Skip to main content

GDPR-bøder

Konsekvenser for at bryde GDPR

Det kan være en dyr fejl, hvis man undlader at følge GDPR-reglerne. GDPR-bøder kan have fatale konsekvenser, uanset om din virksomhed er en enkeltmandsvirksomhed eller en global virksomhed. Virksomheder er underlagt GDPR-bøder, hvis man markedsfører til eller handler med EU-borgere/indbyggere, uanset virksomhedsstørrelsen eller hvor virksomheden er placeret fysisk i verden.

Derudover har mange andre lande og regioner lavet deres egne databeskyttelsesforordninger, hvilket udvider omfanget af privatlivsbeskyttelse yderligere, hvilket gør de fleste af verdens virksomheder underlagt dataforordninger og potentielle bøder.

Men bøder skaleres efter størrelsen af virksomheden, og der er et par ting, man kan gøre nu for at mindske jeres ansvar, hvis I bliver fundet i at handle i strid med GDPR. Men hvor meget vil en GDPR-overtrædelse koste jer? Lad os se på, hvordan bøder vurderes, og hvad der vil øge eller mindske jeres ansvar.

Dette har betydning for GDPR-bøden

I henhold til artikel 83 kan potentielle bøder stige eller falde baseret på følgende faktorer:

GDPR-bøden kan stige baseret på:

  • Overtrædelsens art, alvor og varighed
  • Overtrædelsens forsætlige eller uagtsomme karakter
  • Tidligere overtrædelser
  • De kategorier af personoplysninger, der er berørt af krænkelsen
  • Enhver anden skærpende faktor

Bøden kan falde baseret på:

  • Enhver handling, I foretager jer for at afbøde skader påført af registrerede
  • Eventuelle forebyggende tekniske og organisatoriske foranstaltninger, I opsætter
  • Om I har underrettet tilsynsmyndigheden om overtrædelsen rettidigt
  • Om I fulgte adfærdskodekser anført i artikel 40
  • Enhver anden formildende faktor

Straf for brud af persondataloven

Inden for GDPR er visse overtrædelser naturligvis mere alvorlige end andre. Der straffes inden for dette spænd:

  • Bøder på op til €10 millioner, eller 2 % af din virksomheds verdensomspændende årlige omsætning fra det sidste regnskabsår, alt efter hvad der er højest.
  • Bøder på op til €20 millioner eller 4 % af din virksomheds verdensomspændende årlige omsætning fra det foregående regnskabsår, alt efter hvad der er højest.

Lad os se, hvilke typer overtrædelser der passer ind i hver af disse kategorier. Der vil være henvisninger til relevante GDPR-artikler.

Vil du have den seneste viden om at håndtere persondata?

Skriv dig op til vores nyhedsbrev her

    Mindre GDPR-overtrædelser

    Bøder på op til €10 millioner, eller 2 % af jeres virksomheds årlige globale omsætning fra det sidste regnskabsår, alt efter hvad der er højest.

    Mindre lovovertrædelser omfatter typisk:

    • Overtrædelse af reglerne om databeskyttelse, lovligt grundlag for behandling osv. for dataansvarlige (det er jeres virksomhed!) og databehandlere. Så overvåg jeres  processer og kontroller eventuelle tredjepartstjenester. Se artikel 8, 11, 25-39, 42, og 43.
    • Overtrædelser af reglerne for certificering af organisationer til at udføre deres evalueringer og vurderinger med gennemsigtighed og uden partiskhed. (Artikel 42 og 43)
    • Overtrædelser af reglerne for, at overvågningsorganer behandler klager eller anmeldte overtrædelser på en upartisk og gennemsigtig måde. (Artikel 41)

    Seriøse GDPR-overtrædelser

    Bøder på op til €20 millioner eller 4 % af jeres virksomheds årlige globale omsætning fra det foregående regnskabsår, alt efter hvad der er højest.

    Disse højere bøder gælder for:

    • Overtrædelser af de grundlæggende principper for databehandling. For eksempel kan indsamling eller opbevaring af data til andre formål end du har angivet, lagring af unøjagtige eller forældede oplysninger om nogen, opbevaring af data for længe eller behandling af følsomme data i det hele taget (undtagen under særlige omstændigheder) medføre store bøder. (Artikel 5, 6 og 9)
    • Overtrædelser af reglerne for samtykke. Sørg for, at dine samtykker er klare, eksplicitte og frit givet, og log dem derefter for at bevise det! Artikel 7
    • Krænkelser af registreredes rettigheder. Dette omfatter manglende besvarelse af datasubjekts adgangsanmodninger (DSAR’er) til tiden. Artikel 12-22
    • Overførsel af data uden for EØS uden først at få Europa-Kommissionens godkendelse, eller uden ordentlig beskyttelse under transit. Articles 44-49

    Individuelle EU-medlemslande har ret til at vedtage yderligere databeskyttelseslove, hvis de er i overensstemmelse med GDPR-principperne – Kapitel IX. Lokale tilsynsmyndigheder kan også give ordrer til en specifik virksomhed. At overtræde en af disse lokale love eller direkte ordrer fra tilsynsmyndigheder er en alvorlig forbrydelse med en stor bøde.

    Ud over administrative bøder kan enkeltpersoner sagsøge for yderligere skader, hvis GDPR-overtrædelsen påførte dem materiel eller ikke-materiel skade. Artikel 82

    Eksempler på GDPR-bøder

    Lad os se på to eksempler på GDPR-bøder, og hvordan I kan undgå lignende bøder.

    Eksempler:

    Capio St. Görans Hospital €2,9 mio

    En svensk sundhedsudbyder modtog en GDPR-bøde på 2,9 millioner euro efter en revision af et af dets hospitaler af den svenske databeskyttelsesmyndighed. Virksomheden havde forsømt at udføre passende risikovurderinger og implementere effektive adgangskontroller, hvilket førte til, at for mange medarbejdere havde adgang til følsomme personoplysninger.

    Sådan undgår I GDPR-bøder som denne:

    • Udfør en databeskyttelseskonsekvensvurdering (DPIA), hvis du begynder nye og risikable dataindsamlings-/behandlingsaktiviteter.
    • Sørg for at vide, hvilke af dine medarbejdere/afdelinger der har adgang til følsomme data. DataMapper kan hjælpe.
    • Begræns adgangen til kun de medarbejdere/afdelinger, der virkelig har brug for det.

    BBVA (Banco Bilbao Vizcaya Argentaria, S.A.) €5 mio

    En spansk finansiel virksomhed blev idømt en bøde på 5 millioner euro. 3 millioner euro for at sende sms-beskeder uden at indhente forbrugernes samtykke og 2 millioner euro for manglende gennemsigtighed i deres privatlivspolitik, som ikke korrekt forklarede, at de indsamler og bruger kunders personlige data.

    Sådan undgår I GDPR-bøder som denne:

    • Sørg for, at du får klart, eksplicit og frit givet samtykke (log det så!), før I bruger kundedata til markedsføringsaktiviteter eller andet.
    • Brug ShareSimple til at få samtykke automatisk, når I anmoder om personlige data via e-mail.
    • Link jeres privatlivspolitik til jeres samtykke-pop-ups eller enhver anden gang, folk giver jer deres e-mailadresse eller andre personlige data på jeres websted.
    • Gennemgå jeres privatlivspolitik og sørg for, at den indeholder alle de detaljer, der kræves af GDPR artikel 13 og 14. Brug vores gratis skabelon til privatlivspolitik til at hjælpe jer i gang.
    GDPR fines

    Reducer GDPR-bøder

    At gøre brug af organisatoriske og tekniske foranstaltninger reducerer jeres ansvar, selvom I bliver fundet i strid med GDPR.

    Vores software er designet til at hjælpe SMB’er til at:

    • Dele personlige data sikkert via e-mail, og få automatisk samtykke, når I anmoder om det; med sikre mapper til at gemme dataene, tilpasselige dataopbevaringsgrænser og logfiler for at demonstrere overholdelse. Prøv ShareSimple →
    • Svare på DSAR’er med en anmodningsportal, der bekræfter hver enkelt anmoders identitet, før anmodningen leveres til dit dashboard, meddelelser for at minde jer om at svare til tiden, nemme dataindsamlingsmuligheder, sikker dataoverførsel, samtykker og logfiler for at demonstrere overholdelse. Prøv RequestManager →
    • Opdage personlige og følsomme data, jeres virksomhed gemmer. Find ud af hvor jeres virksomhed gemmer personlige data, hvem i virksomheden der har adgang til dem, hvor gammel de er, deres risikoniveau og kategori. Evaluer jeres databehandling og jeres politikker, og sørg for, at de er i overensstemmelse med GDPR. Minimer (slet!) gamle data, eller data, I ikke længere har brug for, sørg for, at højrisikodata, I har brug for, opbevares sikkert og meget mere. Prøv DataMapper →

    Det er umuligt 100 % at eliminere risikoen for databrud og bøder, men der er meget I kan gøre nu for at mindske risikoen, beskytte folks privatliv, udvise god tro og demonstrere compliant privatlivspraksis.

    Vi vil gerne med jer om jeres virksomheds behov. Kontakt os →

    Sebastian Allerelli

    Specialist i Ledelse, Risiko og GDPR