Største bøde nogensinde givet for brud på persondatalovgivningen

21 marts 2017

En efterforskning af fem virksomheder resulterede i den største bøde nogensinde givet for brud på persondatalovgivningen i EU. Efterforskningen afslørede, at virksomhederne anvendte personlige oplysninger til at omgå italienske hvidvaskningsregler i forbindelse med pengeoverførsler til Kina.

Sagen kort

Den 2. februar 2017 pålagde det italienske datatilsyn (Garante) den største bøde, der nogensinde er pålagt af en tilsynsmyndighed i EU på 5.880.000 €. Bøden blev givet til en britisk virksomhed Sigue Global Service Limited (SGSL).

Garante pålagde SGSL bøden, da virksomheden overførte personers penge til Kina uden deres accept eller viden. Virksomheden havde ikke fået personernes samtykke til behandlingen af deres data.

Overførslerne skete ifølge de italienske myndigheder angiveligt som et forsøg på at omgå italienske hvidvaskningsregler og for at undgå, at navnene på de rigtige parter, hvis penge blev overført, blev offentliggjort. Virksomhederne delte de store pengeoverførsler op i mindre pengeoverførsler og tilskrev derefter overførslerne til uvidende personer med det formål, at overførslerne ikke ville blive opdaget.

Ud over SGSL fik fire andre virksomheder tildelt bøder på henholdsvis 1.590.000 €, 1.430.000 €, 1.260.000 € og 850.000 €. Det er sammenlagt mere end 11.000.000 €, hvilket giver den samlede største bøde nogensinde givet i EU for brud på persondatalovgivningen.

Bøden blev givet, da overførslerne var i strid med italiensk lovgivning, idet personoplysninger blev behandlet uden accept eller kendskab hertil fra de involverede personer (datasubjekter).

Bøden for at bryde italiensk persondatalovgivning er som mindstetakst 10.000 € per datasubjekt, hvis rettigheder bliver krænket, samt 50.000 €, hvis overtrædelsen er sket via en database af betydelig størrelse og betydning.

På baggrund af bødetaksterne endte SGSL's bøde på 5.880.000 €, da SGSL havde krænket 583 datasubjekters rettigheder. Garante vurderede, at SGSL separat havde krænket hvert data subjekts rettigheder. SGSL skulle på denne baggrund betale 10.000 € per krænkelse samt yderligere 50.000 €.

Bird & Birds kommentarer

Garante har tidligere uddelt store bøder for brud på persondatalovgivningen i Italien. Eksempelvis tilbage i 2013, hvor Google Street View blev pålagt den på dette tidspunkt højeste sanktion på 1.000.000 € for overtrædelse af persondatalovgivningen.

Selvom bøden i den aktuelle sag med SGSL utvivlsomt hænger sammen med virksomhedernes mål med at omgå Italiens hvidvaskningsregler, er beslutningen fra Garante om at tildele bøder i denne størrelsesorden fortsat interessant.

Bødens størrelse er i overensstemmelse med taksterne angivet i den nye Persondataforordning, som træder i kraft d. 25. maj 2018. I den nye persondataforordning kan virksomheder blive pålagt bøder på op til 20.000.000 € eller 4 % af deres årlige globale omsætning.