Når tilsynsmyndighederne indfører en sanktion skal den svare til overtrædelsens karakter, alvor og konsekvenser. Ifølge artikel 83(1) skal den korrigerende foranstaltning være effektiv, stå i rimeligt forhold til overtrædelsen og have en afskrækkende virkning under hensyntagen til det formål, tilsynsmyndigheden ønsker at forfølge.

Når tilsynsmyndighederne skal vurdere, om der skal pålægges en bøde, kan de finde kriterierne i artikel 83(2). Forordningen fastsætter desuden to kategorier af overtrædelser, der hver især udløser forskellige maksimumsbøder.

  • Hvis man bruger databehandleraftaler, der strider mod lovgivningen, eller ikke indberetter et datasikkerhedsbrud korrekt, kan man blive idømt en bøde på op til 10 mio. euro eller 2 % af ens globale årlige omsætning.
  • Hvis man på den anden side ikke overholder kravene om samtykke eller ikke understøtter internationale dataoverførsler med en passende overførselsmekanisme, kan man blive idømt en bøde på op til 20 mio. euro eller 4 % af ens globale årlige omsætning, såfremt dette beløb er højere.

Artikel 29-Gruppen fastslår udtrykkeligt, at en virksomhed skal forstås som en økonomisk enhed, der kan være oprettet af modervirksomheden og alle de involverede dattervirksomheder. Det betyder, at når en dattervirksomhed har brudt reglerne i GDPR, vil den samlede virksomheds årlige omsætning blive taget i betragtning ved beregning af bødens størrelse.

Ensartet beskyttelse
Et af hovedformålene med GDPR er at fremme et konsekvent, højt og ensartet beskyttelsesniveau i alle EU-lande. Selv om artikel 58 giver tilsynsmyndighederne en vis fleksibilitet til at afgøre, hvilken korrigerende foranstaltning, der skal træffes, eller hvilke bøder der skal udstedes, forventes det, at der anvendes samme tilgang i sager, der ligner hinanden. Artikel 29-Gruppen råder også tilsynsmyndighederne til proaktivt at udveksle oplysninger om den praktiske anvendelse af deres bødeudstedelsesbeføjelser for at opnå større ensartethed mellem de forskellige EU-lande.

Tilsynsmyndighederne skal også vurdere overtrædelsens karakter, alvor og varighed. Ved mindre overtrædelser kan en korrigerende foranstaltning bestå i en irettesættelse. En irettesættelse kan i øvrigt være mere passende, hvis en bøde ville udgøre en uforholdsmæssig stor byrde for en fysisk person. Når bødens størrelse fastsættes, skal tilsynsmyndighederne tage følgende faktorer i betragtning:

  • Antallet af de registrerede, der er involveret: Det er væsentligt for at vurdere, om bruddet er et isoleret tilfælde eller del af et mere systematisk brud.
  • Omfanget af og formålet med databehandlingen: Myndighederne skal undersøge, hvordan virksomheden har håndteret begrebet formålsbegrænsning, formålsspecificering og kompatibel brug.
  • Graden af skade, som de registrerede har lidt.
  • Overtrædelsens varighed: Overtrædelsens varighed kan afsløre, at der er tale om en bevidst handling, at der ikke er truffet passende forebyggende foranstaltninger, eller at det ikke har været muligt at træffe de fornødne tekniske og organisatoriske foranstaltninger.

Uagtsomt eller forsætligt?
Hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt spiller også en afgørende rolle. Forsætlige overtrædelser vil naturligvis blive opfattet som mere alvorlige end uforsætlige overtrædelser. Der er derfor større sandsynlighed for, at en forsætlig overtrædelse udløser en administrativ bøde. Af eksempler herpå kan nævnes ulovlig behandling, som den dataanvarliges ledelse udtrykkeligt har givet tilladelse til. Det er enhver virksomheds ansvar at indføre ordninger og politikker, der er tilstrækkelige til at undgå sådanne tilfælde. Når størrelsen på en bøde skal fastsættes, vil der derfor også blive set på, om virksomheden har gjort noget for at undgå sådanne overtrædelser.

Artikel 29-Gruppen kommer ikke med nogen udførlige beregninger af bødestørrelser. Det vil sandsynligvis først ske i forbindelse med fremtidig håndhævelse.