EU-Domstolen afsagde tirsdag en skelsættende dom på GDPR-området. Dommen vil gøre det lettere for EU-landenes databeskyttelsesmyndigheder at sanktionere overtrædelser af GDPR.
Dommen vil også sandsynligvis hæve det gennemsnitlige beløb for de bøder, der udstedes.
Afgørelsen kommer på baggrund af, at nationale domstole fra Tyskland og Litauen havde bedt om vejledning vedrørende muligheder for at straffe dataansvarlige.
Sagerne drejede sig om Deutsche Wohnen, et tysk ejendomsselskab, mod den tyske anklagemyndighed, hvor den tyske databeskyttelsesmyndighed havde pålagt en bøde på 14,5 millioner euro – svarende til 108 millioner kroner.
I Litauen var det landets sundhedsministerium, som havde modsat sig en bøde på 12.000 euro – svarende til omkring 90.000 kroner – efter fejlagtig datahåndtering med en Covid-19-app.
EU-dommen afgørelse præciserer, hvornår nationale databeskyttelsesmyndigheder kan give eller indstille til bøder ved overtrædelse af GDPR.
Nu kan myndighederne give bøder, når der er tale om uretmæssig adfærd.
”Pålæggelsen af en sådan bøde kræver, at der foreligger en uretmæssig adfærd,” skriver EU-Domstolen i afgørelse.
Det kan både være, hvis overtrædelsen er bevidst eller et uheld, så længe der er tale om et brud på reglerne i en skala, hvor dataansvarlig bør have vidst, at der er tale om brud uanset, om vedkommende faktisk vidste det eller ej.
”Med andre ord, at overtrædelsen er begået forsætligt eller uagtsomt,” lyder det i dommen, som fortsætter:
”Hvis den dataansvarlige er en juridisk person, er det ikke nødvendigt, at overtrædelsen er begået af dennes ledelse. Det er heller ikke nødvendigt, at denne instans har haft kendskab til denne overtrædelse.”
”Tværtimod er en juridisk person ansvarlig både for overtrædelser begået af dens repræsentanter, direktører eller ledere og for overtrædelser begået af enhver anden person, der handler i forbindelse med denne juridiske persons virksomhed og på dennes vegne.”
Desuden er den pålagte bøde ikke betinget af, at det tidligere er blevet konstateret overtrædelsen blev begået af en identificeret fysisk person.
Derudover kan en dataansvarlig også blive holdt til ansvar i form af bøder for behandling udført af en databehandler. Den dataansvarlige udvælger formål og grunde til, at data behandles, mens en databehandler, er personerne, som behandler data ud fra dataansvarliges instrukser.
Hvis den virksomhed, der pålægges bøden, er en del af en koncern, så skal bøde udregnes på baggrund af hele koncernens omsætning.
"Dagens ECJ skelsættende afgørelse om GDPR administrative bøder i sagen 'Deutsche Wohnen' styrker håndhævelsen af EU GDPR, da den sænker kravene til at pålægge bøder til juridiske enheder," sagde Jan Spittka, partner og GDPR-ekspert hos det globale advokatfirma Clyde & Co. Til mediet Euractiv.
I forhold til Danmark kan det danske Datatilsyn ikke i sig selv udstede bøde, i stedet kommer myndigheden med en politianmeldelse og en indstilling til en bøde, som så skal afgøres ved domstolene.