GDPR-bøder: Status efter knap to år med GDPR

22. maj 2020

Medio maj 2020 blev en dansk virksomhed politianmeldt og indstillet til bøde for brud på GDPR. Baggrunden var virksomheden havde slettet personoplysninger efter at have modtaget en indsigtsbegæring, således at indsigtsbegæringen ikke kunne opfyldes. Baggrunden for bøden er, at når man sletter personoplysninger i en sådan situation fratager man også de registrerede muligheden for at udleve sine rettigheder.

Bøden var den femte bøde, som det danske datatilsyn har indstillet efter GDPR trådte i kraft 25. maj 2018. I alt er tre virksomheder og to myndigheder indstillet til bøde. Emnemæssigt har bøderne omfattet utilstrækkelige behandlingssikkerhed, manglende sletning, manglende dataminimering og altså manglende efterlevelse af de registreredes rettigheder.

Læs mere om de registreres rettigheder her.

Antallet af bøder ligger på niveau med de andre nordiske lande: Sverige har uddelt fem bøder, Norge fire bøder, Island to bøder og Finland ingen bøder. De europæiske datatilsyn har måttet sande at det tager enormt mange ressourcer at dokumentere en sag så grundigt at den kan føres for en domstol.

I Danmark har bødernes størrelse været beskedne og langt mindre end det var frygtet op til GDPRs ikrafttræden. Sådan forholder det sig ikke i andre lande i EU. Kigger man på en top ti over bøder, så er det især det britiske datatilsyn, der ikke holder sig tilbage med at uddele store bøder i og med at de indtager både første og anden pladsen med bøder på henholdsvis små 205 mio. EUR og godt 110 mio. EUR. Det skal dog bemærkes, at i begge sager er der millioner af berørte registrerede, fortrolige oplysninger og andre skærpende omstændigheder. I alt har briterne faktisk kun uddelt tre bøder, og de er alle tre rettet mod private virksomheder.

Ser vi på lande der har uddelt bøder over 1 million EUR omfattes United Kingdom, Frankrig, Italien, Østrig, Tyskland, Sverige og Bulgarien og dermed må de fleste større EU-lande siges at være med. I alt er der indstillet til 278 bøder i alt hvor 11 af dem er over 1 million EUR.

De artikler, der oftest er sket overtrædelse af, er i prioriteret rækkefølge artikel 5, 6 og 32 – altså et brud på de fundamentale behandlingsprincipper, manglende eller forkert hjemmel til behandling og dårlig behandlingssikkerhed.

Links

Man kan få et rigtig godt overblik over udstedelsen af bøder ved at besøge https://www.enforcementtracker.com/

Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri.

I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder.

Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin

Du er måske også interesseret i