Contact us: +45 32 67 26 26

De Største GDPR-Bøder fra 2022 og tidligere år - Og Hvordan Man Undgår Dem

Sarah Hofmann
By: Sarah Hofmann IT-sikkerhed | 17 februar

Hvordan vurderes størrelsen på en GDPR-bøde? Hvad er de største bøder i 2021? Hvorfor får virksomheder bøder? Og hvordan kan man undgå at få de samme bøder? Alt det forsøger vi at svare på i dette blogpost. Derfor er blogpostet også rimelig langt, så hvis du f.eks. kun er interesseret i, hvordan man kan undgå bøder, så kan det være en fordel at klikke i indholdsfortegnelsen og komme hurtigere til pointen.

Indholdsfortegnelse 

Regler for GDPR-bøder 

Bøder for GDPR-overtrædelser varetages af hvert lands tilsynsmyndighed. Her i Danmark er det altså Datatilsynet, der indstiller bøder. Datatilsynet er ansvarlig for at undersøge, at GDPR lovgivningen overholdes i Danmark, og kan derfor give bøder til virksomheder for ikke at overholde GDPR. Alle tilsynsmyndigheder håndhæver GDPR, men der er en vis variation i, hvordan forskellige tilsynsmyndigheder prioriterer overtrædelser.  

De agerer ud fra det samme sæt regler, men deres fokus på hvilke typer overtrædelser de kigger efter varierer. Reglerne siger at mindre alvorlige overtrædelser kan koste en virksomhed op til €10 mio. eller 2% af dens årlige omsætning, og at alvorligere overtrædelser kan koste helt op til €20 mio. eller 4% af dens årlige omsætning. Det er altså overtrædelsens karakter der bestemmer bødens størrelse.

Fortolkningerne varierer fra tilsynsmyndighed til tilsynsmyndighed 

Selvom de er bundet af de samme GDPR principper, håndhæver tilsynsmyndighederne dem ikke altid på samme måde. Derfor er det vigtigt, at du holder øje med, hvilke ting din tilsynsmyndighed oftest tildeler bøder for. For eksempel, de GDPR-brud der oftest er bliver tildelt bøder, og hvilke typer af virksomheder som bliver straffet. Hver tilsynsmyndighed har et begrænset antal ressourcer til at undersøge overholdelsen af GDPR og udstedelse af bøder. Nogle tilsynsmyndigheder bruger disse ressourcer til at udarbejde store sager mod store virksomheder, hvilket resulterer i færre, men større bøder. Andre tilsynsmyndigheder prioriterer måske efterforskning af overtrædelser i mindre skala, hvilket resulterer i flere bøder på mindre beløb, der normalt er rettet mod mindre virksomheder.

For eksempel kommer tilsynsmyndighederne i England, Irland og Luxembourg i nyhederne ved at udstede store og højt profilerede bøder. I den anden boldgade pålægger myndighederne i Italien og Spanien et større antal bøder, men for mindre beløb. Et godt udgangspunkt er at se på, hvordan netop din tilsynsmyndighed agerer. 

Størrelsen på din virksomhed har stor betydning 

Alle organisationer er forpligtet til at overholde GDPR, men størrelsen af bøden for GDPR-overtrædelser varierer alt efter virksomhedens størrelse. Da formuleringerne i GDPR kun opstiller maksimale bødebeløb for alvorlige og mindre alvorlige overtrædelser, giver det en stor fleksibilitet i udmålingen af bødebeløb. Udover grovheden af overtrædelsen vil tilsynsmyndigheden se på en virksomheds størrelse og globale omsætning, når der skal træffes en afgørelse om straffen for en overtrædelse. 

På grund af fleksibiliteten i bødebeløb kan mange virksomheder at forhandle sig frem til reducering af bødebeløb i 2020. Fleksibiliteten hjælper også med at sikre, at en mindre overtrædelse ikke konkursdømmer en virksomhed - men du bør stadig undgå bøder, eftersom en virksomheds overtrædelseshistorik kan påvirke nye bøders størrelse. Vi har en guide til, hvordan du kan sikre at din organisation er GDPR compliant. 

Billede af Risiko-analyse skabelon

GDPR-bøder kommer i to niveauer 

Hvordan fastsættes bøderne så? Her vil vi dække de juridiske retningslinjer, som tilsynsmyndighederne bruger, når de evaluerer GDPR-overtrædelser og udsteder bøder.  

Den vigtigste retningslinje er, at alle GDPR-overtrædelser evalueres og bødepålægges i to forskellige kategorier, afhængigt af sagens alvor. De mere alvorlige overtrædelser medfører selvfølgelig en højere straf. Bøder for mindre alvorlige overtrædelser er begrænset til €10 mio. eller 2% af omsætningen, mens bøder for mere alvorlige og grove overtrædelser ikke kan overstige €20 mio. eller 4% af årlig omsætning.   

Lad os komme yderligere ind på disse kategorier med lidt flere oplysninger om de typer af overtrædelser, der er forbundet med hvert niveau.   

Biggest GDPR fines of 2022

Mindre alvorlige overtrædelser: Op til €10 mio. eller 2% af den globale årlige omsætning i det forrige år – det højeste beløb af de to gælder 

Overtrædelser som anses for værende mindre alvorlige af GDPR,  er primært relateret til databehandling og behandlingsgrundlag. Overtrædelser der falder ind under disse kategorier omfatter:

  • Børns samtykke (Paragraf 8) 

  • Behandling der ikke kræver identifikation (Paragraf 11) 

  • Databehandlere og -ansvarliges forpligtelser (Paragraf 25-39) 

  • Overvågningsorganernes (Paragraf 41) og certificeringsorganernes (Paragraf 42-43) ansvar for at føre gennemsigtige og upartiske evalueringsprocesser 

For eksempel udstedte den ungarske databeskyttelsesmyndighed i 2020 en bøde på 55.000 til et rejsebureau (Robinson-Tours) for ikke at have anvendt passende foranstaltninger til at sikre beskyttelse af data. Manglen på passende beskyttelsesforanstaltninger resulterede i, at deres registrerede emners personlige data lå frit tilgængeligt i flere måneder på internettet. Robinson-Tours' databehandler var delvist skyld i eksponeringen af personlige oplysninger, og de modtog også en bøde, dog i form af et mindre beløb. Denne sag er et eksempel på, hvorfor det er vigtigt for dataansvarlige at sikre, at deres databehandlere har tilstrækkelige sikkerhedsforanstaltninger på plads.  

Alvorlige overtrædelser: Op til €20 mio. eller 4% af den globale årlige omsætning i det forrige år – det højeste beløb af de to gælder 

Det der adskiller disse overtrædelser fra de mindre alvorlige er, at disse er et resultat af handlinger, der går imod retten til privatlivets fred, som er det centrale omdrejningspunkt for GDPR. Overtrædelser der kan resultere i disse højere bøder, er relateret til: 

  • GDPR's grundlæggende behandlingsprincipper – behandling af persondata, lovlighed og særlige kategorier af persondata (Paragraf 5, 6 og 9) 

  • Betingelser for samtykke (Paragraf 7) 

  • Dataregistrerede personers rettigheder (Paragraf 12-22), for eksempel: 

  • Overførsel af data til en international organisation eller en modtager i et tredjeland (Paragraf 44-49) 

  • Overtrædelse af de individuelle medlemsstaters databeskyttelseslovgivning  

  • Manglende overholdelse af påbud fra en tilsynsmyndighed 

Foreksempel er en overtrædelse, der falder ind under den mere alvorlige kategori, WhatsApps manglende gennemsigtighed i databehandling. WhatsApp fik i 2021 en bøde på €225 millioner for at gøre deres håndtering af brugerdata uklar og svær at forstå. Da denne overtrædelse går imod et af de syv principper i GDPR, kategoriseres den som et alvorligt brud og resulterede i en massiv bøde.  

Kriterier der afgør bøden for GDPR-brud 

Som tidligere nævnt tillader GDPR en del fleksibilitet i bødeudmåling, ved kun at opstille de maksimale bødebeløb, der kan udstedes. Når tilsynsmyndighederne har fastslået, hvilket niveau overtrædelsen hører under, skal de beslutte hvor stor bøden skal være. Bøden kan dog være et sted mellem €0-10 mio. eller €0-20 mio. (eller mellem 0% og 4% af en virksomheds årlige omsætning). Så hvordan afgør myndighederne, hvor stor en bøde skal være? 

For at vejlede tilsynsmyndigheder, indeholder GDPR følgende kriterier der bør overvejes ved fastsættelsen af den straf, en organisation skal modtage for en GDPR-overtrædelse: 

  • Alvorlighed og sagens natur: Hvad skete der og hvordan? Hvor mange mennesker blev påvirket, og hvor stor skade har de lidt? Hvor lang tid tog det at løse? 

  • Hensigt: Var det forsætligt eller et resultat af uagtsomhed? 

  • Afbødning: Virksomhedens forsøg på at afbøde de skader, som er blevet påført de registrerede dataemner 

  • Forebyggende foranstaltninger: Sikkerhedsforanstaltninger, som virksomheden havde på plads 

  • Historik: Tidligere overtrædelser af GDPR og Databeskyttelsesdirektivet  

  • Samarbejde: Graden af samarbejde med tilsynsmyndigheden i at identificere og råde bod på overtrædelsen 

  • Datakategori: Type af persondata der blev påvirket 

  • Underretning: Underrettede virksomheden proaktivt tilsynsmyndighederne om overtrædelsen? 

  • Certificering: Var virksomheden certificeret eller overholdt den adfærdskodekser? 

  • Skærpende/formildende faktorer: Yderligere forhold, der opstod som følge af overtrædelsen – for eksempel hvis virksomheden opnåede økonomiske gevinster ved overtrædelsen 

Hvis en organisation har flere GDPR-relaterede overtrædelser, vil virksomheden blive straffet for de mest alvorlige af disse. Men hvis overtrædelserne ikke er relateret til den samme behandlingsaktivitet, kan de blive idømt separate bøder.

Ved vurderingen af disse kriterier vil tilsynsmyndigheden være tilbøjelige til at udstede en større bøde, hvis virksomheden viser dårlige resultater i flere af kategorierne. Hvis virksomheden derimod har gjort en indsats for at overholde GDPR, vil en mindre bøde være mere tilbøjelig. Det vigtigste er altså, at man kan vise, at man har taget en aktiv beslutning og gjort en indsats.

Ved at se på IBM’s rapport om de faktiske omkostninger ved et brud i 2022, er det muligt at estimere omkostninger ved et databrud.  

Studerende sidder på bøger og prøver kurser gratis

Andre overvejelser om økonomiske sanktioner i forbindelse med GDPR 

Som du har læst indtil videre, er der mange ting som påvirker, hvor store GDPR-bøderne er. Her er der nogle andre ting du kan overveje.  

De dataansvarlige er ansvarlige for at sikre, at deres databehandlere opfylder alle krav 

Det er vigtigt at bemærke, at dataansvarlige er ansvarlige for de databehandlere, de bruger. Du bør altid arbejde med databehandlere, der har stærke sikkerhedsforanstaltninger og overholder GDPR, da dataansvarlige kan straffes for overtrædelser forårsaget af deres behandlere. Du bør altså kontrollerer om dine databehandlere overholder reglerne.  

Dataregistrerede personer kan anmode om erstatning 

Ud over de administrative bøder, der kan opkræves, giver GDPR dataregistrerede personer mulighed for at søge erstatning fra organisationer, når de har oplevet skade som følge af organisationens GDPR-overtrædelse. Denne betingelse er beskrevet i Paragraf 82 i GDPR. Dette betyder at de økonomiske konsekvenser af en GDPR-overtrædelse for en virksomhed i nogle tilfælde kan være større end den pålagte bøde, hvis de dataregistrerede personer også anmoder om erstatning. Erstatningsanmodninger fra mange dataregistrerede personer kan øge den ressourcemæssige og økonomiske byrde af GDPR-overtrædelser, da det tager tid at gennemgå og eventuelt appellere erstatningsanmodningerne.  

Sådan håndhæves GDPR-overtrædelser 

Nu hvor vi har gennemgået alle reglerne omkring, hvordan bøder for GDPR-overtrædelser udstedes, så vil vi nu dække håndhævelsen af disse bøder i praksis. Vi starter med et overblik over de største GDPR-bøder, der er blevet udstedt i løbet af de sidste tre år, og hvordan de kunne have været undgået. Derefter gennemgår vi tendenser for GDPR-bøder, og hvad det betyder for en gennemsnitlig virksomhed.  

De største GDPR-bøder fra 2022 

De største GDPR bøder fra 2022 viser os at Irish Data Protection Commission har været rundhåndet, når de har givet bøder ud. De tre største GDPR bøder var givet af the Irish data protection authority og de var alle målrettet en virksomhed – Meta. Metas bøder GDPR brud lød mere end €880 millioner I 2022 inden for Facebook og Instagram. det GDPR bøderne fra 2022 fortæller os, er at store virksomheder som Meta er brugt som et eksempel for andre virksomheder, der behandler personlig data.  

1. plads - Meta
Tilsynsmyndighed  Den Irske Databeskyttelseskommission (DPC).
Bøde (Straf)  €405 millioner   
Årsag  Meta var straffet med bøde for at håndterer børns brugerdata Instagram forkert 
Hvordan overtrædelsen og bøden kunne have været undgået  De kunne have holdt konti og data af unge bruger private by default.  
2. plads - Meta
Tilsynsmyndighed  Den Irske Databeskyttelseskommission (DPC).
Bøde (Straf)  $265 millioner 
Årsag  Data bruddet resulterede I at over 500 millioner af Facebook brugeres data blev offentliggjort.   
Hvordan overtrædelsen og bøden kunne have været undgået 

Beskyt systemer fra uautoriseret dataskrabning.   

3. plads - Notebooksbilliger.de (NBB)
Tilsynsmyndighed  Den Irske Databeskyttelseskommission (DPC).
Bøde (Straf) 
€210 millioner 
Årsag 

Meta brugte tvunget samtykke til at opnå Facebook-brugeres godkendelse til at bruge deres data til målrettede annoncer. 

Den 4. højeste bøde (€180 millioner) blev også givet til Meta for den samme GDPR-overtrædelse på Instagram. 

Hvordan overtrædelsen og bøden kunne have været undgået 
Giv tilstrækkelig klarhed om databehandling for adfærdsannoncer og have et juridisk grundlag. 

De største GDPR-bøder fra 2021 

Den største GDPR-bøde til dato blev udstedt i 2021 af Luxembourgs nationale kommission for databeskyttelse, der idømte den amerikanske onlineforhandler Amazon en bøde på €746 millioner. 

1. plads - Amazon
Tilsynsmyndighed  Luxembourgs databeskyttelsestilsyn (CNPD).
Bøde (Straf)  746 millioner 
Årsag  Amazon blev idømt en bøde for manglende efterlevelse af cookie samtykke.  
Hvordan overtrædelsen og bøden kunne have været undgået  Tving ikke brugere til at acceptere cookies eller gøre det vanskeligt at fravælge dem. 
2. plads - Whatsapp Irland
Tilsynsmyndighed  Den Irske Databeskyttelseskommission (DPC).
Bøde (Straf)  225 millioner 
Årsag  WhatsApp Ireland Limited blev idømt en bøde for ikke at overholde gennemsigtighedskravene. WhatsApp har appelleret bøden.
Hvordan overtrædelsen og bøden kunne have været undgået 

Opgiv privatlivsinformationer i et format, der er let at tilgå og på det rigtige sprog. 

Forklar hvad dine legitime interesser er for hver databehandling.

3. plads - Notebooksbilliger.de (NBB)
Tilsynsmyndighed  Statskommissær for databeskyttelse i Niedersachsen. 
Bøde (Straf) 
10,4 millioner
Årsag 
En tysk elektronikforhandler, notebooksbilliger.de (NBB), fik en bøde for sin brug af videoovervågning til at holde øje med medarbejdere og kunder.
Hvordan overtrædelsen og bøden kunne have været undgået 
Hvis du bruger videoovervågning, skal du sørge for at bruge det af en legitim grund og i et proportionelt omfang til et bestemt problem. 

De største GDPR-bøder fra 2020

Før 2021 var den største GDPR-bøde til dato, Frankrigs bøde på €50 millioner udstedt til Google.

1. plads - Google LLC
Tilsynsmyndighed  Frankrigs databeskyttelsesmyndighed (CNIL)
Bøde (Straf)  50 millioner 
Årsag  Google LLC fik en bøde for ikke i tilstrækkelig grad at forklare, hvordan de behandler data, og for ikke at have juridisk grundlag til at behandle data vedrørende personlig annoncering.
Hvordan overtrædelsen og bøden kunne have været undgået  Opgiv tilstrækkelige oplysninger i din samtykkepolitik og giv brugerne tilstrækkelig kontrol over, hvordan deres data behandles.
2. plads - H&M
Tilsynsmyndighed  Hamborgs databeskyttelsestilsynsmyndighed.
Bøde (Straf)  35,26 millioner 
Årsag  En global detailforretning, H&M, fik en bøde for ikke at have tilstrækkelig juridisk støtte til behandling persondata .
Hvordan overtrædelsen og bøden kunne have været undgået 

Udøv dataminimering.  Behandel ikke personoplysninger, medmindre du har brug for det, især følsomme data om sundhed eller religiøse overbevisninger. Hvis du indsamler disse oplysninger, skal du have en streng adgangskontrol og brugsregler.

3. plads - Telecom
Tilsynsmyndighed  Italiens databeskyttelsestilsynsmyndighed (Garante) 
Bøde (Straf) 
27,8 millioner 
Årsag 
Den italienske teleoperatør Telecom Italia, fik en bøde for ikke i tilstrækkelig grad at forklare, hvordan de behandler data, og for ikke at have juridisk grundlag til at behandle data, mm. 
Hvordan overtrædelsen og bøden kunne have været undgået 
Administrer omhyggeligt lister over dataregistrerede personer. Opret og overhold til- og fravalg til markedsføring.

 Tendenser i GDPR-bøder og overholdelse 

Nu vil vi gennemgå, hvad der kan læres af sidste års GDPR-bøder.  Som var endnu et rekordår for GDPR-bøder. I 2022 fortsatte tendensen med stigende bøder for GDPR-overtrædelser. Ifølge DLA Pipers undersøgelse af europæiske tilsynsmyndigheder, udgjorde GDPR-bøderne næsten €1,6 milliarder i 2022 - et tal, der er næsten 50% mere end 2021. Dette skyldes sandsynligvis værdistigningen af de største uddelte bøder, men det hænger også sammen med stigningen i de daglige underretninger om brud på datasikkerhed, som tilsynsmyndighederne modtager. Med flere brud på datasikkerhed har tilsynsmyndighederne endnu mere at undersøge og udstede bøder for. 

Færre databrud bliver rapporteret 

Antallet af daglige underretninger om databrud, som tilsynsmyndighederne modtog, faldt fra 328 i 2021 til 300 i 2022. Det er en tæt sammenligning, så det er svært at drage nogle reelle konklusioner. 

Nedgangen i underretninger om brud på databeskyttelse kan indikere, at organisationer efter flere års arbejde med GDPR har bedre sikkerheds- og databeskyttelsesforanstaltninger på plads. Men antallet af databrud per år er ifølge IBM's rapport om omkostningerne ved et databrud steget. Så nedgangen i underretninger om brud kan faktisk signalere, at virksomheder ikke rapporterer brud, som de burde, for at undgå undersøgelser og GDPR-bøder. I tidligere år blev kravet om at underrette tilsynsmyndighederne om databrud prioriteret for håndhævelsen, så manglende rapportering af et brud kunne koste virksomhederne. 

Men forskellen i underretninger er stadig ret lille, så vi bliver nødt til at fortsætte med at overvåge antallet, før vi drager konklusioner. 

Hvilke GDPR-overtrædelser straffes mest? 

Et godt sted at starte når du vil undgå GDPR bøder er ved, at kigge på, hvilke brud der oftest straffes for. GDPR-bøder i 2022 fokuserede på ad-tech og målrettet reklame. 

De irske DPC-bøder mod Meta for adfærdsreklamepraksis på Facebook og Instagram viser stigende opmærksomhed på forholdet mellem internetbrugere og tech-virksomheder. De finansielle modeller for sociale medievirksomheder som Meta tillader "gratis" brug af deres platforme i bytte for deres brugeres data, hvilket muliggør målrettet reklame. Denne udveksling af personlige data for brug af en online service har eksisteret i årevis og er nu i centrum for GDPR-debatterne. DPC var uenig om nogle dele af beslutningen, så håndhævelsen af GDPR omkring målrettet reklame vil være noget at holde øje med i de kommende år. 

Fokus på overtrædelser af artikel 5 i GDPR - de grundlæggende principper for databeskyttelse - i 2022.  

Ligesom sidste år, bliver brud på artikel 5 i GPDR ofte håndhævet i 2022. Principperne om lovlighed, retfærdighed og gennemsigtighed samt principperne om integritet og fortrolighed bliver håndhævet ofte. Derudover bliver overtrædelser af principperne om privatliv og manglende dokumentation af en lovlig grund for databehandling prioriteret af tilsynsmyndighederne. 

De mest almindelige årsager til GDPR-bøder siden 2020 er:

  • Mangel på åben og tydelig kommunikation om databehandling 

  • Manglende påvisning af et retsgrundlag til behandling af persondata 

  • Manglende indførelse af passende sikkerhedsforanstaltninger 

  • Manglende underretning i tilfælde af brud på persondatasikkerheden 

  • Manglende overholdelse af krav til dataminimering og opbevaring 

Alt denne information om GDPR brud og bøder og håndhævelse kan være overvældende. Men den gode nyhed er, at de mest almindelige årsager til GDPR-bøder er ret simple at administrere for en gennemsnitlig virksomhed. Med planlægning og en gennemgang af GDPR's krav, burde det ikke være for svært at undgå bøder for de mest almindelige fejl.

Forventninger til håndhævelse i 2023 

I deres 2023 bøde og data brud rapport, er det tydeligt, at DLA Piper også forventer, at 2023 vil bringe nogle nye tendenser indenfor typer af bøder, som udstedes af tilsynsmyndighederne.  

Her er, hvad DLA Piper forventer at se i 2023.  

  • Bøder (og appeller) relateret til online adfærdsreklame
  • Bøder relateret til ukorrekte dataoverførsler til tredjelande og internationale organisationer - potentielt mere klarhed om udkastet til EU – USA adeguacy decision. 
  • Vejledning om AI, databeskyttelse og dataetik - efter den forventede færdiggørelse af EU's AI-lov. 

Vi vil dække nogle af vores forventninger til bødestraffe i 2023 herunder. 

Dyre bøder fra Luxemborg og Irland.  

Historisk set er Irland og Luxembourg de datatilsynsmyndigheder, der har udstedt de højeste GDPR-bøder (husker du Luxembourgs bøde på € 746 millioner til Amazon i 2021?) 

Fremadrettet kan vi forvente, at disse to lande vil være hotspot for håndhævelse - og for store GDPR-bøder - fordi det er her, at mange tech-virksomheder opretter deres europæiske operationer. 

Højere fokus på AI  

Mange AI-systemer bruger personlige data, hvilket betyder, at teknologien kan reguleres af GDPR. I 2022 udgav flere tilsynsmyndigheder og EDPB vejledning om AI's brug af personlige data. For eksempel udstedte EDPB retningslinjer for ansigtsgenkendelsesteknologi. 

Clearview AI modtog flere høje bøder i 2022 for GDPR overtrædelser vedrørende lovlighed og gennemsigtighed. De indsamlede offentligt tilgængelige billeder af menneskers ansigter fra internettet og sociale medier og lagrede dem i en database, der kunne bruges til ansigtsgenkendelse. Clearview AI's kunder havde adgang til denne database, uden at enkeltpersoner nogensinde vidste, at deres personlige data blev brugt til dette formål. 

Med Den Europæiske Unions nye digitaliseringslovgivning kan organisationer stå over for dobbelt straf for deres brug af AI i behandlingen af personlige data. Dette betyder, at virksomheder, der bruger AI til at behandle data, kan straffes for overtrædelser af både GDPR og andre europæiske love. 

International data overførelse og Schrems II  

Schrems II-dommen giver standarder for internationale overførsler af personlige data og har skabt meget usikkerhed for organisationer. I 2022 udstedte tilsynsmyndighederne i Østrig, Frankrig, Italien og Danmark domme til Google Analytics baseret på hårde fortolkninger af GDPR vedrørende internationale overførsler af personlige data. 

Det forventes, at EU's gyldighedsafgørelse vil erstatte 2016 Privacy Shield som lovgivning, der styrer internationale overførsler, inden juli 2023. Det vil give klarhed omkring USA-EU-dataoverførsler og lette overholdelsen for amerikanske virksomheder certificeret under Data Privacy Framework (DPF). For virksomheder, der ikke er certificeret under DPF, vil Standard Contractual Clauses og transfer impact assessments sandsynligvis forblive standarden for internationale overførsler. Med mere nuancerede retningslinjer omkring dataoverførsler kan vi forvente at se mere handling fra tilsynsmyndighederne i det kommende år. 

Efterhånden som håndhævelsen af GDPR udvikler sig, bliver vi nødt til at vente og se, hvordan tilsynsmyndighederne i hvert land prioriterer overtrædelser i de kommende år. Tendenser i tidligere bøder og forventninger til 2023 kan dog give et indblik i, hvad vi kan forvente i år. 

Sådan undgår du at modtage en GDPR-bøde 

De mest almindelige bødeformer viser, at barren ikke er sat vildt højt. Det bør derfor være muligt at undgå disse bøder med meget simple tiltag. Det vigtigste er, at I kommer igang med GDPR-arbejdet og laver aktive tiltag baseret på f.eks. risikovurderinger.

I bør sikre, at I har behandlingsgrundlag for det data I behandler, at I får det slettet, når I er færdige med det og kommunikerer tydeligt til jeres brugere, hvad I behandler og hvorfor. Det er altså relativt simple tiltag, der kan holde jer ude af søgelyset. 

Derudover viser bøder, at man skal have "passende sikkerhedsforanstaltninger", men hvad betyder det? Det er svært at svare på. Her er det bedste bud at følge med i de bøder, der bliver givet og årsagen til hvorfor de bliver givet. Hvis I har styr på de ting, som giver bøder i dag, så bør I kunne sove trygt om natten.

Beskyt din organisation mod brud på datasikkerhed

Som nævnt er forebyggelse af brud på datasikkerheden en nem måde at undgå GDPR-bøder på. Brud på datasikkerheden skyldes oftest menneskelige fejl – for eksempel når en medarbejder ved et uheld klikker på en ondsindet e-mail. Derfor er en af de bedste strategier til at forhindre brud på datasikkerheden i din organisation, at træne dit team. Og da træning er et krav for overholdelse af GDPR, er træning en win-win. Du kan styrke din træningsindsats ved at introducere forskellige former for træning, såsom phishing-tests, og ved at fokusere på at skabe en stærk IT-sikkerhedskultur i din virksomhed.

Spotlight: Underretninger om brud på datasikkerhed pr. dag 

En måde at forudsige GDPR-bøder for det kommende år, er ved at se på antallet af underretninger om brud på datasikkerhed, som tilsynsmyndighederne dagligt modtager. Tidligere år er både antallet af brudnotifikationer og antallet af bøder øget hvert år. Men i år er de daglige brudnotifikationer faldet.

Her kan du se en tabel, der viser antallet af underretninger om databrud pr. indbygger, som tilsynsmyndighederne har modtaget i et par udvalgte lande. For nem sammenligning vises meddelelserne om brud pr. 100.000 indbyggere.  

 

Land 

Anmeldelser om brud pr. indbygger (mellem den 28. januar 2022 og den 27. januar 2023) 

Holland 

142.39

Danmark 

133.12 

Tyskland* 

24.72 

Sverige

52.87 

Norge

37.72

Storbritannien* 

15.16 

*Pr. kapitalværdi fra DLA Piper. Der forelå ikke brudstatistik for Tyskland og Storbritannien, så de blev ekstrapoleret i denne rapport.  

Det er sandsynligt, at de daglige brudnotifikationer falder på grund af manglende rapportering i stedet for en faktisk nedgang i databrud. Så i 2023 vil vi holde øje med, hvordan tilsynsmyndighederne straffer GDPR-overtrædelser i forbindelse med kravet om at underrette myndighederne om databrud med persondata. 

Hvad betyder dette for en gennemsnitlig virksomhed? 

Selvom de største bøder for GDPR-brud er dem, som kommer i nyhederne, bliver små og mellemstore virksomheder også stillet til ansvar for GDPR. Mens det er usandsynligt, at en mindre virksomhed modtager en massiv bøde, vil enhver bøde uden tvivl påvirke en virksomheds økonomi og omdømme.  

Mindre virksomheder bør prioritere overholdelse på de områder, der var fremtrædende årsager til bøder i 2020 og 2021. For eksempel bør en gennemsnitlig virksomhed opretholde passende sikkerhedsforanstaltninger, efterkomme principperne for gennemsigtighed og juridisk grundlag, underrette de relevante parter i tilfælde af databrud og praktisere dataminimering. Der bør lægges særlig vægt på medarbejderuddannelse, der reducerer sandsynligheden for brud, samt på internationale dataoverførsler.  

Selvom bøderne for GDPR-overtrædelser stiger, er der ingen grund til at panikke over GDPR-bøder. Vi er alle stadig ved at lære, hvordan bøder prioriteres, og tilsynsmyndighederne er stadig ved at etablere deres egne processer. Så længe du holder øje med de bøder, der udstedes i dit land og undgår den samme slags fejl, bør din virksomhed være sikker.  

Det kan nogle gange betale sig at erklære sig uenig i en bøde 

Mange af de største bøder, der er blevet pålagt for GDPR-overtrædelser, er i appelprocessen, og nogle virksomheder har haft succes med at appellere eller få reduceret beløbet på deres bøder. I 2020 lykkedes det mange virksomheder at reducere de bøder, de modtog - delvist på grund af de økonomiske problemer, som COVID-19-pandemien har medført. Selv i 2023 er GDPR-regulering dog stadig relativt nyt, hvilket medfører en god mængde juridisk usikkerhed. Hvis du har et rimeligt argument mod gyldigheden af en bøde, du modtager, kan det komme dig til gavn at erklære dig uenig i den. Du bør dog altid afveje omkostningerne ved en appel, mod den potentielle fordel du kan opnå, hvis bøden blev reduceret eller helt ophævet.  

Danmarks første GDPR-bøde: Den danske møbelkæde ILVA 

Nu, hvor vi har gennemgået retsgrundlaget for fastsættelsen af GDPR-bøder og tendenser for håndhævelse, så lad os fremhæve en interessant sag: Danmarks første GDPR-bøde udstedt til ILVA.  

I februar 2021 modtog den danske møbelkæde ILVA den første GDPR-bøde i Danmark, der krævede, at en organisation skulle betale en GDPR-bøde. ILVA fik en bøde på ca. €13.500 for unødigt at opbevare næsten 350.000 registreringer af persondata. Datatilsynet foreslog oprindeligt en større bøde, men retten kom frem til en reduceret bødesats, fordi det var selskabets første overtrædelse, og den involverede type af data gjorde overtrædelsen mindre alvorlig. 

Sagen om ILVA er et godt eksempel på, hvordan visse kriterier vurderes når man udmåler værdien af den økonomiske straf for brud på GDPR. Flere faktorer lå til ILVAs fordel, hvilket resulterede i en mindre bøde end oprindeligt. Disse faktorer var blandt andet en manglende forudgående overtrædelseshistorik og det faktum, at den involverede data ikke var personfølsomt, og ikke kunne tilgås af størstedelen af ILVA-medarbejdere. Der var heller ingen dokumenteret skade, på de påvirkede dataemner. Selvom ILVA stadig blev holdt ansvarlig for deres brud på GDPR, blev den endelige afgørelse mildere, fordi overtrædelsen ikke havde en væsentlig konsekvens for de involverede dataemner.

Danmarks største GDPR-bøde: Danske Bank var straffet med €1.3m in 2022 

Danmarks tilsynsmyndighed, Datatilsynet, satte igen historie i år ved at anbefale deres hidtil største GDPR-bøde. De foreslog en bøde på 1,3 millioner euro til Danske Bank i april for manglende demonstration af en GDPR-kompatibel data-sletningsproces. 

Bøden var så høj, fordi bruddet gik imod en kerneprincip i GDPR (Artikel 5) og påvirkede et betydeligt antal mennesker. Bøden kunne have været undgået, hvis Danske Bank havde praktiseret sikker data-destruktion, når de personlige data ikke længere var nødvendige. Danske Banks GDPR-overtrædelse er en påmindelse om at konstant evaluere, om der er behov for at gemme personlige data, og sørge for at det bliver ordentligt slettet. Vi venter stadig på en endelig beslutning i retten om den foreslåede bøde. 

Afsluttende bemærkninger 

Vi håber, at dette indlæg fungerer som en nyttig vejledning i GDPR-regler og -bøder. Når det kommer til at undgå bøder, er en af de vigtigste ting, du kan gøre, at se på, hvordan din specifikke tilsynsmyndighed agerer. Ved at holde øje med, hvilke overtrædelser din tilsynsmyndighed prioriterer i forhold til bøder, kan du undgå lignende fejl. Husk, at vi alle stadig lærer om GDPR-håndhævelse, og at der er stor fleksibilitet i, hvordan afgørelser om straf foretages. 

Kontakt os endelig, hvis CyberPilots awareness- og phishing-træning kan supplere dit arbejde med at overholde GDPR.  

Studerende sidder på bøger og prøver kurser gratis

 

Ofte stillede spørgsmål

Hvad er brud på GDPR?

Brud på GDPR henviser til overtrædelser af EU's databeskyttelsesforordning, herunder behandling af personoplysninger uden samtykke, manglende overholdelse af rettigheder for registrerede personer og manglende implementering af passende sikkerhedsforanstaltninger for personoplysninger.

Hvad er straffen for ikke at overholde GDPR?

Hvis man ikke overholder GDPR-reglerne, kan der udstedes bøder på op til 4% af virksomhedens globale omsætning eller op til 20 millioner euro - alt efter hvad der er højst. Der kan også være andre sanktioner og retlige følger afhængigt af den konkrete situation. Det er vigtigt at følge GDPR-reglerne for at undgå alvorlige konsekvenser.

Hvordan anmelder man brud på GDPR?

Persondata må kun behandles af personer eller organisationer, der har et lovligt grundlag for at gøre det, og kun til specifikke formål. Dette inkluderer normalt den registrerede person selv og organisationer, der har brug for disse data til at udføre deres lovlige opgaver eller serviceydelser. I Danmark anmeldes brud til Datatilsynet.