Contact us: +45 32 67 26 26

De Største GDPR-Bøder I 2020 og 2021 - Og Hvordan Man Undgår Dem

Sarah Hofmann
By: Sarah Hofmann IT-sikkerhed | 17 februar

Hvordan vurderes størrelsen på en GDPR-bøde? Hvad er de største bøder i 2021? Hvorfor får virksomheder bøder? Og hvordan kan man undgå at få de samme bøder? Alt det forsøger vi at svare på i dette blogpost. Derfor er blogpostet også rimelig langt, så hvis du f.eks. kun er interesseret i, hvordan man kan undgå bøder, så kan det være en fordel at klikke i indholdsfortegnelsen og komme hurtigere til pointen.

Indholdsfortegnelse 

Regler for GDPR-bøder 

Bøder for GDPR-overtrædelser varetages af hvert lands tilsynsmyndighed. Her i Danmark er det altså Datatilsynet, der giver bøder. Datatilsynet er ansvarlig for at undersøge, at GDPR lovgivningen overholdes i Danmark, og kan derfor give bøder til virksomheder for ikke at overholde GDPR. Alle tilsynsmyndigheder håndhæver GDPR, men der er en vis variation i, hvordan forskellige tilsynsmyndigheder prioriterer overtrædelser.  

De agerer ud fra det samme sæt regler, men deres fokus på hvilke typer overtrædelser de kigger efter varierer. Reglerne siger at mindre alvorlige overtrædelser kan koste en virksomhed op til €10 mio. eller 2% af dens årlige omsætning, og at alvorligere overtrædelser kan koste helt op til €20 mio. eller 4% af dens årlige omsætning.

Fortolkningerne varierer fra tilsynsmyndighed til tilsynsmyndighed 

Selvom de er bundet af de samme GDPR principper, håndhæver tilsynsmyndighederne dem ikke altid på samme måde. Derfor er det vigtigt, at du holder øje med, hvilke ting din tilsynsmyndighed oftest tildeler bøder for. Hver tilsynsmyndighed har et begrænset antal ressourcer til at undersøge overholdelsen af GDPR og udstedelse af bøder. Nogle tilsynsmyndigheder bruger disse ressourcer til at udarbejde store sager mod store virksomheder, hvilket resulterer i færre, men større bøder. Andre tilsynsmyndigheder prioriterer måske efterforskning af overtrædelser i mindre skala, hvilket resulterer i flere bøder på mindre beløb, der normalt er rettet mod mindre virksomheder.

For eksempel kommer tilsynsmyndighederne i England, Irland og Luxembourg i nyhederne ved at udstede store og højt profilerede bøder. I den anden boldgade pålægger myndighederne i Italien og Spanien et større antal bøder, men for mindre beløb. Et godt udgangspunkt er at se på, hvordan netop din tilsynsmyndighed agerer. 

Størrelsen på din virksomhed har stor betydning 

Alle organisationer er forpligtet til at overholde GDPR, men størrelsen af bøden for GDPR-overtrædelser varierer alt efter virksomhedens størrelse. Da formuleringerne i GDPR kun opstiller maksimale bødebeløb for alvorlige og mindre alvorlige overtrædelser, giver det en stor fleksibilitet i udmålingen af bødebeløb. Udover grovheden af overtrædelsen vil tilsynsmyndigheden se på en virksomheds størrelse og indtægt, når der skal træffes en afgørelse om straffen for en overtrædelse. 

På grund af fleksibiliteten i bødebeløb lykkedes det mange virksomheder at forhandle sig frem til reducering af bødebeløb i 2020. Fleksibiliteten hjælper også med at sikre, at en mindre overtrædelse ikke konkursdømmer en virksomhed - men du bør stadig undgå bøder, eftersom en virksomheds overtrædelseshistorik kan påvirke nye bøders størrelse. 

Billede af Risiko-analyse skabelon

GDPR-bøder kommer i to niveauer 

Hvordan fastsættes bøderne så? Her vil vi dække de juridiske retningslinjer, som tilsynsmyndighederne bruger, når de evaluerer GDPR-overtrædelser og udsteder bøder.  

Den vigtigste retningslinje er, at alle GDPR-overtrædelser evalueres og bødepålægges i to forskellige kategorier, afhængigt af sagens alvor. De mere alvorlige overtrædelser medfører selvfølgelig en højere straf. Bøder for mindre alvorlige overtrædelser er begrænset til €10 mio. eller 2% af omsætningen, mens bøder for mere alvorlige overtrædelser ikke kan overstige €20 mio. eller 4% af omsætningen.   

Lad os komme yderligere ind på disse kategorier med lidt flere oplysninger om de typer af overtrædelser, der er forbundet med hvert niveau.   

Biggest GDPR fines 2021 - Infographic

Mindre alvorlige overtrædelser: Op til €10 mio. eller 2% af den globale årlige omsætning i det forrige år – det højeste beløb af de to gælder 

Overtrædelser som anses for værende mindre alvorlige af GDPR,  er primært relateret til databehandling og behandlingsgrundlag. Overtrædelser der falder ind under disse kategorier omfatter:

  • Børns samtykke (Paragraf 8) 

  • Behandling der ikke kræver identifikation (Paragraf 11) 

  • Databehandlere og -ansvarliges forpligtelser (Paragraf 25-39) 

  • Overvågningsorganernes (Paragraf 41) og certificeringsorganernes (Paragraf 42-43) ansvar for at føre gennemsigtige og upartiske evalueringsprocesser 

Foreksempel udstedte den ungarske databeskyttelsesmyndighed i 2020 en bøde på 55.000 til et rejsebureau (Robinson-Tours) for ikke at have anvendt passende foranstaltninger til at sikre beskyttelse af data. Manglen på passende beskyttelsesforanstaltninger resulterede i, at deres registrerede emners personlige data lå frit tilgængeligt i flere måneder på internettet. Robinson-Tours' databehandler var delvist skyld i eksponeringen af personlige oplysninger, og de modtog også en bøde, dog i form af et mindre beløb. Denne sag er et eksempel på, hvorfor det er vigtigt for dataansvarlige at sikre, at deres databehandlere har tilstrækkelige sikkerhedsforanstaltninger på plads.  

Alvorlige overtrædelser: Op til €20 mio. eller 4% af den globale årlige omsætning i det forrige år – det højeste beløb af de to gælder 

Det der adskiller disse overtrædelser fra de mindre alvorlige er, at disse er et resultat af handlinger, der går imod retten til privatlivets fred, som er det centrale omdrejningspunkt for GDPR. Overtrædelser der kan resultere i disse højere bøder, er relateret til: 

  • GDPR's grundlæggende behandlingsprincipper – behandling af persondata, lovlighed og særlige kategorier af persondata (Paragraf 5, 6 og 9) 

  • Betingelser for samtykke (Paragraf 7) 

  • Dataregistrerede personers rettigheder (Paragraf 12-22), for eksempel: 

  • Overførsel af data til en international organisation eller en modtager i et tredjeland (Paragraf 44-49) 

  • Overtrædelse af de individuelle medlemsstaters databeskyttelseslovgivning  

  • Manglende overholdelse af påbud fra en tilsynsmyndighed 

Foreksempel er en overtrædelse, der falder ind under den mere alvorlige kategori, WhatsApps manglende gennemsigtighed i databehandling. WhatsApp fik i 2021 en bøde på €225 millioner for at gøre deres håndtering af brugerdata uklar og svær at forstå. Da denne overtrædelse går imod et af de syv principper i GDPR, kategoriseres den som et alvorligt brud og resulterede i en massiv bøde.  

Kriterier der afgør bødens beløb 

Som tidligere nævnt tillader GDPR en del fleksibilitet i bødeudmåling, ved kun at opstille de maksimale bødebeløb, der kan udstedes. Når tilsynsmyndighederne har fastslået, hvilket niveau overtrædelsen hører under, skal de beslutte hvor stor bøden skal være. Bøden kan dog være et sted mellem €0-10 mio. eller €0-20 mio. (eller mellem 0% og 4% af en virksomheds årlige omsætning). Så hvordan afgører myndighederne, hvor stor en bøde skal være? 

For at vejlede tilsynsmyndigheder, indeholder GDPR følgende kriterier der bør overvejes ved fastsættelsen af den straf, en organisation skal modtage for en GDPR-overtrædelse: 

  • Alvorlighed og sagens natur: Hvad skete der og hvordan? Hvor mange mennesker blev påvirket, og hvor stor skade har de lidt? Hvor lang tid tog det at løse? 

  • Hensigt: Var det forsætligt eller et resultat af uagtsomhed? 

  • Afbødning: Virksomhedens forsøg på at afbøde de skader, som er blevet påført de registrerede dataemner 

  • Forebyggende foranstaltninger: Sikkerhedsforanstaltninger, som virksomheden havde på plads 

  • Historik: Tidligere overtrædelser af GDPR og Databeskyttelsesdirektivet  

  • Samarbejde: Graden af samarbejde med tilsynsmyndigheden i at identificere og råde bod på overtrædelsen 

  • Datakategori: Type af persondata der blev påvirket 

  • Underretning: Underrettede virksomheden proaktivt tilsynsmyndighederne om overtrædelsen? 

  • Certificering: Var virksomheden certificeret eller overholdt den adfærdskodekser? 

  • Skærpende/formildende faktorer: Yderligere forhold, der opstod som følge af overtrædelsen – for eksempel hvis virksomheden opnåede økonomiske gevinster ved overtrædelsen 

Hvis en organisation har flere GDPR-relaterede overtrædelser, vil virksomheden blive straffet for de mest alvorlige af disse. Men hvis overtrædelserne ikke er relateret til den samme behandlingsaktivitet, kan de blive idømt separate bøder.

Ved vurderingen af disse kriterier vil tilsynsmyndigheden være tilbøjelige til at udstede en større bøde, hvis virksomheden viser dårlige resultater i flere af kategorierne. Hvis virksomheden derimod har gjort en indsats for at overholde GDPR, vil en mindre bøde være mere tilbøjelig. Det vigtigste er altså, at man kan vise, at man har taget en aktiv beslutning og gjort en indsats

Andre overvejelser om økonomiske sanktioner i forbindelse med GDPR 

De dataansvarlige er ansvarlige for at sikre, at deres databehandlere opfylder alle krav 

Det er vigtigt at bemærke, at dataansvarlige er ansvarlige for de databehandlere, de bruger. Du bør altid arbejde med databehandlere, der har stærke sikkerhedsforanstaltninger og overholder GDPR, da dataansvarlige kan straffes for overtrædelser forårsaget af deres behandlere. Du bør altså kontrollerer om dine databehandlere overholder reglerne.  

Dataregistrerede personer kan anmode om erstatning 

Ud over de administrative bøder, der kan opkræves af datatilsynet, giver GDPR dataregistrerede personer mulighed for at søge erstatning fra organisationer, når de har oplevet skade som følge af organisationens GDPR-overtrædelse. Denne betingelse er beskrevet i Paragraf 82 i GDPR. Dette betyder at de økonomiske konsekvenser af en GDPR-overtrædelse for en virksomhed i nogle tilfælde kan være større end den pålagte bøde, hvis de dataregistrerede personer også anmoder om erstatning. Erstatningsanmodninger fra mange dataregistrerede personer kan øge den ressourcemæssige og økonomiske byrde af GDPR-overtrædelser, da det tager tid at gennemgå og eventuelt appellere erstatningsanmodningerne.  

Sådan håndhæves GDPR-overtrædelser 

Nu hvor vi har gennemgået alle reglerne omkring, hvordan bøder for GDPR-overtrædelser udstedes, så vil vi nu dække håndhævelsen af disse bøder i praksis. Vi starter med et overblik over de største GDPR-bøder, der er blevet udstedt i løbet af de sidste to år, og hvordan de kunne have været undgået. Derefter gennemgår vi tendenser for GDPR-bøder, og hvad det betyder for en gennemsnitlig virksomhed.  

De største GDPR-bøder fra 2021 

Den største GDPR-bøde til dato blev udstedt i 2021 af Luxembourgs nationale kommission for databeskyttelse, der idømte den amerikanske onlineforhandler Amazon en bøde på €746 millioner. 

1. plads - Amazon
Tilsynsmyndighed  Luxembourgs databeskyttelsestilsyn (CNPD).
Bøde (Straf)  746 mio. €  
Årsag  Amazon blev idømt en bøde for manglende efterlevelse af cookie samtykke. De appellerede bøden, som nu er i appelproces og derved ikke er offentligt tilgængelig.
Hvordan overtrædelsen og bøden kunne have været undgået  Tving ikke brugere til at acceptere cookies eller gøre det vanskeligt at fravælge dem. 
2. plads - Whatsapp Irland
Tilsynsmyndighed  Den Irske Databeskyttelseskommission (DPC).
Bøde (Straf)  225 mio.  
Årsag  WhatsApp Ireland Limited blev idømt en bøde for ikke at overholde gennemsigtighedskravene. WhatsApp har appelleret bøden.
Hvordan overtrædelsen og bøden kunne have været undgået 

Opgiv privatlivsinformationer i et format, der er let at tilgå og på det rigtige sprog. 

Forklar hvad dine legitime interesser er for hver databehandling.

3. plads - Notebooksbilliger.de (NBB)
Tilsynsmyndighed  Statskommissær for databeskyttelse i Niedersachsen. 
Bøde (Straf) 
10,4 mio.  
Årsag 
En tysk elektronikforhandler, notebooksbilliger.de (NBB), fik en bøde for sin brug af videoovervågning til at holde øje med medarbejdere og kunder.
Hvordan overtrædelsen og bøden kunne have været undgået 
Hvis du bruger videoovervågning, skal du sørge for at bruge det af en legitim grund og i et proportionelt omfang til et bestemt problem. 

De største GDPR-bøder fra 2020

Før 2021 var den største GDPR-bøde til dato, Frankrigs bøde på 50 mio. € udstedt til Google. Vi dækkede disse bøder mere detaljeret sidste år. 

1. plads - Google LLC
Tilsynsmyndighed  Frankrigs databeskyttelsesmyndighed (CNIL)
Bøde (Straf)  50 mio.  
Årsag  Google LLC fik en bøde for ikke i tilstrækkelig grad at forklare, hvordan de behandler data, og for ikke at have juridisk grundlag til at behandle data vedrørende personlig annoncering.
Hvordan overtrædelsen og bøden kunne have været undgået  Opgiv tilstrækkelige oplysninger i din samtykkepolitik og giv brugerne tilstrækkelig kontrol over, hvordan deres data behandles.
2. plads - H&M
Tilsynsmyndighed  Hamborgs databeskyttelsestilsynsmyndighed.
Bøde (Straf)  35,26 mio.
Årsag  En global detailforretning, H&M, fik en bøde for ikke at have tilstrækkelig juridisk støtte til behandling persondata .
Hvordan overtrædelsen og bøden kunne have været undgået 

Udøv dataminimering.  Behandel ikke personoplysninger, medmindre du har brug for det, især følsomme data om sundhed eller religiøse overbevisninger. Hvis du indsamler disse oplysninger, skal du have en streng adgangskontrol og brugsregler.

3. plads - Telecom
Tilsynsmyndighed  Italiens databeskyttelsestilsynsmyndighed (Garante) 
Bøde (Straf) 
27,8 mio.  
Årsag 
Den italienske teleoperatør Telecom Italia, fik en bøde for ikke i tilstrækkelig grad at forklare, hvordan de behandler data, og for ikke at have juridisk grundlag til at behandle data, mm. 
Hvordan overtrædelsen og bøden kunne have været undgået 
Administrer omhyggeligt lister over dataregistrerede personer. Opret og overhold til- og fravalg til markedsføring.

 Tendenser i GDPR-bøder og overholdelse 

Samlet set har der været en stigning i bødebeløbene, der er blevet udstedt for GDPR-brud. Ifølge DLA Pipers undersøgelse af europæiske tilsynsmyndigheder, udgjorde GDPR-bøderne næsten €1,1 milliarder i 2021 - et tal, der er næsten syv gange så stort som i 2020. Dette skyldes sandsynligvis værdistigningen af de største uddelte bøder, men det hænger også sammen med stigningen i de daglige underretninger om brud på datasikkerhed, som tilsynsmyndighederne modtager. Med flere brud på datasikkerhed har tilsynsmyndighederne endnu mere at undersøge og udstede bøder for. 

Det her skal du have styr på

De største bøder, der udstedes for GDPR-overtrædelser er typisk relateret til markedsføring, manglende sletning af persondata ved en persons anmodning, samt krav om at medarbejdere indsender biometriske data. Men hvad med de mest almindelige årsager til bøder? 

De mest almindelige årsager til GDPR-bøder i 2021 og 2020 var: 

  • Mangel på åben og tydelig kommunikation om databehandling 

  • Manglende påvisning af et retsgrundlag til behandling af persondata 

  • Manglende indførelse af passende sikkerhedsforanstaltninger 

  • Manglende underretning i tilfælde af brud på persondatasikkerheden 

  • Manglende overholdelse af krav til dataminimering og opbevaring 

Alt dette information om bøder og håndhævelse kan være overvældende. Men den gode nyhed er, at de mest almindelige årsager til GDPR-bøder er ret simple at administrere for en gennemsnitlig virksomhed. Med planlægning og en gennemgang af GDPR's krav, burde det ikke være for svært at undgå bøder for de mest almindelige fejl.

Sådan undgår du at modtage en GDPR-bøde 

De mest almindelige bødeformer viser, at barren ikke er sat vildt højt. Det bør derfor være muligt at undgå disse bøder med meget simple tiltag. Det vigtigste er, at I kommer igang med GDPR-arbejdet og laver aktive tiltag baseret på f.eks. risikovurderinger.

I bør sikre, at I har behandlingsgrundlag for det data I behandler, at I får det slettet, når I er færdige med det og kommunikerer tydeligt til jeres brugere, hvad I behandler og hvorfor. Det er altså relativt simple tiltag, der kan holde jer ude af søgelyset. 

Derudover viser bøder, at man skal have "passende sikkerhedsforanstaltninger", men hvad betyder det? Det er svært at svare på. Her er det bedste bud at følge med i de bøder, der bliver givet og årsagen til hvorfor de bliver givet. Hvis I har styr på de ting, som giver bøder i dag, så bør I kunne sove trygt om natten.

Forventninger til håndhævelse i 2022 

Ud over endnu et år med præcedens som kan danne grundlag for håndhævelse af GDPR, forventer DLA Piper også, at 2022 vil bringe nogle nye tendenser indenfor typer af bøder, som udstedes af tilsynsmyndighederne. De bøder, som DLA Piper forventer at se flere af i 2022, omfatter: 

  • Bøder relateret til uretmæssige dataoverførsler til tredjelande og internationale organisationer 

  • Bøder relateret til overholdelse af regler om cookies og andre sporingsteknologier 

  • Bøder rettet mod AdTech-sektoren 

Bøder relateret til uretmæssige dataoverførsler til tredjelande og internationale organisationer vil være noget, som man bør følge nøje i år, eftersom Schrems II-dommen for nylig fastsatte retningslinjer for disse overførsler. I hvilket omfang tilsynsmyndighederne udsteder bøder for disse dataoverførsler i det kommende år, vil give os indsigt i, hvordan virksomheder bør prioritere håndhævelse på dette område. 

Efterhånden som håndhævelsen af GDPR udvikler sig, bliver vi nødt til at vente og se, hvordan tilsynsmyndighederne i hvert land prioriterer overtrædelser i de kommende år. Tendenser i tidligere bøder og forventninger til 2022 kan dog give et indblik i, hvad vi kan forvente i år. 

Beskyt din organisation mod brud på datasikkerhed

Som nævnt er forebyggelse af brud på datasikkerheden en nem måde at undgå GDPR-bøder på. Brud på datasikkerheden skyldes oftest menneskelige fejl – for eksempel når en medarbejder ved et uheld klikker på en ondsindet e-mail. Derfor er en af de bedste strategier til at forhindre brud på datasikkerheden i din organisation, at træne dit team. Og da træning er et krav for overholdelse af GDPR, er træning en win-win. Du kan styrke din træningsindsats ved at introducere forskellige former for træning, såsom phishing-tests, og ved at fokusere på at skabe en stærk IT-sikkerhedskultur i din virksomhed.

Spotlight: Underretninger om brud på datasikkerhed pr. dag 

En måde at forudsige GDPR-bøder for det kommende år, er ved at se på antallet af underretninger om brud på datasikkerhed, som tilsynsmyndighederne dagligt modtager. Antallet af rapporterede daglige brud er steget hvert år siden vedtagelsen af GDPR, og det samme er antallet af GDPR-bøder.  

Her kan du se en tabel, der viser antallet af underretninger om databrud pr. indbygger, som tilsynsmyndighederne har modtaget i et par udvalgte lande. For nem sammenligning vises meddelelserne om brud pr. 100.000 indbyggere.  

 

Land 

Anmeldelser om brud pr. indbygger (mellem den 28. januar 2021 og den 27. januar 2022) 

Holland 

150.71 

Danmark 

130.60 

Tyskland* 

79.42 

Sverige

54.83 

Norge

44.12 

Storbritannien* 

14.14 

*Pr. kapitalværdi fra DLA Piper. Der forelå ikke brudstatistik for Tyskland og Storbritannien, så de blev ekstrapoleret i denne rapport.  

Da antallet af underretninger om databrud stiger, kan vi også forvente at se en stigning i antallet af bøder, som udstedes i 2022. De typer af bøder der udstedes i det kommende år, vil kun øge vores beredskab, imens vi alle forsøger at navigere i, hvordan GDPR-overtrædelser straffes. 

Hvad betyder dette for en gennemsnitlig virksomhed? 

Selvom de største bøder for GDPR-overtrædelser er dem, som kommer i nyhederne, bliver små og mellemstore virksomheder også stillet til ansvar for GDPR. Mens det er usandsynligt, at en mindre virksomhed modtager en massiv bøde, vil enhver bøde uden tvivl påvirke en virksomheds økonomi og omdømme.  

Mindre virksomheder bør prioritere overholdelse på de områder, der var fremtrædende årsager til bøder i 2020 og 2021. For eksempel bør en gennemsnitlig virksomhed opretholde passende sikkerhedsforanstaltninger, efterkomme principperne for gennemsigtighed og juridisk grundlag, underrette de relevante parter i tilfælde af databrud og praktisere dataminimering. Der bør lægges særlig vægt på medarbejderuddannelse, der reducerer sandsynligheden for brud, samt på internationale dataoverførsler.  

Selvom bøderne for GDPR-overtrædelser stiger, er der ingen grund til at panikke over GDPR-bøder. Vi er alle stadig ved at lære, hvordan bøder prioriteres, og tilsynsmyndighederne er stadig ved at etablere deres egne processer. Så længe du holder øje med de bøder, der udstedes i dit land og undgår den samme slags fejl, bør din virksomhed være sikker.  

Det kan nogle gange betale sig at erklære sig uenig i en bøde 

Mange af de største bøder, der er blevet pålagt for GDPR-overtrædelser, er i appelprocessen, og nogle virksomheder har haft succes med at appellere eller få reduceret beløbet på deres bøder. I 2020 lykkedes det mange virksomheder at reducere de bøder, de modtog - delvist på grund af de økonomiske problemer, som COVID-19-pandemien har medført. Selv i 2022 er GDPR-regulering dog stadig relativt nyt, hvilket medfører en god mængde juridisk usikkerhed. Hvis du har et rimeligt argument mod gyldigheden af en bøde, du modtager, kan det komme dig til gavn at erklære dig uenig i den. Du bør dog altid afveje omkostningerne ved en appel, mod den potentielle fordel du kan opnå, hvis bøden blev reduceret eller helt ophævet.  

Danmarks første GDPR-bøde: Den danske møbelkæde ILVA 

Nu, hvor vi har gennemgået retsgrundlaget for fastsættelsen af GDPR-bøder og tendenser for håndhævelse, så lad os fremhæve en interessant sag: Danmarks første GDPR-bøde udstedt til ILVA.  

I februar 2021 modtog den danske møbelkæde ILVA den første dom i Danmark, der krævede, at en organisation skulle betale en GDPR-bøde. ILVA fik en bøde på ca. €13.500 for unødigt at opbevare næsten 350.000 registreringer af persondata. Datatilsynet foreslog oprindeligt en større bøde, men retten kom frem til en reduceret bødesats, fordi det var selskabets første overtrædelse, og den involverede type af data gjorde overtrædelsen mindre alvorlig. 

Sagen om ILVA er et godt eksempel på, hvordan visse kriterier vurderes når man udmåler værdien af den økonomiske straf for brud på GDPR. Flere faktorer lå til ILVAs fordel, hvilket resulterede i en mindre bøde end oprindeligt. Disse faktorer var blandt andet en manglende forudgående overtrædelseshistorik og det faktum, at den involverede data ikke var personfølsomt, og ikke kunne tilgås af størstedelen af ILVA-medarbejdere. Der var heller ingen dokumenteret skade, på de påvirkede dataemner. Selvom ILVA stadig blev holdt ansvarlig for deres brud på GDPR, blev den endelige afgørelse mildere, fordi overtrædelsen ikke havde en væsentlig konsekvens for de involverede dataemner.

Afsluttende bemærkninger 

Vi håber, at dette indlæg fungerer som en nyttig vejledning i GDPR-regler og -bøder. Når det kommer til at undgå bøder, er en af de vigtigste ting, du kan gøre, at se på, hvordan din specifikke tilsynsmyndighed agerer. Ved at holde øje med, hvilke overtrædelser din tilsynsmyndighed prioriterer i forhold til bøder, kan du undgå lignende fejl. Husk, at vi alle stadig lærer om GDPR-håndhævelse, og at der er stor fleksibilitet i, hvordan afgørelser om straf foretages. 

Kontakt os endelig, hvis CyberPilots awareness- og phishing-træning kan supplere dit arbejde med at overholde GDPR.