Gå til Hovedinnhold Gå til Navigasjon
hengelås
Foto: Christian Wiediger/Unsplash

Høye gebyrer for brudd på GDPR

De første månedene etter personvernforordningens (GDPR) ikrafttredelse har gebyrene vært moderate. Men nå tyder mye på at datatilsynene vil slå hardere ned på brudd.
Offentlig sektor Arbeidsrett/personvern IKT og immaterialrett

Noe av det Kluge har fått flest spørsmål om etter at GDPR er blitt norsk lov, er hva de nye overtredelsesgebyrene innebærer. Tidligere kunne virksomheter som bryter personopplysningsloven ilegges et gebyr på maksimalt 10 ganger folketrygdens grunnbeløp (like i underkant av en million kroner). Med GDPR kan virksomheter ilegges et overtredelsesgebyr på opptil 20 millioner euro, eller hvis det er et foretak, opp til 4 % av den samlede globale årsomsetningen i forutgående regnskapsår hvis denne er høyere.

Foreløpig har gebyrene vært relativt moderate. I Østerrike ble en virksomhet som hadde satt opp et overvåkningskamera for å monitorere lokaler ilagt et gebyr på 4 800 euro, siden kameraet også filmet opp en offentlig sidegate i tillegg til de private områdene. I Tyskland ble et sosialt medium ilagt gebyr på 20 000 euro for ikke å ha sikret sine brukeres personopplysninger godt nok mot hacking. Like før jul ila det nederlandske datatilsynet Uber gebyrer på 600 000 euro. Det franske datatilsynet har også utstedt et gebyr (på 400 000 euro) til Uber.

Her i Norge er Bergen kommune varslet om mulig ileggelse av gebyr pålydende 1,6 millioner kroner, etter at filer med brukernavn og passord til over 35 000 brukere i Bergen kommune har ligget åpent tilgjengelig for elever. Saken er prinsipielt interessant, og det er tenkelig at Bergen kommune kommer til å klage på gebyret dersom det ilegges.

21. januar ble det offentliggjort at det franske datatilsynet, CNIL, ilegger Google et gebyr på 50 millioner euro. Gebyret er begrunnet i manglende transparens og informasjon, samt manglende gyldige samtykker til behandling av personopplysninger. Dette er noe flere bør merke seg og være obs på fremover. CNIL har selv laget en engelsk oppsummering.

For aktører som risikerer eller har fått gebyrer er det en rekke muligheter for å bestride gebyret og klage, eventuelt trekke avgjørelsen inn for domstolene. Både spørsmålet om å utstede gebyr og utmålingen av det, reiser en del interessante problemstillinger. Det er et handlingsrom for å argumentere for at andre sanksjoner heller kan benyttes, og også størrelsen på gebyret er mulig å problematisere. Ettersom gebyret er ansett som straff i henhold til Den europeiske menneskerettighetskonvensjon, kan man videre stille en rekke krav til prosess og tilstrekkelig grunnlag for å ilegge gebyrer.

Kluges advokater kjenner godt til de nye reglene for gebyrer etter GDPR, og kan bistå både med forebygging av brudd som kan medføre sanksjoner og hjelp til prosesser der virksomheter ilegges eller står i fare for å bli ilagt gebyrer.

Ta kontakt med advokat Ove A. Vanebo dersom du har spørsmål om overtredelsesgebyrer.