I dette nyhedsbrev beskrives seneste trends og udviklinger inden for det persondataretlige område i Danmark. Denne udgave fokuserer på:
- De nye fokusområder for håndhævelse i 2021
- De nye retningslinjer for bødeberegning fra Datatilsynet
- Den nye danske lov om whistleblowerordninger
1. Fokusområder for håndhævelse i 2021
I løbet af de senere år har det danske datatilsyn (“Datatilsynet”) offentliggjort fokusområderne for sine planlagte tilsyn i det kommende kalenderår. De offentlige myndigheder og private virksomheder som er genstand for tilsyn er udvalgt tilfældigt, men inden for sektorer som har særlig interesse for Datatilsynet. De planlagte tilsyn adskiller sig fra ad hoc tilsyn, der udføres af Datatilsynet på baggrund af f.eks. klager, anmeldte databrud eller information om overtrædelser i medierne.
I 2021 fokuserer Datatilsynet sine planlagte tilsyn af private virksomheder omkring kreditbureauer (særligt med fokus på tilladelser, sletning og gennemsigtighed), håndtering af anmodninger fra datasubjekter (særligt for banker), behandling af personoplysninger i forbindelse med videoovervågning, privat forskning, hjemmesider (cookies) og sikkerhed (adgangsstyring, IT udvikling og testning, ekstrahering af data, og anmeldelse af databrud).
Vi anbefaler, at man som virksomhed overvejer fokusområderne for håndhævelse – også med den nye bødeberegningsmodel i mente, jf. nedenfor – og om nødvendigt tager skridt til at forbedre sin indsats inden for kritiske områder.
2. Ny bødeberegningsmodel
I januar 2021 offentliggjorde Datatilsynet en vejledning om en ny model for beregning af bøder. Datatilsynet vil anvende modellen i sager om overtrædelse af GDPR. Modellen er baseret på det ansvarlige selskabs (koncern) omsætning og en ny kategorisering af de forskellige typer af overtrædelser af GDPR. Overtrædelserne er inddelt i seks grupper efter alvorligheden af overtrædelsen (f.eks. er udpegning af repræsentant, jf. artikel 27 i GDPR, i den mindst alvorlige kategori 1, mens behandling af følsomme personoplysninger er i den mest alvorlige kategori 6).
For at beregne bøden i henhold til den nye model beregnes først et grundbeløb baseret på typen af overtrædelse (kategorien) og omsætningen. For overtrædelser i kategori 1 og 4 er grundbeløbet 5 % af maksimumbøden, for kategori 2 og 5 er grundbeløbet 10 % af maksimum, og for kategori 3 og 6 er grundbeløbet 20 % af maksimum. Virksomheder der har en omsætning uden 500 mio. EUR er maksimum de statiske grænser på henholdsvis 10 mio. EUR og 20 mio. EUR. Maximum er højere for virksomheder med omsætning over 500 mio. EUR, hvor maksimum overstiger de statiske grænser ud fra grænserne med henholdsvis 2 % og 4 % af omsætningen.
Når grundbeløbet er beregnet, justeres dette i en række trin. Hvis den ansvarlige virksomhed er en mellem, lille eller mikro-virksomhed (baseret på nogle omsætningstærskler defineret af EU Kommissionen) kan grundbeløbet reduceres ned til henholdsvis 10 %, 2 % og 0,4 % af det oprindelige grundbeløb. Grundbeløbet reduceres ikke for større virksomheder. Efter justering af grundbeløbet beregnes bøden ved at forhøje eller reducere beløbet på baggrund af overtrædelsens karakter, alvor og varighed og i øvrigt andre skærpende eller formildende omstændigheder.
På nuværende tidspunkt er det svært at forudsige i hvilket omfang den nye model vil blive anvendt af domstolene, og ultimativt i hvilket omfang modellen vil blive håndhævet i den nuværende form. De høje niveauer af grundbeløbene sender dog – særligt for virksomheder med stor omsætning – et klart signal om, at den hidtidige tilgang med relativt lave bøder for overtrædelse af GDPR i Danmark potentielt er på vej ud.
Vi anbefaler, at man som virksomhed forholder sig til de grundbeløb man vil være underlagt efter den nye model, og at man tager en risiko-baseret tilgang i sit arbejde med indsatser til overholdelse af GDPR.
Vi har lavet en gratis online bødeberegner som kan bruges til let at lave beregninger af bøder efter den nye model. Beregneren findes på www.bødeberegner.dk på både dansk og engelsk (sprog kan vælges øverst til højre).
3. Ny dansk lov om whistleblowerordninger
Den 14. april 2021 blev et forslag til ny lov om beskyttelse af whistleblowere fremsat i Folketinget. Den nye lov er fremsat for at implementere direktiv (EU) 2019/1937 om beskyttelse af personer, som rapporterer overtrædelser af EU-lovgivning. Den nye lov er i øjeblikket i en høringsproces hvor lovteksten kan blive ændret før den endeligt vedtages. Loven forventes at træde i kraft den 17. december 2021.
I henhold til den nye lov skal virksomheder med 50 ansatte (eller derover) etablere en whistleblowerordning, som giver medarbejderne mulighed for at indrapportere overtrædelser af EU lovgivningen, der er nævnt i direktivet. Det gælder eksempelvis overtrædelser i forhold til produktsikkerhed, miljøregler og forbrugerbeskyttelse (se artikel 2 i direktivet for den fulde liste). Den nye lov muliggør også indrapportering om overtrædelser af andre (lokale) love og andre alvorlige forhold. Vi forventer at mange virksomheder vil anvende en pragmatisk tilgang og etablere ordninger med et bredt anvendelsesområde, som går ud over minimum (ligesom det ses i nuværende whistleblowerordninger).
Som konsekvens af den nye lov skal mange små og mellemstore danske virksomheder etablere whistleblowerordninger (før loven har whistleblowerordninger primært været etableret i store virksomheder og virksomheder i særlige sektorer, f.eks. den finansielle sektor).
En anden aktuel – meget debatteret – konsekvens af den nuværende ordlyd af den nye lov er, at store selskaber der har flere datterselskaber med mere end 250 medarbejdere, skal etablere separate rapporteringskanaler og procedurer for hvert datterselskab med 250 eller flere ansatte (i modsætning til muligheden for at benytte én central ordning på koncernniveau, som det typisk ses for store internationale selskaber i dag). På baggrund af høringssvar fra en lang række store danske virksomheder har Folketingets retsudvalg for nylig besluttet at udskyde den planlagte afstemning om loven før sommerferien, for at undersøge om det fortsat kan gøres muligt at have én fælles whistleblowerordning på koncernniveau.
Vi følger den nye lovs udvikling tæt og vil komme med en opdatering, når loven er vedtaget. Vi har mange års erfaring med etablering og drift af whistleblowerordninger for store danske selskaber. Kontakt os for at høre mere om den nye lov eller hvordan vi kan hjælpe med at etablere effektive og praktiske ordninger, der overholder kravene.
Hvis du overvejer en konkret IT-løsning til at understøtte din ordning, kan vi anbefale D4Whistler. Det er et whistleblowersystem, som smart og simpelt etablerer en sikker kanal til modtagelse og håndtering af sager.
For yderligere information og rådgivning kontrakt advokat Johan Leonhard / jls@nrlaw.dk.
