Udgivelsesdato: 18. juni 2019

GDPR - bøderegn på vej?

Hvordan var det nu lige med GDPR - EU persondataforordningen? Det er jo relativt længe siden, at den blev indført, og hvad er status egentlig? Skal du og din virksomhed fortsat tænke mere over den?

Svaret er ja! Datatilsynet er ved at lægge op til en række sager,og i Danmark er Taxaselskabet 4x35 meldt til Politiet med et bødekrav på 1,2 millioner kroner.

 

GDPR3

Der er ligeledes eksempler fra en række andre sager i EU, hvor bødestørrelserne er meget forskellige, og hvor der i nogle tilfælde også er taget hensyn til et meget aktivt samarbejde imellem landets datamyndigheder og det berørte firma.

 

Store og små bøder

Vi har set bødestørrelser på 50 millioner euro fra det franske datatilsyn til google og 6,5% af nettoomsætningen i bøde til et firma i Ungarn. 

Tyske firmaer er heller ikke gået ram forbi, og i Danmark har datatilsynet truffet afgørelser i en række sager om alt fra Rejsekortet, video i vaskehaller, teleselskabers optagelse af kunders samtaler til undervisningsbrug over pensionsselskaber til gymnasier. Ja,selv SKAT er med på listen.

At der falder afgørelser er ikke det samme som, at der udstedes bøder. Datatilsynet kan ikke udstede bøder. I Danmark er det Politiets opgave, og de gør det først efter at have sigtet den dataansvarlige for lovbrud.

 

Undskyldningerne står forgæves i kø

I flere af indsigelserne inden afgørelserne fra Datatilsynet, har virksomheder i Danmark gjort gældende som et argument, at det var besværligt, tidskrævende og ikke teknisk muligt at efterleve GDPR. 

Svarene og afgørelserne fra Datatilsynet er enkle: Drop undskyldninger og hensigtserklæringer. Gør det muligt eller undlad at gøre det.

Det er altså ikke en formildende omstændighed, at eksempelvis en del af virksomhedens interne systemer baserer deres søgefunktioner på personoplysninger, som eksempelvis et telefonnummer. Det viser sagen fra Taxa 4x35. 

Du kan læse afgørelser fra Datatilsynet her

 

Reglerne gælder alle virksomheder

Enhver behandling af andres personoplysninger, der ikke sker i en rent privat sammenhæng, skal ske i overensstemmelse med reglerne på databeskyttelsesområdet.

Personoplysninger er enhver form for information, der kan henføres til en bestemt person, også selvom personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger.

 

Hvornår finder reglerne anvendelse?

I følge Datatilsynet så finder Databeskyttelsesreglerne altid anvendelse, når du behandler personoplysninger. Det er derfor afgørende at være opmærksom på, hvornår du udfører en behandling af oplysninger om andre. Du vil nemlig ofte have forpligtelser efter reglerne og være ansvarlig for beskyttelsen af oplysningerne.

En behandling kan efter databeskyttelsesforordningen omfatte enhver håndtering af personoplysninger, herunder indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

 

Er du fortsat uafklaret på, om din organisation har styr på GDPR?

➤ Læs mere om GDPR eller kontakt vores eksperter for spørgsmål.

➤ Få overblik i vores 6 trins guide.

Tilmeld dig vores nyhedsmail og modtag vores GDPR-miniordbog direkte i din indbakke.

 

 

➤ Ny kunde? - Hos Dansk Revision er første møde altid gratis!

➤ Find din lokale revisor fra Dansk Revision.

 


Indholdet af denne artikel er kun information af generel karakter, og kan derfor ikke erstatte professionel rådgivning. Derfor bør indholdet ikke lægges til grund for økonomiske dispositioner.