Skip to main content

Hvad sker der, hvis man bryder GDPR?

Overtrædelse af GDPR-lovgivningen kan føre til alvorlige konsekvenser for en virksomhed. Dette inkluderer administrative bøder, afhængigt af jeres virksomhed og graden af overtrædelse. Udover økonomiske sanktioner kan en virksomhed også lide skade på sit omdømme og tillid blandt kunder og partnere. Bliver man fundet i at handle i strid med GDPR, er der dog nogle ting, man kan gøre for at reducere konsekvensen.

Denne blog handler om hvad der sker, hvis man bryder GDPR efter et databrud, hvordan bøder fastsættes, og hvad kan man gøre for at mindske éns ansvar som virksomhed.

Økonomisk straf for brud på GDPR

Inden for GDPR er visse overtrædelser naturligvis mere alvorlige end andre. Der straffes inden for dette spænd:

  • Mindre brud straffes med bøder på op til €10 millioner, eller 2% af jeres virksomheds verdensomspændende årlige omsætning fra det sidste regnskabsår, alt efter hvad der er højest.
  • Seriøse brud straffes med bøder på op til €20 millioner eller 4% af jeres virksomheds verdensomspændende årlige omsætning fra det foregående regnskabsår, alt efter hvad der er højest.

Lad os se, hvilke typer overtrædelser der passer ind i hver af disse kategorier. Der vil være henvisninger til relevante GDPR-artikler.

Dette har betydning for GDPR-bøden

I henhold til artikel 83 kan potentielle bøder stige eller falde baseret på følgende faktorer:

GDPR-bøden kan stige baseret på:

  • Overtrædelsens art, alvor og varighed
  • Overtrædelsens forsætlige eller uagtsomme karakter
  • Tidligere overtrædelser
  • De kategorier af personoplysninger, der er berørt af krænkelsen
  • Enhver anden skærpende faktor

Bøden kan falde baseret på:

  • Enhver handling, I foretager jer for at afbøde skader påført af registrerede
  • Eventuelle forebyggende tekniske og organisatoriske foranstaltninger, I opsætter
  • Om I har underrettet tilsynsmyndigheden om overtrædelsen rettidigt
  • Om I fulgte adfærdskodekser anført i artikel 40
  • Enhver anden formildende faktor

Modtag vores nyhedsbrev!

I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.

Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.

Mindre GDPR-overtrædelser

Mindre lovovertrædelser omfatter typisk:

  • Overtrædelse af reglerne om databeskyttelse, lovligt grundlag for behandling osv. for dataansvarlige (det er jeres virksomhed!) og databehandlere. Så overvåg jeres  processer og kontroller eventuelle tredjepartstjenester. Se artikel 8, 11, 25-39, 42, og 43.
  • Overtrædelser af reglerne for certificering af organisationer til at udføre deres evalueringer og vurderinger med gennemsigtighed og uden partiskhed. (Artikel 42 og 43)
  • Overtrædelser af reglerne for, at overvågningsorganer behandler klager eller anmeldte overtrædelser på en upartisk og gennemsigtig måde. (Artikel 41)

Disse forseelser straffes typisk med op til €10 millioner eller 2% af jeres virksomheds årlige globale omsætning fra det sidste regnskabsår – afhængigt af hvad der er højest.

Seriøse GDPR-overtrædelser

Disse højere bøder gælder for:

  • Overtrædelser af de grundlæggende principper for databehandling. For eksempel kan indsamling eller opbevaring af data til andre formål end du har angivet, lagring af unøjagtige eller forældede oplysninger om nogen, opbevaring af data for længe eller behandling af følsomme data i det hele taget (undtagen under særlige omstændigheder) medføre store bøder. (Artikel 5, 6 og 9)
  • Overtrædelser af reglerne for samtykke. Sørg for, at jeres samtykker er klare, eksplicitte og frit givet, og log dem derefter for at bevise det! Artikel 7
  • Krænkelser af registreredes rettigheder. Dette omfatter manglende besvarelse af datasubjekts adgangsanmodninger (DSAR’er) til tiden. Artikel 12-22
  • Overførsel af data uden for EØS uden først at få Europa-Kommissionens godkendelse, eller uden ordentlig beskyttelse under transit. Articles 44-49

Disse forseelser straffes typisk med op til €20 millioner eller 4% af jeres virksomheds årlige globale omsætning fra det sidste regnskabsår – afhængigt af hvad der er højest.

Individuelle EU-medlemslande har ret til at vedtage yderligere databeskyttelseslove, hvis de er i overensstemmelse med GDPR-principperne – Kapitel IX. Lokale tilsynsmyndigheder kan også give ordrer til en specifik virksomhed. At overtræde en af disse lokale love eller direkte ordrer fra tilsynsmyndigheder er en alvorlig forbrydelse med en stor bøde.

Ud over administrative bøder kan enkeltpersoner sagsøge for yderligere skader, hvis GDPR-overtrædelsen påførte dem materiel eller ikke-materiel skade. Artikel 82

Start GDPR-oprydningen hvor det trænger mest

Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.

Mistillid efter GDPR-brud

Når en virksomhed bryder GDPR-reglerne, kan det resultere i en betydelig skade på dens omdømme og tillid blandt både kunder og samarbejdspartnere. Kunder forventer, at deres personlige data bliver behandlet på en sikker og ansvarlig måde, og ethvert brud på denne tillid kan føre til tab af kundeforhold og negativ omtale på sociale medier og andre platforme. Desuden kan partnere og leverandører være tilbageholdende med at samarbejde med en virksomhed, der viser manglende respekt for databeskyttelse, hvilket kan begrænse virksomhedens muligheder for vækst og samarbejde på lang sigt. I virkeligheden kan mistilliden som følge af et GDPR-brud have større konsekvenser for en virksomhed end en økonomisk bøde.

Sådan kan I undgå GDPR-bøder og mistillid

At gøre brug af organisatoriske og tekniske foranstaltninger reducerer jeres ansvar, selvom I bliver fundet i strid med GDPR.

Vores software er designet til at hjælpe små og mellemstore virksomheder med at:

  • Dele personlige data sikkert via e-mail, og få automatisk samtykke, når I anmoder om det; med sikre mapper til at gemme dataene, tilpasselige dataopbevaringsgrænser og logfiler for at demonstrere overholdelse. Læs mere om ShareSimple
  • Svare på DSAR’er med en anmodningsportal, der bekræfter hver enkelt anmoders identitet, før anmodningen leveres til dit dashboard, meddelelser for at minde jer om at svare til tiden, nemme dataindsamlingsmuligheder, sikker dataoverførsel, samtykker og logfiler for at demonstrere overholdelse. Læs mere om RequestManager
  • Opdage personlige og følsomme data, jeres virksomhed gemmer. Find ud af hvor jeres virksomhed gemmer personlige data, hvem i virksomheden der har adgang til dem, hvor gammel de er, deres risikoniveau og kategori. Evaluer jeres databehandling og jeres politikker, og sørg for, at de er i overensstemmelse med GDPR. Minimer (slet!) gamle data, eller data, I ikke længere har brug for, sørg for, at højrisikodata, I har brug for, opbevares sikkert og meget mere. Læs mere om DataMapper

Det er umuligt 100% at eliminere risikoen for databrud og bøder, men der er meget I kan gøre nu for at mindske risikoen, beskytte folks privatliv, udvise god tro og demonstrere compliant privatlivspraksis.

Sebastian Allerelli
Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR

Følg mig på LinkedIn for at få små tips til GDPR her →

GUIDE

Håndtering af følsomme persondata

GUIDE

Sådan findes persondata med Datamapping

GUIDE

Forberedelse til et datatilsyn