Brud på GDPR: hvad sker der?

Det kan være en dyrt, hvis man undlader at følge GDPR-reglerne. GDPR-bøder kan have fatale konsekvenser, uanset om jeres virksomhed er en enkeltmandsvirksomhed eller en global virksomhed. Virksomheder er underlagt GDPR-bøder, hvis man markedsfører til eller handler med EU-borgere/indbyggere, uanset virksomhedsstørrelsen eller hvor virksomheden er placeret fysisk i verden. Derudover har mange andre lande og regioner lavet deres egne databeskyttelsesforordninger, hvilket udvider omfanget af privatlivsbeskyttelse yderligere.

Men bøder skaleres efter størrelsen af virksomheden, og der er nogle ting, I kan gøre nu for at mindske jeres ansvar, hvis I bliver fundet i at handle i strid med GDPR. Men hvor meget vil en GDPR-overtrædelse koste jer? Lad os se på, hvordan bøder vurderes, og hvad der vil øge eller mindske jeres ansvar.

I henhold til artikel 83 kan potentielle bøder stige eller falde baseret på følgende faktorer:

GDPR-bøden kan stige baseret på:

• Overtrædelsens art, alvor og varighed
• Overtrædelsens forsætlige eller uagtsomme karakter
• Tidligere overtrædelser
• De kategorier af personoplysninger, der er berørt af krænkelsen
• Enhver anden skærpende faktor

Bøden kan falde baseret på:

• Enhver handling, I foretager jer for at afbøde skader påført af registrerede
• Eventuelle forebyggende tekniske og organisatoriske foranstaltninger, I opsætter
• Om I har underrettet tilsynsmyndigheden om overtrædelsen rettidigt
• Om I fulgte adfærdskodekser anført i artikel 40
• Enhver anden formildende faktor

Inden for GDPR er visse overtrædelser naturligvis mere alvorlige end andre. Der straffes inden for dette spænd:

• Bøder på op til €10 millioner, eller 2 % af din virksomheds verdensomspændende årlige omsætning fra det sidste regnskabsår, alt efter hvad der er højest.
• Bøder på op til €20 millioner eller 4 % af din virksomheds verdensomspændende årlige omsætning fra det foregående regnskabsår, alt efter hvad der er højest.

Lad os se, hvilke typer overtrædelser der passer ind i hver af disse kategorier. Der vil være henvisninger til relevante GDPR-artikler.

Mindre lovovertrædelser omfatter typisk:

• Overtrædelse af reglerne om databeskyttelse, lovligt grundlag for behandling osv. for dataansvarlige (det er jeres virksomhed!) og databehandlere. Så overvåg jeres  processer og kontroller eventuelle tredjepartstjenester. Se artikel 8, 11, 25-39, 42, og 43.
• Overtrædelser af reglerne for certificering af organisationer til at udføre deres evalueringer og vurderinger med gennemsigtighed og uden partiskhed. (Artikel 42 og 43)
• Overtrædelser af reglerne for, at overvågningsorganer behandler klager eller anmeldte overtrædelser på en upartisk og gennemsigtig måde. (Artikel 41)

Disse forseelser straffes typisk med op til €10 millioner eller 2 % af jeres virksomheds årlige globale omsætning fra det sidste regnskabsår – afhængigt af hvad der er højest.

Disse højere bøder gælder for:

• Overtrædelser af de grundlæggende principper for databehandling. For eksempel kan indsamling eller opbevaring af data til andre formål end du har angivet, lagring af unøjagtige eller forældede oplysninger om nogen, opbevaring af data for længe eller behandling af følsomme data i det hele taget (undtagen under særlige omstændigheder) medføre store bøder. (Artikel 5, 6 og 9)
• Overtrædelser af reglerne for samtykke. Sørg for, at dine samtykker er klare, eksplicitte og frit givet, og log dem derefter for at bevise det! Artikel 7
• Krænkelser af registreredes rettigheder. Dette omfatter manglende besvarelse af datasubjekts adgangsanmodninger (DSAR’er) til tiden. Artikel 12-22
• Overførsel af data uden for EØS uden først at få Europa-Kommissionens godkendelse, eller uden ordentlig beskyttelse under transit. Articles 44-49

Disse forseelser straffes typisk med op til €20 millioner eller 4 % af jeres virksomheds årlige globale omsætning fra det sidste regnskabsår – afhængigt af hvad der er højest.

Individuelle EU-medlemslande har ret til at vedtage yderligere databeskyttelseslove, hvis de er i overensstemmelse med GDPR-principperne – Kapitel IX. Lokale tilsynsmyndigheder kan også give ordrer til en specifik virksomhed. At overtræde en af disse lokale love eller direkte ordrer fra tilsynsmyndigheder er en alvorlig forbrydelse med en stor bøde.

Ud over administrative bøder kan enkeltpersoner sagsøge for yderligere skader, hvis GDPR-overtrædelsen påførte dem materiel eller ikke-materiel skade. Artikel 82

Lad os se på to eksempler på GDPR-bøder, og hvordan I kan undgå lignende bøder.

Eksempel #1: Capio St. Görans Hospital €2,9 mio
En svensk sundhedsudbyder modtog en GDPR-bøde på 2,9 millioner euro efter en revision af et af dets hospitaler af den svenske databeskyttelsesmyndighed. Virksomheden havde forsømt at udføre passende risikovurderinger og implementere effektive adgangskontroller, hvilket førte til, at for mange medarbejdere havde adgang til følsomme personoplysninger.

Sådan undgår I GDPR-bøder som denne:

• Udfør en databeskyttelseskonsekvensvurdering (DPIA), hvis I begynder nye og risikable dataindsamlings-/behandlingsaktiviteter.
• Sørg for at vide, hvilke af jeres medarbejdere/afdelinger der har adgang til følsomme data.
• Begræns adgangen til kun de medarbejdere/afdelinger, der virkelig har brug for det.

Eksempel #2: BBVA (Banco Bilbao Vizcaya Argentaria, S.A.) €5 mio
En spansk finansiel virksomhed blev idømt en bøde på 5 millioner euro. 3 millioner euro for at sende sms-beskeder uden at indhente forbrugernes samtykke og 2 millioner euro for manglende gennemsigtighed i deres privatlivspolitik, som ikke korrekt forklarede, at de indsamler og bruger kunders personlige data.

Sådan undgår I GDPR-bøder som denne:

• Sørg for, at I får klart, eksplicit og frit givet samtykke, før I bruger kundedata til markedsføringsaktiviteter eller andet.
• Link jeres privatlivspolitik til jeres samtykke-pop-ups eller enhver anden gang, folk giver jer deres e-mailadresse eller andre personlige data på jeres websted.
• Gennemgå jeres privatlivspolitik og sørg for, at den indeholder alle de detaljer, der kræves af GDPR artikel 13 og 14. Brug vores gratis skabelon til privatlivspolitik til at hjælpe jer i gang.

At gøre brug af organisatoriske og tekniske foranstaltninger reducerer jeres ansvar, selvom I bliver fundet i strid med GDPR.

Vores software er designet til at hjælpe små og mellemstore virksomheder med at:

• Dele personlige data sikkert via e-mail, og få automatisk samtykke, når I anmoder om det; med sikre mapper til at gemme dataene, tilpasselige dataopbevaringsgrænser og logfiler for at demonstrere overholdelse. Læs mere om ShareSimple
• Svare på DSAR’er med en anmodningsportal, der bekræfter hver enkelt anmoders identitet, før anmodningen leveres til dit dashboard, meddelelser for at minde jer om at svare til tiden, nemme dataindsamlingsmuligheder, sikker dataoverførsel, samtykker og logfiler for at demonstrere overholdelse. Læs mere om RequestManager
• Opdage personlige og følsomme data, jeres virksomhed gemmer. Find ud af hvor jeres virksomhed gemmer personlige data, hvem i virksomheden der har adgang til dem, hvor gammel de er, deres risikoniveau og kategori. Evaluer jeres databehandling og jeres politikker, og sørg for, at de er i overensstemmelse med GDPR. Minimer (slet!) gamle data, eller data, I ikke længere har brug for, sørg for, at højrisikodata, I har brug for, opbevares sikkert og meget mere. Læs mere om DataMapper

Det er umuligt 100 % at eliminere risikoen for databrud og bøder, men der er meget I kan gøre nu for at mindske risikoen, beskytte folks privatliv, udvise god tro og demonstrere compliant privatlivspraksis.