Ny EU persondataforordning – Sanktioner for manglende overholdelse

Ny EU persondataforordning – Sanktioner for manglende overholdelse
Juni måneds Update handler om forordningens regler om de mulige konsekvenser og sanktioner for manglende overholdelse af Persondataforordningen, herunder:

  • Administrative bøder
  • Særregler for Danmark
  • Den registreredes ret til at indgive klage og adgang til effektive retsmidler
  • Erstatningsansvar
  • Forberedelse af virksomheden på forordningens ikrafttræden
Administrative bøder
Et af de mest omdiskuterede emner i forbindelse med forordningens ikrafttræden er de meget betydelige administrative bøder, som en tilsynsmyndighed kan pålægge i tilfælde af manglende overholdelse af forordningen.
Afhængig af hvilken af forordningens regler der er blevet overtrådt, kan de administrative bøder være på op til 20.000.000 EUR, eller 4 % af virksomhedens samlede globale årlige omsætning, såfremt dette beløb er højere. Bøderne kan pålægges både den dataansvarlige og databehandleren.
En overtrædelse af bestemmelserne vedrørende dataansvarliges og databehandleres pligter som f.eks. pligten til at gennemføre databeskyttelse gennem design og databeskyttelse gennem standardindstillinger kan straffes med en bøde på op til 10.000.000 EUR eller 2 % af den samlede globale årlige omsætning.

Overtrædelse af de grundlæggende principper for databehandling som f.eks. betingelserne for at indhente gyldigt samtykke, overtrædelse af de registreredes rettigheder samt manglende overholdelse af et påbud fra en tilsynsmyndighed, kan resultere i den højeste bøde på 20.000.000 EUR eller 4 % af den samlede globale årlige omsætning. Det er dog ikke alle overtrædelser af forordningen, som vil føre til så store bøder. Udover beføjelsen til at pålægge administrative bøder har tilsynsmyndigheden også korrigerende beføjelser til blandt andet at udstede advarsler, udtale kritik samt give påbud. I tillæg til eller i stedet for tilsynsmyndighedens korrigerende beføjelser er tilsynsmyndigheden ved pålæggelse af en administrativ bøde forpligtet til at tage hensyn til forholdene i den konkrete sag. Den konkret pålagte bøde afhænger derfor af overtrædelsens karakter, alvor og varighed, samt hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt. Kort sagt skal tilsynsmyndigheden sikre, at pålæggelse af administrative bøder i hvert enkelt tilfælde er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning. Tilsynsmyndigheden har ret til at beslutte sine egne regler for håndhævelse inden for forordningens grænser. Ovenstående illustrerer vigtigheden af at overholde forordningen med henblik på at undgå, at din virksomhed bliver pålagt sanktioner.

Særregler for Danmark
Det er et grundlæggende princip i dansk retspleje, at bøder, der har karakter af en strafferetlig sanktion, kun kan pålægges ved domstole og efter retsplejelovens regler. Da det danske retssystem således ikke giver mulighed for, at Datatilsynet kan fastsætte administrative bøder som fastsat i forordningen, er der i artikel 83, stk. 9, indsat en undtagelse til den generelle regel om administrative bøder.
Det følger således af undtagelsen, at hvis en medlemsstats retssystem ikke giver mulighed for at pålægge administrative bøder, skal bøder i stedet pålægges af de kompetente nationale domstole.
Med henblik på at opfylde forordningens bestemmelser skal Danmark derfor indføre et system, hvorefter den kompetente tilsynsmyndighed (p.t. Datatilsynet) tager skridt til bøderne, som så pålægges af de nationale domstole. Det skal samtidig sikres, at de tilstrækkelige kompetencer og tilstrækkelige ressourcer er til stede hos den myndighed, der får til opgave at udstede bødeforlæg og i øvrigt føre straffesagerne. Det skal ved udformningen af den danske ordning endvidere sikres, at niveauet for bøderne svarer til de andre EU-landes.
Den registreredes ret til at indgive klage og adgang til effektive retsmidler
Forordningen giver den registrerede en udtrykkelig ret til at indgive en klage til en tilsynsmyndighed, hvis den registrerede mener, at behandlingen af den pågældendes personlige oplysninger er i strid med kravene i forordningen. Dataansvarlige skal udtrykkeligt underrette den registrerede om dennes rettigheder.
I forlængelse af en klage kan tilsynsmyndigheden vælge at undersøge virksomhedens behandlingsaktiviteter (rækkevidden af en sådan undersøgelse kan være større end den indgivne klage). Hvis tilsynsmyndigheden ikke underretter den registrerede om forløbet eller resultatet af en indgivet klage inden for tre måneder, har den registrerede adgang til effektive retsmidler.
I denne forbindelse har den registrerede adgang til effektive retsmidler over for en dataansvarlig eller databehandler, hvis han/hun mener, at vedkommendes rettigheder i henhold til forordningen er blevet krænket.
Man skal endvidere være opmærksom på, at hvis en domstol i en medlemsstat modtager en henvendelse fra den registrerede vedrørende manglende overholdelse af behandling foretaget af en dataansvarlig eller databehandler, og denne domstol har oplysninger om, at der verserer en sag vedrørende samme forhold ved en domstol i en anden medlemsstat, skal den domstol, hvortil henvendelse skete sidst, udsætte sagen. Denne domstol kan i så tilfælde også efter anmodning fra en af parterne (f.eks. den dataansvarlige) erklære sig inkompetent, men kun hvis den domstol, ved hvilken sagen først er anlagt, har kompetence til at behandle de pågældende sager, og sammenlægning heraf er tilladt i henhold til dens lovgivning.
Erstatningsansvar
Forordningen giver også den registrerede ret til erstatning for materielle og/eller immaterielle skader som følge af en overtrædelse af forordningen.
Både dataansvarlige og databehandlere hæfter for skader som følge af en overtrædelse af forordningen. En databehandler hæfter dog kun for skader som følge af databehandlerens handlinger, hvis sådanne handlinger var i strid med den dataansvarliges lovlige instruktioner, eller hvis databehandleren ikke har opfyldt forordningens forpligtelser, som er rettet specifikt mod databehandlere, som f.eks. datasikkerhedsforpligtelserne. En dataansvarlig eller databehandler er fritaget for erstatningsansvar, hvis det kan bevises, at den pågældende ikke er skyld i den begivenhed, der medførte skaden.
Forordningen giver den registrerede ret til at give et organ, en organisation eller en sammenslutning bemyndigelse til på vedkommendes vegne at indgive en klage eller kræve erstatning. Dette åbner døren for “massekrav” i tilfælde af overtrædelser i stort omfang.
Forberedelse af virksomheden på forordningens ikrafttræden

De mulige retsmidler, ansvar og sanktioner, der kan opstå som følge af manglende overholdelse af forordningen, understreger vigtigheden af at forberede din virksomhed på forordningens ikrafttræden. Har du brug for praktiske retningslinjer for, hvordan du bliver compliant, så læs vore tidligere nyhedsbreve vedrørende forordningen.

Kontakt
Advokat Karin Absalonsen
Karin Absalonsen
Advokat (L), Partner
Direkte: (+45) 33 38 70 14 – Mobil: (+45) 21 67 80 77
E-mail: kab@nrlaw.dk
Hos Nyborg & Rørdam har vi arbejdet med privacy og persondata i flere år. Vi rådgiver vores klienter om de juridiske aspekter omkring databeskyttelse navnlig med det formål at omsætte den komplekse regulering på databeskyttelsesområdet til konkret forståelig operationel rådgivning.

 

Dette nyhedsbrev kan ikke erstatte juridisk rådgivning. Nyborg & Rørdam Advokatfirma påtager sig intet ansvar for skader eller tab, der direkte eller indirekte kan henføres til brugen af nyhedsbrevet. Dette gælder, uanset om skaden eller tabet er forårsaget af fejlagtig information i nyhedsbrevet eller af øvrige forhold, der relaterer sig til nyhedsbrevet