyttet over for fysiske dataansvarlige og databehandlere med en lille økonomi eller ved mindre forseelser, mens virksomheder og andre organisationer i højere grad vil blive mødt med hårdere sanktioner. Hvis din organisation får en advarsel, skal der rettes op på forholdet snarest muligt, så man ikke risikerer andre (hårdere) sanktioner.
ERSTATNING
Den dataansvarlige og databehandleren kan risikere at blive sagsøgt af den registrerede med påstand om erstatning ved overtrædelser af forordningen.
Det særlige ved disse sager er, at der er omvendt bevisbyrde. Det er op til den dataansvarlige eller databehandleren at bevise, at de ikke har overtrådt forordningen. Det er derfor særdeles vigtigt, at der bliver udarbejdet tilstrækkelig dokumentation.
BØDESTRAF
Bødestraf må forventes af blive hovedsanktionen inden for håndhævelse af persondataretten. Hvor stor en bøde, man kan ifalde, kommer an på overtrædelsens karakter og omstændighederne i øvrigt. Momenter, der kan indgå i denne vurdering er:
- Overtrædelsens grovhed
- Omfanget af overtrædelsen
- Skadens omfang for de registrerede
- Hvor store bestræbelser virksomheden har gjort for at højne sikkerheden
- Om virksomheden har gjort noget for at begrænse skaden
- Om det er et gentagelsestilfælde
- Om virksomheden selv har anmeldt overtrædelsen
- Forholdene i øvrigt
Forordningen fastsætter selv rammerne for bødernes størrelse. For en række mildere forseelser fastsættes maksimum til 10 mio. euro eller 2 % af virksomhedens omsætning fra sidste år. Det er det højeste beløb af de to, der gælder. For nogle grovere forseelser bliver maksimum sat op til 20 mio. euro eller 4 % af sidste års omsætning, alt efter hvad der er højest.
Bødeniveauet er således sat meget højt i forhold til, hvad vi er vant til efter dansk ret. Hidtil har Danmark kun givet bøder på op til 25.000 kr., men det vil altså ændre sig drastisk, når forordningen træder i kraft.
Det er som udgangspunkt ikke den enkelte person, der rent faktisk har foretaget den ulovlige behandling, der bliver straffet med bøde, men derimod den dataansvarlige, der oftest vil være en juridisk person, fx et aktie- eller anpartsselskab. Hvis den dataansvarlige eller databehandleren er en fysisk person, vil han dog også kunne ifalde bødestraf.
BOD
I mange forhold mellem fagforeninger og arbejdsgiverorganisationer, er der fastsat visse regler om anvendelse af de ansattes personoplysninger i en overenskomst eller i en hovedaftale. Det kan være bestemt, at overtrædelse af disse regler vil medføre betaling af en større bod til den anden part. Dette gælder allerede i dag og vil også gælde, når forordningen træder i kraft.
FÆNGSELSSTRAF
Det er i dag muligt at ifalde fængselsstraf, hvis man overtræder persondataloven. Det er dog aldrig nogensinde blevet brugt og er nok nærmere en teoretisk mulighed. Persondataforordningen bestemmer, at de forskellige lande selv kan fastsætte fængselsstraf for grove overtrædelser af reglerne. Hvorvidt dette vil ske i Danmark, kan der ikke siges noget sikkert om på nuværende tidspunkt. Det fremgår dog af det endnu ikke vedtagne lovforslag om databeskyttelse, at man kan ifalde fængselsstraf for overtrædelse af reglerne.
Leoni Advokaters samarbejdspartnere
For at klæde dig godt på til de nye regler, har vi hos Leoni Advokater indledt et samarbejde med konsulentvirksomheden eNavigate, konsulentvirksomheden AKON og it-virksomheden netIP.