De Største GDPR-Bøder fra 2023 og tidligere år - Og Hvordan Man Undgår Dem
Hvordan vurderes størrelsen på en GDPR-bøde? Hvad var de største bøder sidste år? Hvorfor får virksomheder bøder? Og hvordan kan man undgå at få de samme bøder? Alt det forsøger vi at svare på i dette blogpost. Derfor er blogpostet også rimelig langt, så hvis du f.eks. kun er interesseret i, hvordan man kan undgå bøder, så kan det være en fordel at klikke i indholdsfortegnelsen og komme hurtigere til pointen.
Indholdsfortegnelse
- Regler for GDPR-bøder
- GDPR-bøder kommer i to niveauer
- Sådan håndhæves GDPR-overtrædelser
- De største GDPR-bøder fra 2023
- De største GDPR-bøder fra 2022
- De største GDPR-bøder fra 2021
- De største GDPR-bøder fra 2020
- 2023 - endnu et rekord år for GDPR bøder
- Forventninger til håndhævelse i 2024
- Sådan undgår du at modtage en GDPR-bøde
- Spotlight: Underretninger om brud på datasikkerhed pr. dag
- Hvad betyder dette for en gennemsnitlig virksomhed?
Regler for GDPR-bøder
Bøder for GDPR-overtrædelser varetages af hvert lands tilsynsmyndighed. Her i Danmark er det altså Datatilsynet, der indstiller bøder. Datatilsynet er ansvarlig for at undersøge, at GDPR lovgivningen overholdes i Danmark, og kan derfor give bøder til virksomheder for ikke at overholde GDPR. Alle tilsynsmyndigheder håndhæver GDPR, men der er en vis variation i, hvordan forskellige tilsynsmyndigheder prioriterer overtrædelser.
De agerer ud fra det samme sæt regler, men deres fokus på hvilke typer overtrædelser de kigger efter varierer. Reglerne siger at mindre alvorlige overtrædelser kan koste en virksomhed op til €10 mio. eller 2% af dens årlige omsætning, og at alvorligere overtrædelser kan koste helt op til €20 mio. eller 4% af dens årlige omsætning. Det er altså overtrædelsens karakter der bestemmer bødens størrelse.
Fortolkningerne varierer fra tilsynsmyndighed til tilsynsmyndighed
Selvom de er bundet af de samme GDPR principper, håndhæver tilsynsmyndighederne dem ikke altid på samme måde. Derfor er det vigtigt, at du holder øje med, hvilke ting din tilsynsmyndighed oftest tildeler bøder for. For eksempel, de GDPR-brud der oftest er bliver tildelt bøder, og hvilke typer af virksomheder som bliver straffet. Hver tilsynsmyndighed har et begrænset antal ressourcer til at undersøge overholdelsen af GDPR og udstedelse af bøder. Nogle tilsynsmyndigheder bruger disse ressourcer til at udarbejde store sager mod store virksomheder, hvilket resulterer i færre, men større bøder. Andre tilsynsmyndigheder prioriterer måske efterforskning af overtrædelser i mindre skala, hvilket resulterer i flere bøder på mindre beløb, der normalt er rettet mod mindre virksomheder.
For eksempel kommer tilsynsmyndighederne i England, Irland og Luxembourg i nyhederne ved at udstede store og højt profilerede bøder. I den anden boldgade pålægger myndighederne i Italien og Spanien et større antal bøder, men for mindre beløb. Et godt udgangspunkt er at se på, hvordan netop din tilsynsmyndighed agerer.
Størrelsen på din virksomhed har stor betydning
Alle organisationer er forpligtet til at overholde GDPR, men størrelsen af bøden for GDPR-overtrædelser varierer alt efter virksomhedens størrelse. Da formuleringerne i GDPR kun opstiller maksimale bødebeløb for alvorlige og mindre alvorlige overtrædelser, giver det en stor fleksibilitet i udmålingen af bødebeløb. Udover grovheden af overtrædelsen vil tilsynsmyndigheden se på en virksomheds størrelse og globale omsætning, når der skal træffes en afgørelse om straffen for en overtrædelse.
På grund af fleksibiliteten i bødebeløb kan mange virksomheder at forhandle sig frem til reducering af bødebeløb i 2020. Fleksibiliteten hjælper også med at sikre, at en mindre overtrædelse ikke konkursdømmer en virksomhed - men du bør stadig undgå bøder, eftersom en virksomheds overtrædelseshistorik kan påvirke nye bøders størrelse. Vi har en guide til, hvordan du kan sikre at din organisation er GDPR compliant.
GDPR-bøder kommer i to niveauer
Hvordan fastsættes bøderne så? Her vil vi dække de juridiske retningslinjer, som tilsynsmyndighederne bruger, når de evaluerer GDPR-overtrædelser og udsteder bøder.
Den vigtigste retningslinje er, at alle GDPR-overtrædelser evalueres og bødepålægges i to forskellige kategorier, afhængigt af sagens alvor. De mere alvorlige overtrædelser medfører selvfølgelig en højere straf. Bøder for mindre alvorlige overtrædelser er begrænset til €10 mio. eller 2% af omsætningen, mens bøder for mere alvorlige og grove overtrædelser ikke kan overstige €20 mio. eller 4% af årlig omsætning.
Lad os komme yderligere ind på disse kategorier med lidt flere oplysninger om de typer af overtrædelser, der er forbundet med hvert niveau.
Mindre alvorlige overtrædelser: Op til €10 mio. eller 2% af den globale årlige omsætning i det forrige år – det højeste beløb af de to gælder
Overtrædelser som anses for værende mindre alvorlige af GDPR, er primært relateret til databehandling og behandlingsgrundlag. Overtrædelser der falder ind under disse kategorier omfatter:
-
Børns samtykke (Paragraf 8)
-
Behandling der ikke kræver identifikation (Paragraf 11)
-
Databehandlere og -ansvarliges forpligtelser (Paragraf 25-39)
-
Overvågningsorganernes (Paragraf 41) og certificeringsorganernes (Paragraf 42-43) ansvar for at føre gennemsigtige og upartiske evalueringsprocesser
For eksempel udstedte den ungarske databeskyttelsesmyndighed i 2020 en bøde på €55.000 til et rejsebureau (Robinson-Tours) for ikke at have anvendt passende foranstaltninger til at sikre beskyttelse af data. Manglen på passende beskyttelsesforanstaltninger resulterede i, at deres registrerede emners personlige data lå frit tilgængeligt i flere måneder på internettet. Robinson-Tours' databehandler var delvist skyld i eksponeringen af personlige oplysninger, og de modtog også en bøde, dog i form af et mindre beløb. Denne sag er et eksempel på, hvorfor det er vigtigt for dataansvarlige at sikre, at deres databehandlere har tilstrækkelige sikkerhedsforanstaltninger på plads.
Alvorlige overtrædelser: Op til €20 mio. eller 4% af den globale årlige omsætning i det forrige år – det højeste beløb af de to gælder
Det der adskiller disse overtrædelser fra de mindre alvorlige er, at disse er et resultat af handlinger, der går imod retten til privatlivets fred, som er det centrale omdrejningspunkt for GDPR. Overtrædelser der kan resultere i disse højere bøder, er relateret til:
-
GDPR's grundlæggende behandlingsprincipper – behandling af persondata, lovlighed og særlige kategorier af persondata (Paragraf 5, 6 og 9)
-
Betingelser for samtykke (Paragraf 7)
-
Dataregistrerede personers rettigheder (Paragraf 12-22), for eksempel:
-
Overførsel af data til en international organisation eller en modtager i et tredjeland (Paragraf 44-49)
-
Overtrædelse af de individuelle medlemsstaters databeskyttelseslovgivning
-
Manglende overholdelse af påbud fra en tilsynsmyndighed
Foreksempel er en overtrædelse, der falder ind under den mere alvorlige kategori, WhatsApps manglende gennemsigtighed i databehandling. WhatsApp fik i 2021 en bøde på €225 millioner for at gøre deres håndtering af brugerdata uklar og svær at forstå. Da denne overtrædelse går imod et af de syv principper i GDPR, kategoriseres den som et alvorligt brud og resulterede i en massiv bøde.
Kriterier der afgør bøden for GDPR-brud
Som tidligere nævnt tillader GDPR en del fleksibilitet i bødeudmåling, ved kun at opstille de maksimale bødebeløb, der kan udstedes. Når tilsynsmyndighederne har fastslået, hvilket niveau overtrædelsen hører under, skal de beslutte hvor stor bøden skal være. Bøden kan dog være et sted mellem €0-10 mio. eller €0-20 mio. (eller mellem 0% og 4% af en virksomheds årlige omsætning). Så hvordan afgør myndighederne, hvor stor en bøde skal være?
For at vejlede tilsynsmyndigheder, indeholder GDPR følgende kriterier der bør overvejes ved fastsættelsen af den straf, en organisation skal modtage for en GDPR-overtrædelse:
-
Alvorlighed og sagens natur: Hvad skete der og hvordan? Hvor mange mennesker blev påvirket, og hvor stor skade har de lidt? Hvor lang tid tog det at løse?
-
Hensigt: Var det forsætligt eller et resultat af uagtsomhed?
-
Afbødning: Virksomhedens forsøg på at afbøde de skader, som er blevet påført de registrerede dataemner
-
Forebyggende foranstaltninger: Sikkerhedsforanstaltninger, som virksomheden havde på plads
-
Historik: Tidligere overtrædelser af GDPR og Databeskyttelsesdirektivet
-
Samarbejde: Graden af samarbejde med tilsynsmyndigheden i at identificere og råde bod på overtrædelsen
-
Datakategori: Type af persondata der blev påvirket
-
Underretning: Underrettede virksomheden proaktivt tilsynsmyndighederne om overtrædelsen?
-
Certificering: Var virksomheden certificeret eller overholdt den adfærdskodekser?
-
Skærpende/formildende faktorer: Yderligere forhold, der opstod som følge af overtrædelsen – for eksempel hvis virksomheden opnåede økonomiske gevinster ved overtrædelsen
Hvis en organisation har flere GDPR-relaterede overtrædelser, vil virksomheden blive straffet for de mest alvorlige af disse. Men hvis overtrædelserne ikke er relateret til den samme behandlingsaktivitet, kan de blive idømt separate bøder.
Ved vurderingen af disse kriterier vil tilsynsmyndigheden være tilbøjelige til at udstede en større bøde, hvis virksomheden viser dårlige resultater i flere af kategorierne. Hvis virksomheden derimod har gjort en indsats for at overholde GDPR, vil en mindre bøde være mere tilbøjelig. Det vigtigste er altså, at man kan vise, at man har taget en aktiv beslutning og gjort en indsats.
Ved at se på IBM’s rapport om de faktiske omkostninger ved et brud i 2023, er det muligt at estimere omkostninger ved et databrud.
Andre overvejelser om økonomiske sanktioner i forbindelse med GDPR
Som du har læst indtil videre, er der mange ting som påvirker, hvor store GDPR-bøderne er. Her er der nogle andre ting du kan overveje.
De dataansvarlige er ansvarlige for at sikre, at deres databehandlere opfylder alle krav
Det er vigtigt at bemærke, at dataansvarlige er ansvarlige for de databehandlere, de bruger. Du bør altid arbejde med databehandlere, der har stærke sikkerhedsforanstaltninger og overholder GDPR, da dataansvarlige kan straffes for overtrædelser forårsaget af deres behandlere. Du bør altså kontrollerer om dine databehandlere overholder reglerne.
Dataregistrerede personer kan anmode om erstatning
Ud over de administrative bøder, der kan opkræves, giver GDPR dataregistrerede personer mulighed for at søge erstatning fra organisationer, når de har oplevet skade som følge af organisationens GDPR-overtrædelse. Denne betingelse er beskrevet i Paragraf 82 i GDPR. Dette betyder at de økonomiske konsekvenser af en GDPR-overtrædelse for en virksomhed i nogle tilfælde kan være større end den pålagte bøde, hvis de dataregistrerede personer også anmoder om erstatning. Erstatningsanmodninger fra mange dataregistrerede personer kan øge den ressourcemæssige og økonomiske byrde af GDPR-overtrædelser, da det tager tid at gennemgå og eventuelt appellere erstatningsanmodningerne.
Sådan håndhæves GDPR-overtrædelser
Nu hvor vi har gennemgået alle reglerne omkring, hvordan bøder for GDPR-overtrædelser udstedes, så vil vi nu dække håndhævelsen af disse bøder i praksis. Vi starter med et overblik over de største GDPR-bøder, der er blevet udstedt i løbet af de sidste tre år, og hvordan de kunne have været undgået. Derefter gennemgår vi tendenser for GDPR-bøder, og hvad det betyder for en gennemsnitlig virksomhed.
De største GDPR-bøder i 2023
Den største GDPR-bøde i 2023 var endnu engang til Meta. De fik den for at overføre data fra EEA til USA uden at kunne garantere beskyttelse af data. Bøden følger Schrems II afgørelsen.
Den anden største bøde gik også til Meta, men den tredje største gik til en ny spiller. Den fik TikTok for ikke at behandle børns data korrekt. Aldersverifikationen fungerede ikke korrekt og videoer og kommentarer blev automatisk posted og var sat til som default. Hvilket går imod GDPR's retningslinjer, når det omhandler børn.
Alle 3 bøder blev givet af den Irske databeskyttelseskommision.
1. Plads- Meta | |
Tilsynsmyndighed | Den Irske Databeskyttelseskommission (DPC) |
Bøde (Straf) | €1,2 milliarder |
Reason | Ulovlig overførsel af data fra EU til USA |
Hvordan bøden kunne have været undgået | Hold din data på europæiske servere. |
2. Plads - Meta |
|
Tilsynsmyndighed | Den Irske Databeskyttelseskommission (DPC) |
Bøde (Straf) | €390 millioner |
Reason | Et databrud + forkert brug af informeret samtykke for at køre adfærdsbaserede annoncer. |
Hvordan bøden kunne have været undgået | Beskyt jeres systemer or processer for databrud + vær sikker på at samtykke er gældende til jeres brug |
3. Plads - TikTok | |
Tilsynsmyndighed | Den Irske Databeskyttelseskommission (DPC). |
Bøde (Straf) | €345 millioner |
Reason | TikTok behandlede børns persondata på ulovlig vis. De beskyttede ikke børnenes interesse og havde default settings sat til, som f.eks. kommentarfelter, som ikke bør være default på børnekonti. |
Hvordan bøden kunne have været undgået | Følg GDPR-reglerne for brug af børns persondata. |
De største GDPR-bøder fra 2022
De største GDPR bøder fra 2022 viser os at Irish Data Protection Commission har været rundhåndet, når de har givet bøder ud. De tre største GDPR bøder var givet af the Irish data protection authority og de var alle målrettet en virksomhed – Meta. Metas bøder på GDPR brud lød på mere end €880 millioner I 2022 inden for Facebook og Instagram. Så det GDPR bøderne fra 2022 fortæller os, er at store virksomheder som Meta er brugt som et eksempel for andre virksomheder, der behandler personlig data.
1. plads - Meta | |
Tilsynsmyndighed | Den Irske Databeskyttelseskommission (DPC). |
Bøde (Straf) | €405 millioner |
Årsag | Meta var straffet med bøde for at håndterer børns brugerdata på Instagram forkert. |
Hvordan bøden kunne have været undgået | De kunne have holdt konti og data af unge bruger private by default. |
2. plads - Meta |
|
Tilsynsmyndighed | Den Irske Databeskyttelseskommission (DPC). |
Bøde (Straf) | $265 millioner |
Årsag | Data bruddet resulterede I at over 500 millioner af Facebook brugeres data blev offentliggjort. |
Hvordan overtrædelsen og bøden kunne have været undgået |
Beskyt systemer fra uautoriseret dataskrabning. |
3. plads - Notebooksbilliger.de (NBB) | |
Tilsynsmyndighed | Den Irske Databeskyttelseskommission (DPC). |
Bøde (Straf) |
€210 millioner |
Årsag |
Meta brugte tvunget samtykke til at opnå Facebook-brugeres godkendelse til at bruge deres data til målrettede annoncer. Den 4. højeste bøde (€180 millioner) blev også givet til Meta for den samme GDPR-overtrædelse på Instagram. |
Hvordan overtrædelsen og bøden kunne have været undgået |
Giv tilstrækkelig klarhed om databehandling for adfærdsannoncer og have et juridisk grundlag. |
De største GDPR-bøder fra 2021
Den største GDPR-bøde til dato blev udstedt i 2021 af Luxembourgs nationale kommission for databeskyttelse, der idømte den amerikanske onlineforhandler Amazon en bøde på €746 millioner.
1. plads - Amazon | |
Tilsynsmyndighed | Luxembourgs databeskyttelsestilsyn (CNPD). |
Bøde (Straf) | €746 millioner |
Årsag | Amazon blev idømt en bøde for manglende efterlevelse af cookie samtykke. |
Hvordan overtrædelsen og bøden kunne have været undgået | Tving ikke brugere til at acceptere cookies eller gøre det vanskeligt at fravælge dem. |
2. plads - Whatsapp Irland |
|
Tilsynsmyndighed | Den Irske Databeskyttelseskommission (DPC). |
Bøde (Straf) | €225 millioner |
Årsag | WhatsApp Ireland Limited blev idømt en bøde for ikke at overholde gennemsigtighedskravene. WhatsApp har appelleret bøden. |
Hvordan overtrædelsen og bøden kunne have været undgået |
Opgiv privatlivsinformationer i et format, der er let at tilgå og på det rigtige sprog. Forklar hvad dine legitime interesser er for hver databehandling. |
3. plads - Notebooksbilliger.de (NBB) | |
Tilsynsmyndighed | Statskommissær for databeskyttelse i Niedersachsen. |
Bøde (Straf) |
€10,4 millioner |
Årsag |
En tysk elektronikforhandler, notebooksbilliger.de (NBB), fik en bøde for sin brug af videoovervågning til at holde øje med medarbejdere og kunder. |
Hvordan overtrædelsen og bøden kunne have været undgået |
Hvis du bruger videoovervågning, skal du sørge for at bruge det af en legitim grund og i et proportionelt omfang til et bestemt problem. |
De største GDPR-bøder fra 2020
Før 2021 var den største GDPR-bøde til dato, Frankrigs bøde på €50 millioner udstedt til Google.
1. plads - Google LLC | |
Tilsynsmyndighed | Frankrigs databeskyttelsesmyndighed (CNIL) |
Bøde (Straf) | €50 millioner |
Årsag | Google LLC fik en bøde for ikke i tilstrækkelig grad at forklare, hvordan de behandler data, og for ikke at have juridisk grundlag til at behandle data vedrørende personlig annoncering. |
Hvordan overtrædelsen og bøden kunne have været undgået | Opgiv tilstrækkelige oplysninger i din samtykkepolitik og giv brugerne tilstrækkelig kontrol over, hvordan deres data behandles. |
2. plads - H&M |
|
Tilsynsmyndighed | Hamborgs databeskyttelsestilsynsmyndighed. |
Bøde (Straf) | €35,26 millioner |
Årsag | En global detailforretning, H&M, fik en bøde for ikke at have tilstrækkelig juridisk støtte til behandling persondata . |
Hvordan overtrædelsen og bøden kunne have været undgået |
Udøv dataminimering. Behandel ikke personoplysninger, medmindre du har brug for det, især følsomme data om sundhed eller religiøse overbevisninger. Hvis du indsamler disse oplysninger, skal du have en streng adgangskontrol og brugsregler. |
3. plads - Telecom | |
Tilsynsmyndighed | Italiens databeskyttelsestilsynsmyndighed (Garante) |
Bøde (Straf) |
€27,8 millioner |
Årsag |
Den italienske teleoperatør Telecom Italia, fik en bøde for ikke i tilstrækkelig grad at forklare, hvordan de behandler data, og for ikke at have juridisk grundlag til at behandle data, mm. |
Hvordan overtrædelsen og bøden kunne have været undgået |
Administrer omhyggeligt lister over dataregistrerede personer. Opret og overhold til- og fravalg til markedsføring. |
2023 - endnu et rekord år for GDPR-bøder
I 2023 fortsatte tendensen med stigende bøder for GDPR-overtrædelser. Ifølge DLA Pipers undersøgelse af europæiske tilsynsmyndigheder, udgjorde GDPR-bøderne næsten 1,72 milliarder euro i 2023. Det er en smule højere end de 1.62 milliarder euro i 2022.
Året før var stigningen fra år til år meget større. Den mindre stigning skyldes, at der har været flere succesfulde appel-sager, hvor bøder er blevet reduceret og inflationen har også spildet ind på størrelsen af bøder.
Samme antal databrud bliver rapporteret
DLA Piper ser ikke en stigning i antallet af databrud, der bliver indrapporteret fra 2022 til 2023. Der bliver i gennemsnit rapporteret 335 brud om dagen.
Der er blevet set allerflest databrud-rapporteringer i Tyskland, Holland og Polen.
Hvilke GDPR-overtrædelser straffes mest?
Et godt sted at starte når du vil undgå GDPR bøder er ved, at kigge på, hvilke brud der oftest straffes for. GDPR-bøder i 2022 fokuserede på ad-tech og målrettet reklame. Den samme tendens var at spotte i 2023. Det handlede i høj grad om basale principper indenfor GDPR, men også "personaliseret indhold".
De irske DPC-bøder mod Meta for adfærdsbaserede reklamer på Facebook og Instagram viser stigende opmærksomhed på forholdet mellem internetbrugere og tech-virksomheder. De finansielle modeller for sociale medievirksomheder som Meta tillader "gratis" brug af deres platforme i bytte for deres brugeres data, hvilket muliggør målrettet reklame. Denne udveksling af personlige data for brug af en online service har eksisteret i årevis og er nu i centrum for GDPR-debatterne. DPC var uenig om nogle dele af beslutningen, så håndhævelsen af GDPR omkring målrettet reklame vil være noget at holde øje med i de kommende år. For er den ultra-personaliserede målretning nødvendig? Det mener det den irske databeskyttelseskommision ihvertfald ikke.
Fokus på overtrædelser af artikel 5 i GDPR
Ligesom sidste år, bliver brud på artikel 5 i GPDR ofte håndhævet i 2023. Principperne om lovlighed, retfærdighed og gennemsigtighed samt principperne om integritet og fortrolighed bliver håndhævet ofte. Derudover bliver overtrædelser af principperne om privatliv og manglende dokumentation af en lovlig grund for databehandling prioriteret af tilsynsmyndighederne.
De mest almindelige årsager til GDPR-bøder siden 2020 er:
-
Mangel på åben og tydelig kommunikation om databehandling
-
Manglende påvisning af et retsgrundlag til behandling af persondata
-
Manglende indførelse af passende sikkerhedsforanstaltninger
-
Manglende underretning i tilfælde af brud på persondatasikkerheden
-
Manglende overholdelse af krav til dataminimering og opbevaring
Alt denne information om GDPR brud og bøder og håndhævelse kan være overvældende. Men den gode nyhed er, at de mest almindelige årsager til GDPR-bøder er ret simple at administrere for en gennemsnitlig virksomhed. Med planlægning og en gennemgang af GDPR's krav, burde det ikke være for svært at undgå bøder for de mest almindelige fejl.
Forventninger til håndhævelse i 2024
I deres 2023 bøde og data brud rapport, er det tydeligt, at DLA Piper også forventer, at 2024 vil bringe nogle nye tendenser indenfor typer af bøder, som udstedes af tilsynsmyndighederne.
Dyre bøder fra Luxemborg og Irland
Historisk set er Irland og Luxembourg de datatilsynsmyndigheder, der har udstedt de højeste GDPR-bøder (husker du Luxembourgs bøde på € 746 millioner til Amazon i 2021?)
Fremadrettet kan vi forvente, at disse to lande vil være hotspot for håndhævelse - og for store GDPR-bøder - fordi det er her, at mange tech-virksomheder opretter deres europæiske operationer.
Sådan undgår du at modtage en GDPR-bøde
De mest almindelige bødeformer viser, at barren ikke er sat vildt højt. Det bør derfor være muligt at undgå disse bøder med meget simple tiltag. Det vigtigste er, at I kommer igang med GDPR-arbejdet og laver aktive tiltag baseret på f.eks. risikovurderinger.
I bør sikre, at I har behandlingsgrundlag for det data I behandler, at I får det slettet, når I er færdige med det og kommunikerer tydeligt til jeres brugere, hvad I behandler og hvorfor. Det er altså relativt simple tiltag, der kan holde jer ude af søgelyset.
Derudover viser bøder, at man skal have "passende sikkerhedsforanstaltninger", men hvad betyder det? Det er svært at svare på. Her er det bedste bud at følge med i de bøder, der bliver givet og årsagen til hvorfor de bliver givet. Hvis I har styr på de ting, som giver bøder i dag, så bør I kunne sove trygt om natten.
Beskyt din organisation mod brud på datasikkerhed
Som nævnt er forebyggelse af brud på datasikkerheden en nem måde at undgå GDPR-bøder på. Brud på datasikkerheden skyldes oftest menneskelige fejl – for eksempel når en medarbejder ved et uheld klikker på en ondsindet e-mail. Derfor er en af de bedste strategier til at forhindre brud på datasikkerheden i din organisation, at træne dit team. Og da træning er et krav for overholdelse af GDPR, er træning en win-win. Du kan styrke din træningsindsats ved at introducere forskellige former for træning, såsom phishing-tests, og ved at fokusere på at skabe en stærk IT-sikkerhedskultur i din virksomhed.
Spotlight: Underretninger om brud på datasikkerhed pr. dag - Danmark topper listen
En måde at forudsige GDPR-bøder for det kommende år, er ved at se på antallet af underretninger om brud på datasikkerhed, som tilsynsmyndighederne dagligt modtager.
Her kan du se en tabel, der viser antallet af underretninger om databrud pr. indbygger, som tilsynsmyndighederne har modtaget i et par udvalgte lande. For nem sammenligning vises meddelelserne om brud pr. 100.000 indbyggere.
Danmark topper listen i 2023 over databrud pr. 100.000 indbygger, men vi er ikke et af de lande, der giver flest bøder ud.
Land |
Anmeldelser om brud pr. 100.000 indbyggere i 2023 |
Danmark |
203,82 |
Lichstenstein |
130,02 |
Irland |
129,83 |
Holland |
115,87 |
Finland |
102,53 |
Luxembourg |
65,69 |
Norge |
49,05 |
Det er sandsynligt, at de daglige brudnotifikationer falder på grund af manglende rapportering i stedet for en faktisk nedgang i databrud. Så i 2024 vil vi holde øje med, hvordan tilsynsmyndighederne straffer GDPR-overtrædelser i forbindelse med kravet om at underrette myndighederne om databrud med persondata.
Hvad betyder dette for en gennemsnitlig virksomhed?
Selvom de største bøder for GDPR-brud er dem, som kommer i nyhederne, bliver små og mellemstore virksomheder også stillet til ansvar for GDPR. Mens det er usandsynligt, at en mindre virksomhed modtager en massiv bøde, vil enhver bøde uden tvivl påvirke en virksomheds økonomi og omdømme.
Mindre virksomheder bør prioritere overholdelse på de områder, der var fremtrædende årsager til bøder i 2020 og 2021. For eksempel bør en gennemsnitlig virksomhed opretholde passende sikkerhedsforanstaltninger, efterkomme principperne for gennemsigtighed og juridisk grundlag, underrette de relevante parter i tilfælde af databrud og praktisere dataminimering. Der bør lægges særlig vægt på medarbejderuddannelse, der reducerer sandsynligheden for brud, samt på internationale dataoverførsler.
Selvom bøderne for GDPR-overtrædelser stiger, er der ingen grund til at panikke over GDPR-bøder. Vi er alle stadig ved at lære, hvordan bøder prioriteres, og tilsynsmyndighederne er stadig ved at etablere deres egne processer. Så længe du holder øje med de bøder, der udstedes i dit land og undgår den samme slags fejl, bør din virksomhed være sikker.
Det kan nogle gange betale sig at erklære sig uenig i en bøde
Mange af de største bøder, der er blevet pålagt for GDPR-overtrædelser, er i appelprocessen, og nogle virksomheder har haft succes med at appellere eller få reduceret beløbet på deres bøder. I 2020 lykkedes det mange virksomheder at reducere de bøder, de modtog - delvist på grund af de økonomiske problemer, som COVID-19-pandemien har medført. Selv i 2024 er GDPR-regulering dog stadig relativt nyt, hvilket medfører en god mængde juridisk usikkerhed. Hvis du har et rimeligt argument mod gyldigheden af en bøde, du modtager, kan det komme dig til gavn at erklære dig uenig i den. Du bør dog altid afveje omkostningerne ved en appel, mod den potentielle fordel du kan opnå, hvis bøden blev reduceret eller helt ophævet.
Afsluttende bemærkninger
Vi håber, at dette indlæg fungerer som en nyttig vejledning i GDPR-regler og -bøder. Når det kommer til at undgå bøder, er en af de vigtigste ting, du kan gøre, at se på, hvordan din specifikke tilsynsmyndighed agerer. Ved at holde øje med, hvilke overtrædelser din tilsynsmyndighed prioriterer i forhold til bøder, kan du undgå lignende fejl. Husk, at vi alle stadig lærer om GDPR-håndhævelse, og at der er stor fleksibilitet i, hvordan afgørelser om straf foretages.
Kontakt os endelig, hvis CyberPilots awareness- og phishing-træning kan supplere dit arbejde med at overholde GDPR.
Ofte stillede spørgsmål
Hvad er brud på GDPR?
Brud på GDPR henviser til overtrædelser af EU's databeskyttelsesforordning, herunder behandling af personoplysninger uden samtykke, manglende overholdelse af rettigheder for registrerede personer og manglende implementering af passende sikkerhedsforanstaltninger for personoplysninger.
Hvad er straffen for ikke at overholde GDPR?
Hvis man ikke overholder GDPR-reglerne, kan der udstedes bøder på op til 4% af virksomhedens globale omsætning eller op til 20 millioner euro - alt efter hvad der er højst. Der kan også være andre sanktioner og retlige følger afhængigt af den konkrete situation. Det er vigtigt at følge GDPR-reglerne for at undgå alvorlige konsekvenser.
Hvordan anmelder man brud på GDPR?
Persondata må kun behandles af personer eller organisationer, der har et lovligt grundlag for at gøre det, og kun til specifikke formål. Dette inkluderer normalt den registrerede person selv og organisationer, der har brug for disse data til at udføre deres lovlige opgaver eller serviceydelser. I Danmark anmeldes brud til Datatilsynet.
You will receive inspiration, tools and stories about good cyber security practice directly in your inbox. Our newsletter is sent out approximately once a month.