Der er forudsætninger, berørte, principper, og - ikke mindste - konsekvenser af forordningen! Nogle af konsekvenserne er endda nærmest skræmmende!

Erstatning

Har en dataansvarlig eller en databehandler forvoldt materiel eller immateriel skade er skadelidte berettiget til erstatning. Det kommer måske ikke som noget stort chok - det er trods alt et gennemgående tema i megen lovgivning!

Databehandlers ansvarspådragelse

Er du databehandler og har du behandlet data, der overtræder forordningen, hæfter du "kun for den skade, der er forvoldt af behandling" hvis du "ikke har opfyldt forpligtelser i denne forordning, der er rettet specifikt mod databehandlere" eller hvis du "har undladt at følge eller handlet i strid med den dataansvarliges lovlige instrukser."

Bevisbyrden for dataansvarlig eller databehandler

Er der konstateret en skade, men kan du bevise at du "ikke er skyld i den begivenhed, der medførte skaden" så er du fritaget for erstatningsansvar!

Solidarisk hæftelse ved en behandling

Artikel 82, stk 4 fastslår at hvis "mere end én dataansvarlig eller databehandler eller både en dataansvarlig og en databehandler er involveret i den samme behandling, ...hæfter de solidarisk for hele skaden for at sikre fuld erstatning til den registrerede" hvilket kan betyde at mange virksomheder vil sikre sig mindst mulig meddelagtighed i ansvarspådragende behandling af personoplysninger.

Som med meget af forordningens bogstav vil det kræve at teksten bliver prøvet i de nationale retsinstanser, for at omfanget af involvering i en behandling eksempelvis kan fastslås, men det er sikkert at intentionen i forordningen er at virksomheder ikke kan "skrive sig ud" af et ansvar!

Regres

Tilsvarende eksempelvis forsikringsret gælder også i forordningen at den dataansvarlige eller databehandler som - i lyset af stk 4 - er blevet tvunget til at betale fuld erstatning, kan gøre krav på den del af erstatningen, "der svarer til andres del af ansvaret for skaden".

Disse slagsmål er den registrerede (skadelidte) uvedkommende og vil givet også kræve en del prøvesager, for at få defineret omfanget af meddelagtighed, såvel som en (procentvis) fordeling af ansvar.

Bøder

Det er tilsynsmyndigheden (i hver nationalstat) der har opgaven med at uddele såkaldt administrative bøder og myndigheden skal sikre at pålæggelse af bøder

  • står i rimeligt forhold til overtrædelsen og
  • har afskrækkende virkning.

Endvidere kan myndigheden "afhængigt af omstændighederne i hver enkelt sag" uddele disse "_administrative bøder i tillæg til eller i stedet for foranstaltninger[1].

Hensyn ved udmåling af bødens størrelse

"Når der træffes afgørelse om... den administrative bødes størrelse i hver enkelt sag, tages der behørigt hensyn til følgende:"

  • overtrædelsens karakter, alvor og varighed under hensyntagen til pågældende behandlings karakter, omfang eller formål samt antal registrerede, der er berørt, og omfanget af den skade, som de har lidt
  • hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt
  • eventuelle foranstaltninger, der er truffet af den dataansvarlige eller databehandleren for at begrænse den skade, som den registrerede har lidt
  • den dataansvarliges eller databehandlerens grad af ansvar under hensyntagen til tekniske og organisatoriske foranstaltninger, som de har gennemført i henhold til artikel 25 og 32
  • den dataansvarliges eller databehandlerens eventuelle relevante tidligere overtrædelser
  • graden af samarbejde med tilsynsmyndigheden for at afhjælpe overtrædelsen og begrænse de negative konsekvenser, som overtrædelsen måtte have givet anledning til
  • de kategorier af personoplysninger, der er berørt af overtrædelsen
  • den måde, hvorpå tilsynsmyndigheden fik kendskab til overtrædelsen, navnlig om den dataansvarlige eller databehandleren har underrettet om overtrædelsen, og i givet fald i hvilket omfang
  • overholdelse af de foranstaltninger, der er omhandlet i artikel 58, stk. 2, hvis der tidligere over for den pågældende dataansvarlige eller databehandler er blevet truffet sådanne foranstaltninger med hensyn til samme genstand
  • overholdelse af godkendte adfærdskodekser i henhold til artikel 40 eller godkendte certificeringsmekanismer i henhold til artikel 42, og
  • om der er andre skærpende eller formildende faktorer ved sagens omstændigheder, såsom opnåede økonomiske fordele eller undgåede tab som direkte eller indirekte følge af overtrædelsen.

Medlidenhed med skadevolder

Når "en dataansvarlig eller en databehandler forsætligt eller uagtsomt...overtræder flere bestemmelser i denne forordning, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse" og det er da en lille trøst!

Størrelsen af bøder

Forordningen har specifikt peget på en række bestemmelser, hvor overtrædelse skal straffes med op til det højeste beløb af enten 10mio EUR eller 2 % af en virksomheds globale omsætning. Disse bestemmelser omfatter:

  1. den dataansvarliges og databehandlerens forpligtelser i henhold til artikel 8, 11, 25-39 og 42 og 43
  2. certificeringsorganets forpligtelser i henhold til artikel 42 og 43
  3. kontrolorganets forpligtelser i henhold til artikel 41, stk. 4.

En række andre "bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 20 000 000 EUR, eller hvis det drejer sig om en virksomhed, med op til 4 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:"

  1. de grundlæggende principper for behandling, herunder betingelserne for samtykke, i artikel 5, 6, 7 og 9
  2. de registreredes rettigheder i henhold til artikel 12-22
  3. overførsel af personoplysninger til en modtager i et tredjeland eller en international organisation i henhold til artikel 44-49
  4. eventuelle forpligtigelser i medfør af medlemsstaternes nationale ret vedtaget i henhold til kapitel IX
  5. manglende overholdelse af et påbud eller en midlertidig eller definitiv begrænsning af behandling eller tilsynsmyndighedens suspension af overførsel af oplysninger i henhold til artikel 58, stk. 2, eller manglende adgang i strid med artikel 58, stk. 1.
  6. Manglende overholdelse af et påbud fra tilsynsmyndigheden som omhandlet i artikel 58, stk. 2

Kattelem for offentlige myndigheder og organer

Forordningen nævner at der er muligt for hver medlemsstat at "fastsætte regler om, hvorvidt og i hvilket omfang administrative bøder må pålægges offentlige myndigheder og organer, der er etableret i den pågældende medlemsstat."

Nationalstater uden et retssystem med bøde muligheder

Uden at jeg har nogen idé om, hvilke nationalstater, der er tænkt på under formuleringen af stk 9 i Artikel 83, så er fakta, at der øjensynligt er nationalstater, hvor det ikke er muligt at hjemle bøder i retssystemet. Derfor giver dette stykke adgang til at tilsynsmyndigheden i det pågældende land tager skridt til pålæggelsen af bøder, men at det dernæst er domstolene i den konkrete nationalstat, der ved domsafsigelse reelt pålægger dommen.


  1. vi har ikke behandlet tilsynsmyndigheden endnu, men foranstaltningerne er advarsler, påbud, kritik, forbud, suspension samt denunciation (offentlig tilbagetrækning af certificeringer/udnævnelser/lign.) ↩︎