Brud på GDPR-reglerne kan munde ud i store bøder til virksomhederne. Men gentagne gange er Datatilsynets bødeanbefalinger blevet takseret markant lavere hos domstolene. Det vækker bekymring hos Dansk Erhverv.
Reglerne omkring GDPR er indviklede at hitte ud af for mange virksomheder, og det har gennem årene ført til en række sager med bødeforlæg, når Datatilsynet opdager at noget ikke er, som loven foreskriver.
Så langt, så godt.
Men når disse sager om brug på reglerne kommer for domstolene, viser Datatilsynets anbefalinger til bødens størrelse sig ofte at være skudt langt over, hvad domstolene takserer den til. Eksempelvis fik indstillede Datatilsynet virksomheden Taxa4x35 til en bøde på hele 1,2 millioner kroner i 2019. Ved domsafsigelsen blev de dog idømt en bøde på bare 100.000 kroner.
I en oversigt fra mediet ComplianceTech, kan man læse, at domstolene i fire ud af seks tilfælde gav virksomheder langt lavere bøder, end Datatilsynet havde anbefalet, og én sag førte sågar til frifindelse.
”GDPR er uhyre kompliceret, og derfor vil mange nok frygte, at hvis Datatilsynets eksperter vurderer, at man har overtrådt reglerne og skal betale en millionbøde, så har de ret. Det kan være noget af et chok at få, og mange vil nok frygte, at det kan resultere i en konkurs,” siger Carsten Rose Lundberg, fagchef for Digital Handel i Dansk Erhverv.
Han finder det samtidig stærkt bekymrende, at Datatilsynets bødeanbefalinger ligger så langt over, hvad domstolene ender med at give i bøde.
”Derfor synes jeg, at det er vigtigt at informere virksomhederne om, at det langt fra er altid, at Datatilsynet har ret. Absolut ikke for at opfodre virksomhederne til at bryde reglerne, men for at sætte tingene i perspektiv for dem, der skulle blive mødt af en bøde fra Datatilsynet,” siger han.