GDPR-sanktioner: Du skal forvente disse bøder
Overtrædelse af GDPR kan resultere i alvorlige sanktioner. I denne artikel forklarer vi, hvilke bøder du kan forvente.
GDPR-sanktioner: hvad afhænger bøderne?
Den generelle databeskyttelsesforordning har været i kraft siden maj 2018. Det er meningen, at det skal regulere databeskyttelse ensartet i hele EU, og på samme tid har forårsaget en masse ild og frygt. Dette skyldes ikke kun de komplicerede regler, men også de forestående strafferetlige foranstaltninger i tilfælde af overtrædelser.
- Tilsynsmyndigheden pålægger bøder. I Tyskland er denne opgave ansvaret for databeskyttelsesansvarlig i den respektive føderale stat.
- Tilsynsmyndigheden har omfattende undersøgelses- og afhjælpsbeføjelser. Det kan således få et omfattende billede af overholdelse af GDPR blandt ansvarlige parter og processorer. Det kan også udsende advarsler og ordreforanstaltninger, såsom afhjælpe lovlige overtrædelser eller forhindre databehandling.
- Hvis tilsynsmyndigheden pålægger bøder, kan den gøre det i stedet for eller ud over dets afhjælpende beføjelser.
- Ved fastsættelsen af straffens størrelse skal tilsynsmyndigheden for databeskyttelse vurdere og tage hensyn til nogle omstændigheder. Disse er for eksempel overtrædelsens art og sværhedsgrad, og hvor længe den har været i gang.
- Det er også vigtigt, om der allerede er truffet foranstaltninger for at afhjælpe problemet, hvor godt samarbejdet med tilsynsmyndigheden er, og om der tidligere har været overtrædelser.
Bøder for overtrædelse af controllerens forpligtelser
Forskrifterne om bøder findes i artikel 83 i GDPR. Princippet gælder, at bøder skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.
- I tilfælde af overtrædelse af forpligtelserne for den ansvarlige eller forarbejdningsvirksomheden forfalder bøder på op til 10 mio. EUR eller for virksomheder op til to procent af den verdensomspændende omsætning året før. Det højere beløb tæller.
- Det samme gælder, hvis certificeringsorganer eller kontrolorganer overtræder deres forpligtelser.
- Eksempler er, at der ikke er nogen liste over behandlingsaktiviteter, at sikkerhedsforanstaltningerne til databehandling er utilstrækkelige, eller at virksomhedens databeskyttelsesansvarlige ikke udfører sine opgaver korrekt.
- Dette inkluderer også overholdelse af kravet om, at børn kun får tilladelse til databehandling fra 16-årsalderen. I øvrigt havde dette også indflydelse på brugen af Facebook og WhatsApp.
Krænkelse af databehandlingsprincipper
Sanktionerne er endnu sværere, hvis de grundlæggende bestemmelser i databehandlingen overtrædes. Spørgsmålet her er, om data overhovedet kan indsamles og behandles, og om bestemmelserne hertil er overholdt.
- De, der behandler data, selv om de faktisk ikke har tilladelse til det, kan forvente bøder på op til 20 millioner euro eller op til fire procent af virksomhedens omsætning i det foregående år. Det højere beløb gælder også her.
- Enhver, der er imod en instruktion fra tilsynsmyndigheden, må forvente de samme bøder.
- Der er for eksempel lovovertrædelser i denne kategori, hvis data behandles uden den registreredes forudgående samtykke, eller hvis den registreredes rettigheder krænkes.
- Dette kan allerede være tilfældet, hvis en virksomhed ikke overholder sin forpligtelse til at give oplysninger til de berørte om databehandling, eller hvis der ikke er noget sletningskoncept. Registrerede har ret til at blive glemt, hvis formålet med databehandling ikke længere finder anvendelse.
- De samme sanktioner pålægges, hvis personlige data overføres til tredjelande eller internationale organisationer, og hvis der ikke tages hensyn til GDPR-afsnit, der specifikt er fastsat for dem.
Hvis du driver dit eget websted, skal du implementere alle kravene i GDPR med særlig omhu. Ellers risikerer du at blive fanget i dårlige advarselsfirmaer, der er mindre optaget af databeskyttelse end med at tjene penge. Læs, hvad du skal overveje som webstedsoperatør i den følgende artikel.