Det Europæiske Databeskyttelsesråd vedtager retningslinjer for beregning af bøder og for brug af ansigtsgenkendelsesteknologi inden for retshåndhævelse

16 May 2022

Bruxelles, den 16. maj — Databeskyttelsesrådet har vedtaget nye retningslinjer for beregning af bøder, der harmoniserer den metode, som de enkelte databeskyttelsesmyndigheder skal anvende. Retningslinjerne indeholder også harmoniserede basisbeløb for beregningen af bøder. Der tages dermed hensyn til tre elementer, nemlig overtrædelsens art, overtrædelsens alvor og virksomhedens omsætning.

Formanden for Databeskyttelsesrådet, Andrea Jelinek, udtaler: "Fra nu af vil databeskyttelsesmyndigheder i hele EØS følge den samme metode til beregning af bøder. Det vil fremme yderligere harmonisering og gennemsigtighed af databeskyttelsesmyndighedernes bødepraksis. De individuelle omstændigheder i en sag skal altid være afgørende, og databeskyttelsesmyndighederne spiller en vigtig rolle med hensyn til at sikre, at hver eneste bøde er effektiv, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning."

Retningslinjerne fastsætter en beregningsmetode, der følger fem trin. Først skal databeskyttelsesmyndigheden fastslå, om den pågældende sag vedrører et eller flere tilfælde af strafbar adfærd og om disse har ført til en eller flere overtrædelser. Formålet er at afklare, om alle eller kun nogle af overtrædelserne kan pålægges en bøde.

I det andet trin tager databeskyttelsesmyndigheden udgangspunkt i et basisbeløb til beregning af bøden. Databeskyttelsesrådet har fastsat en harmoniseret metode herfor.

I det tredje trin overvejer databeskyttelsesmyndigheden skærpende eller formildende omstændigheder, der kan øge eller nedsætte bødens størrelse. Databeskyttelsesrådet foreskriver en konsekvent fortolkning heraf.

Det fjerde trin er at fastsætte det retlige maksimumsbeløb for bøder som fastsat i artikel 83, stk. 4-6 i GDPR og sikre, at disse beløb ikke overskrides.

I femte og sidste trin skal databeskyttelsesmyndigheden analysere, om det beregnede endelige beløb opfylder kravene om, at bøden skal være effektiv, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning, eller om der er behov for yderligere justeringer af beløbet.

Retningslinjerne er en vigtig tilføjelse til den ramme, som Databeskyttelsesrådet er ved at opbygge med henblik på et mere effektivt samarbejde mellem databeskyttelsesmyndighederne om grænseoverskridende sager, hvilket er en strategisk prioritet for Databeskyttelsesrådet.

Retningslinjerne vil blive sendt til offentlig høring i en periode på seks uger. Efter den offentlige høring vil en endelig udgave af retningslinjerne blive vedtaget under hensyntagen til interessenternes feedback, og den vil indeholde en referencetabel med en række udgangspunkter for beregningen af en bødes størrelse, der sammenholder overtrædelsens alvor med en virksomheds omsætning.

Det Europæiske Databeskyttelsesråd har også vedtaget retningslinjer for brug af ansigtsgenkendelsesteknologi inden for retshåndhævelse. Retningslinjerne giver vejledning til EU-lovgiverne, de nationale lovgivere og de retshåndhævende myndigheder om indførelse og anvendelse af ansigtsgenkendelsesteknologi.

Formanden for Databeskyttelsesrådet, Andrea Jelinek, udtaler: "Selv om den moderne teknologi giver de retshåndhævende myndigheder fordele, f.eks. hurtig identifikation af personer, der er mistænkt for alvorlige forbrydelser, skal den opfylde kravene om nødvendighed og proportionalitet. Ansigtsgenkendelsesteknologi er tæt forbundet med behandling af personoplysninger, herunder biometriske data, og udgør dermed en alvorlig risiko for individuelle rettigheder og frihedsrettigheder."

Databeskyttelsesrådet understreger, at ansigtsgenkendelsesteknologi kun bør anvendes i nøje overensstemmelse med retshåndhævelsesdirektivet. Desuden bør sådanne teknologiske værktøjer kun anvendes, hvis det er nødvendigt og forholdsmæssigt, som fastsat i chartret om grundlæggende rettigheder.

I retningslinjerne gentager Databeskyttelsesrådet sin opfordring til et forbud mod anvendelse af ansigtsgenkendelsesteknologi i visse tilfælde. Denne opfordring blev først fremsat i den fælles udtalelse fra Databeskyttelsesrådet og Den Europæiske Tilsynsførende for Databeskyttelse om forslaget til forordningen om kunstig intelligens. Mere specifikt mener Databeskyttelsesrådet, at der bør være forbud mod:

  • biometrisk fjernidentifikation af enkeltpersoner på offentligt tilgængelige steder
  • ansigtsgenkendelsessystemer, der på grundlag af biometriske data kategoriserer enkeltpersoner efter etnicitet, køn, politisk eller seksuel orientering eller andre kategorier, der ligger til grund for diskrimination
  • ansigtsgenkendelse eller lignende teknologier, der har til formål at aflæse en fysisk persons følelser
  • behandling af personoplysninger i en retshåndhævelsessammenhæng, hvor behandlingen baseres på en database, der er opbygget ved indsamling af personoplysninger i stor skala og på en vilkårlig måde, f.eks. ved at "skrabe" fotografier og billeder, der er tilgængelige online.

Retningslinjerne sendes til offentlig høring i en periode på seks uger.

EDPB_Pressemeddelelse_2022_07

 

The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.