Det koster det at overtræde GDPR

Overtrædelse af GDPR – hvad koster det?

Databeskyttelsesforordningen har været anvendt siden 25. maj 2018, og den varslede en markant forhøjelse af sanktionsniveauet, men hvad er der egentlig sket siden?

Ved en gennemgang af de afgørelser som Datatilsynet har offentliggjort, efter at databeskyttelsesforordningen fik anvendelse, kan der drages minimum to konklusioner: 

  • Datatilsynet bruger hele sanktionsskalaen
  • Husk at slette data korrekt og rettidigt

Sanktionsskalaen

En overtrædelse af databeskyttelseslovgivningen er ikke nødvendigvis ensbetydende med en stor bøde.

Langt de fleste sager bliver afgjort ved diverse former for advarsler, kritik, påbud eller forbud. Kun et fåtal ender i bødesager. Men bliver det til en bødesag, så kan bøderne blive store. Den største bøde, som Datatilsynet har indstillet til, er på 1,5 mio. kr.

Husk at slette data korrekt og rettidigt

Der er pt. offentliggjort fem sager, hvor datatilsynet indstiller til, at en privat virksomhed idømmes en bøde. De tre (klart) største bøder er indstillet som følge af manglende sletning af data. Her har datatilsynet indstillet til bøder i størrelsesordenen 1,1 – 1,5 mio. kr. 

I kontrast hertil vedrører de andre to sager uberettiget videregivelse af personoplysninger (indstillet til 150.000 kr. i bøde) og sletning af personoplysninger efter at den registrerede havde anmodet om indsigt heri (50.000 kr.).

Penta Advokater forventer

Overtrædelserne, som Datatilsynet støder på, er særdeles forskelligartede. Det er derfor yderst positivt, at Datatilsynet forholder sig konkret til overtrædelserne og lader dette afspejle sig i sanktionerne.

I tråd med databeskyttelsesforordningen bliver overtrædelse af de grundlæggende principper for behandling af persondata sanktioneret hårdt. Dette udmønter sig meget klart, når virksomhederne ikke får slettet persondata korrekt og rettidigt, hvilket er en overtrædelse af princippet om opbevaringsbegrænsning. 

Politiet har indtil videre valgt at følge Datatilsynets indstillinger og rejst tiltale mod virksomhederne for idømmelse af bøden i de to ældste sager. Vi forventer også, at politiet følger Datatilsynets indstilling i de tre øvrige sager.

Mere usikkert er det, om domstolene fastholder niveauet eller om der fremkommer formildende omstændigheder. Sikkert er det dog, at vi alle kan blive klogere, når domstolene har truffet afgørelse, men der går sandsynligvis noget tid endnu, da det må forventes, at de første sager, uanset udfaldet, bliver anket til Landsretten. 

Spørgsmål?

Hvis du er i tvivl om, hvorvidt I behandler persondata korrekt, eller i øvrigt har spørgsmål til databeskyttelsesreglerne, er du velkommen til at kontakte advokat Henrik Norup.

Vil du vide mere?