GDPR-bøder: Hvordan undgår man dem?
Gennemgang af love om databeskyttelse og potentielle bøder for overtrædelse af GDPR og andre love.
Håndtering af persondata er i dag en del af den daglige rutine for de fleste hjemmesider. Indsamling af brugeroplysninger gælder alt fra en enkel kontaktformular på en personlig hjemmeside til webshops, der indsamler data til brug i målrettet markedsføring. I alle tilfælde er det afgørende, at du beskytter dine brugeres data og overholder de love, der er fastsat på området.
Hvad sker der, hvis din hjemmeside ikke beskytter persondata? Det kan i værste fald medføre bøder. I denne artikel gennemgår vi konsekvenserne ved overtrædelse af love om databeskyttelse: hvilke love gælder, hvad indebærer en overtrædelse, hvilke bøder kan man få, og vigtigst af alt, hvordan man forebygger problemer, før det er for sent
Hvilke love gælder for databeskyttelse?
Før vi dykker ned i overtrædelser og bøder, tager vi en gennemgang af de grundlæggende regler, du skal følge vedrørende digital databeskyttelse.
Siden 2018 har den generelle databeskyttelsesforordning (GDPR) været gældende i hele Europa. Den regulerer alt vedrørende persondata og deres frie bevægelighed inden for Den Europæiske Union (EU) og Det Europæiske Økonomiske Samarbejdsområde (EØS).
I Danmark suppleres GDPR af databeskyttelsesloven. Datatilsynet er den danske tilsynsmyndighed, der er ansvarlig for at håndhæve reglerne.
Kort fortalt er fokus i både GDPR og den danske databeskyttelseslov at beskytte brugernes personlige data og regulere områder såsom:
- Samtykke til databehandling.
- Brugen af cookies på hjemmesider.
- Forpligtelsen til at have en klar og tydelig cookiepolitik og eventuelt en privatlivspolitik, der informerer brugerne om, hvordan deres data behandles.
Forskellige overtrædelser af GDPR og andre love om databeskyttelse
Overtrædelser af GDPR placeres typisk i tre niveauer: meget alvorlige, alvorlige og mindre. Lad os kort gennemgå hver enkelt:
Meget alvorlige overtrædelser
Meget alvorlige overtrædelser indebærer manglende overholdelse af grundlæggende regler. Eksempler omfatter:
- Behandling af personoplysninger uden samtykke eller uden at informere brugere om databehandling.
- Ulovlig behandling af data.
- Brug af personlige data til et andet formål end det, brugeren har givet sit samtykke til.
- Overførsel af personoplysninger til tredjelande uden tilstrækkelige sikkerhedsforanstaltninger.
- Hindring af myndigheders tilsyn.
Alvorlige overtrædelser
- Behandling af mindreåriges data uden samtykke fra forældre eller værge.
- Manglende implementering af sikkerhedsforanstaltninger ved behandling af data.
- Manglende vedtagelse af tekniske og organisatoriske foranstaltninger for at beskytte data i en virksomhed.
- Undladelse af at udpege en databeskyttelsesansvarlig (DPO), når det er påkrævet.
- Ignorering af forespørgsler fra databeskyttelsesmyndigheder.
- Overdragelse af databehandling til tredjepart uden en godkendt kontrakt.
- Manglende indberetning af sikkerhedsbrud til myndighederne.
Mindre overtrædelser
- Undladelse af at informere brugerne korrekt om brugen af deres personlige data.
- Ignorering af brugeres anmodninger vedrørende deres data.
- Undladelse af at underrette myndighederne om et databrud inden for den krævede tidsramme.
- Undladelse af at besvare brugeres forespørgsler angående dataadgang, rettelser eller slettelse.
- Kræve betaling af brugere, der ønsker adgang til deres personlige data.
- Ikke at offentliggøre kontaktoplysninger til den databeskyttelsesansvarlig
Bøder for overtrædelse af love om databeskyttelse
Fordi databeskyttelseslove værner om retten til privatliv og beskyttelse af personlige data, kan overtrædelser have alvorlige konsekvenser for både enkeltpersoner og virksomheder.
Både GDPR og databeskyttelsesloven kan idømme databehandlere bøder på op til 20 millioner euro eller 4 % af deres samlede globale omsætning for meget alvorlige overtrædelser. For alvorlige overtrædelser kan bøderne være på op til 300.000 euro, mens mindre overtrædelser kan medføre bøder på op til 40.000 euro.
Yderligere sanktioner kan omfatte midlertidig suspension eller forbud mod databehandling samt forpligtelsen til at implementere korrigerende sikkerhedsforanstaltninger.
Bøderne fastsættes af databeskyttelsesmyndigheden (Datatilsynet i Danmark) og varierer afhængigt af, hvor alvorlig overtrædelsen bedømmes at være. Faktorer, der tages i betragtning, omfatter:
- Omfanget af skaden, overtrædelsen har medført.
- Mængden af påvirket data.
- Typen af data.
- Hvorvidt mindreåriges data blev kompromitteret.
- Om den skyldige har tidligere overtrædelser.
- Om den skyldige er villig til at samarbejde med myndighederne.
- Foranstaltninger, den skyldige vedtager for at udbedre skaden.
Eksempler på bøder for overtrædelse af GDPR
Flere store techvirksomheder har fået bøder for overtrædelse af GDPR. Den højeste bøde, der nogensinde er blevet udstedt, blev udstedt til Meta for overtrædelse af flere love på tværs af deres tjenester. (Facebook, Instagram, WhatsApp). Ifølge Statista fik Facebook en bøde på 1,2 milliarder euro i maj 2023.
På denne side kan du læse mere om bøder udstedt til databehandlere i de enkelte EU-lande.
I Danmark er det Datatilsynet, der fører tilsyn med overholdelsen af GDPR og databeskyttelsesloven. Selvom bøderne i Danmark ikke altid er lige så høje som i nogle andre EU-lande, er der stadig eksempler på virksomheder, der har fået store bøder for overtrædelser.
Eksempler på danske GDPR-bødesager
- Taxa 4×35: I 2019 fik Taxa 4×35 en bøde på 1,2 millioner kroner for at have opbevaret personoplysninger i længere tid end nødvendigt.
- Arp-Hansen Hotel Group: Denne danske hotelkæde blev i 2023 idømt en bøde på 1 million kroner af Østre Landsret for manglende sletning af kundeprofiler. Det er dog ikke kun store virksomheder, der risikerer bøder.
Datatilsynet er også opmærksom på små og mellemstore virksomheder, der overtræder databeskyttelsesloven, og har i flere tilfælde udstedt bøder til SMV’er.
Her er en række eksempler på overtrædelser, der kan medføre bøder for små virksomheder:
- Mangelfuld information om brug af data: Selv en mindre virksomhed, der arrangerer events, kan blive idømt bøder, hvis de ikke tydeligt angiver på deres hjemmeside, hvordan de indsamler og bruger personlige oplysninger.
- Deling af persondata uden samtykke: En håndværker, såsom en blikkenslager, maler eller tømrer kan risikere bøder, hvis de deler kunders persondata, fx i en videresendt e-mail, uden samtykke.
- Opbevaring af data længere end aftalt: En lille webshop, der indsamler kundedata som navne, adresser, e-mailadresser og købshistorik, skal have en klar politik for, hvor længe disse opbevares. Overskrides denne tidsfrist, kan webshoppens ejer risikere bøder.
Hvordan undgår man at overtræde GDPR og databeskyttelsesloven?
En af de første ting, du skal sørge for, når du opretter en hjemmeside, er politikker, der tydeligt forklarer dine besøgende, hvordan du indsamler og bruger data.
Det kan lyde overvældende, men du behøver faktisk ikke at betale for juridisk rådgivning for at udarbejde de nødvendige politikker til din hjemmeside. Komplette compliance-løsninger som Termly kan gøre en stor del af arbejdet for dig ved at generere al den nødvendige juridiske dokumentation til din hjemmeside på få minutter, herunder:
- Slutbrugeraftaler.
- Håndtering af cookiesamtykke
- Privatlivspolitikker
- Vilkår og betingelser
Når din hjemmeside er live, er det afgørende, at du behandler data korrekt. Data Management Association (DAMA) er en global nonprofitorganisation dedikeret til datastyring. På deres hjemmeside kan du læse alt om bedste praksis, når det gælder om at forebygge overtrædelse af databeskyttelsesloven og undgå bøder, herunder:
- Udarbejd fortrolighedspolitikker, der beskytter kunders og ansattes data.
- Fastsæt adgangskontrol, der sikrer, at kun autoriseret personale behandler fortrolig information.
- Begræns dataindsamling – anmod kun om nødvendig information.
- Overvåg datasikkerhed for at forhindre utilsigtede ændringer.
- Hav en reaktionsplan klar i tilfælde af databrud eller cyberangreb.
- Sørg for løbende at træne ansatte i vigtigheden af databeskyttelse.
- Gennemfør regelmæssige sikkerhedstjek i din virksomhed.
Databeskyttelse opbygger kundetillid
Sammenfattende kan overtrædelse af GDPR og databeskyttelsesloven have store konsekvenser for virksomheder og enkeltpersoner. At beskytte persondata handler dog ikke kun om at overholde loven. Det er også en mulighed for at opbygge tillid og styrke forholdet til kunder og brugere. Ved at prioritere datasikkerhed udviser du ansvar, gennemsigtighed og respekt for dine brugeres privatliv.
