Nye retningslinjer fra Personvernrådet om utregning av overtredelsesgebyrer
Retningslinjene er vedtatt etter å ha ligget ute på offentlig høring. Innspill fra interessenter er tatt med i betraktningen.
Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer om utregning av overtredelsesgebyrer. Retningslinjene har som mål å harmonisere datatilsynsmyndighetenes metodikk for å regne ut størrelsen av overtredelsesgebyrer.
Det er tre viktige elementer som skal tas i betraktning: Kategorisering av overtredelsens natur, overtredelsens alvorlighetsgrad og virksomheters årlige omsetning.
Videre er metodikken for å gå frem lagt opp i fem steg:
- Bruk av personvernforordningens artikkel 83(3) og identifisere hvorvidt omstendighetene skal bli betraktet som en eller flere overtredelser
- Finne startbeløpet for utregning
- Vurdere skjerpende eller formildende faktorer
- Identifisere relevant juridisk maksimum beløp
- Vurdere om sluttbeløpet oppfyller kravene om å være virkningsfull, står i et rimelig forhold til overtredelsen og virker avskrekkende.
Personvernforordningens artikkel 83 om generelle vilkår for ilegging av overtredelsesgebyr
3. Dersom en behandlingsansvarlig eller databehandler i forbindelse med samme eller tilknyttede behandlingsaktiviteter forsettlig eller uaktsomt overtrer flere av bestemmelsene i denne forordning, skal overtredelsesgebyrets samlede beløp ikke være høyere enn beløpet angitt for den alvorligste overtredelsen.
Les retningslinjene på Personvernrådet sine nettsider (edpb.europa.eu).
Retningslinjene om utregning av overtredelsesgebyrer er et tillegg og bør leses i tråd med mer generelle retningslinjer om ileggelse av overtredelsesgebyr i henhold til i personvernforordningen, "Guidelines on the application and setting of administrative fines" (ec.europa.eu).