Ny vejledning fra Datatilsynet om bødestraf for fysiske personer

Datatilsynet er netop kommet med en vejledning om, hvor stor straffen bør være, hvis en fysisk person bryder persondataloven.

 

Datatilsynet har netop udgivet en vejledning om, hvor bødeniveauet forventes at blive lagt, når fysiske personer overtræder persondatalovgivningen.
 

Der er kommet en ny vejledning fra Datatilsynet, som handler om, hvad straffen bør være, hvis en person - og ikke et firma - overtræder persondatalovgivningen.

Vejledningen betyder ikke, at gæstelisten til familiefødselsdagen pludselig bliver omfattet af persondatareglerne. Men med vejledningen sigter Datatilsynet på at omfavne den situation, hvor en medarbejder eksempelvis påtager sig et selvstændigt dataansvar for behandling af persondata, der ligger udenfor det ansvar, som arbejdsgiveren påtager sig.

Det kunne være det tilfælde, hvor medarbejderen behandler oplysninger til egne formål, der ligger klart udenfor arbejdsgivers aktiviteter. Det vil eksempelvis være tilfældet med offentliggørelse af forskellige persondata på sociale medier.

Der skelnes mellem skærpende og formildende omstædigheder

Datatilsynet oplister i vejledningen en skærpende henholdsvis formildende omstændigheder ved bødeudmålingen.

Som skærpende omstændighed nævnes blandt andet, om behandlingen (typisk offentliggørelse eller videregivelse) er egnet til at krænke den registrerede, ligesom det har betydning, hvor længe og med hvor mange visninger, en behandling er sket.

Modsat gælder med de formidlende omstændigheder – er der kun tale om en kortvarig visning på for eksempel Facebook, så er det mere undskyldeligt.

Standard-taksten for uberettiget behandling er i henhold til vejledningen 10.000 kr. stigende til 25.000 ved førstegangsovertrædelse for følsomme eller fortrolige oplysninger. Sidstnævnte kunne eksempelvis være offentliggørelse af strafbare forhold om andre på sociale medier.

Tilsvarende vejleding for firmaer blev udsendt i januar 2021

Der ligger en tilsvarende vejledning fra januar 2021 om udmåling af bøder til virksomheder, og her starter bødeniveauet ved 15.000 kr. for mikro-virksomheder, det vil sige virksomheder med en årlig omsætning mindre en 15. mio. kr.

Bødeniveauet er imidlertid delt op sådan, at et manglende samtykke – eller manglende udarbejdelse af for eksempel privatlivspolitik til opfyldelse af oplysningsforpligtelsen ved indsamling af persondata – starter ved mindst 60.000 kr. i førstegangstilfælde.

Det vil til syvende og sidst være op til domstolene at fastsætte de endelige bødestørrelser – men med vejledningerne har Datatilsynet sendt et tydeligt signal til domstolene, som disse næppe vil sidde overhørig.

Få hjælp af Dansk Bilbrancheråd til GDPR

Husk i øvrigt Dansk Bilbrancheråds compliance-tilbud, hvor du kan bestille en konsulent til at få udarbejdet en GDPR-mappe for kun 3.995,00 for ½ dag.

Ønsker du at gøre brug af dette tilbud, så ring eller skriv til Finn Larsen, telefon 51 30 93 69 eller e-mail fl@dbr.dk