Myter og fakta om GDPR-bøder og Datatilsynet

Gå tilbage

Myter og fakta om GDPR-bøder og Datatilsynet

Internettet flyder med informationer om persondataforordningen, og der findes mange selvudnævnte eksperter på området.  Det kan være svært at finde ud af, hvad der er fakta og hvad der er myter. Nedenfor rydder vi lidt op i de myter og fakta der er på området.

Bøderne er virkelige! – men de lader vente på sig…

Indtil videre er der kun blevet uddelt ganske få bøder i Europa i forbindelse med persondataforordningen. Det er på sin vis betryggende, særligt når bødestørrelserne tages i betragtning. Ud fra de få bøder, der er blevet udstedt, kan vi dog blive lidt klogere på bødestørrelserne.

I slutningen af november 2018 blev den tyske chathjemmeside ”Knuddles.de” idømt en bøde på € 20.000,00 svarende til kr. 150.000,00 for et databrud, hvor 330.000 brugeres personoplysninger blev lækket. Bøden var relativt beskeden i forhold til de varslede millionbøder, men til historien hører med, at ”Knuddles.de” straks anerkendte databruddet og gjorde alt, hvad de kunne for at assistere det tyske datatilsyn i sagen. Så heldige var det portugisiske hospital ”Centro Hospitalar Barreiro Montijo” ikke, da de i november modtog 2 bøder på i alt € 400.000,00 svarende til omkring 3 millioner kroner. Også Google modtog den 21. januar 2019 en bøde fra det franske datatilsyn på astronomiske 50 millioner euro svarende til omkring 373 millioner danske kroner.

Senest modtog et lille Ungarsk firma en bøde på € 3.135,00 svarende til kr. 23.512,50. Bøden blev udstedt, fordi det ungarske firma nægtede at lade en registreret udøve sine rettigheder, hvorefter firmaet blev indklaget for det ungarske datatilsyn. Selvom kr. 23.512,50 er et relativt beskedent beløb, svarede beløbet til 6,5% af virksomhedens netto omsætning, og var dermed en stor bøde for det lille firma. Bøden illustrerer, at selv små virksomheder kan komme i problemer, såfremt de ikke overholder lovgivningen.

Vi har endnu ikke set nogle bøder fra det danske datatilsyn, og det er der en god grund til.

Datatilsynet udsteder ikke bøder – det gør politiet.

En udbredt misforståelse er, at det er Datatilsynet som udsteder bøderne i Danmark. Det gør de ikke! Bøderne udstedes af politiet, hvilket kun sker efter, at politiet har sigtet og senere tiltalt den dataansvarlige for brud på lovgivningen. Typisk sker politiets sigtelse dog på baggrund af en politianmeldelse fra Datatilsynet, og det forventes også, at Datatilsynet får en aktiv rolle i politiets efterforskning. De første politianmeldelser i Danmark blev sendt til politiet i 2018, hvor eksempelvis den danske terapi-portal ”Gomentor” blev politianmeldt af Datatilsynet for brud på datasikkerheden.

Mere kendt og interessant er Datatilsynets politianmeldelse af taxaselskabet 4×35, hvor Datatilsynet har indstillet selskabet til en bøde på kr. 1.200.000,00 for brud på GDPR. Helt konkret havde selskabet gemt knap 9 millioner oplysninger om personhenførbare taxature, som burde havde været slettet efter 2 år. Du kan læse Datatilsynets udtalelse om sagen her.

Hos WTC advokaterne forventer vi, at 2019 vil give større indsigt i det danske bødeniveau. 4×35 sagen har givet et billede af, hvilket bødeniveau Datatilsynet forventer. Men sagen er endnu ikke afgjort af politiet eller domstolene, hvorfor vi må vente og se, hvor stor bøden ender med at blive. Vi ved dog allerede fra vores dialog med Datatilsynet, at der er en klar forventning til, at bødeniveauet vil følge det, som vi har set fra andre europæiske lande.

Når Datatilsynet kommer på besøg

De kriminelle har udnyttet forvirringen rundt omkring i de danske virksomheder, og der er eksempler på, at kriminelle har udgivet sig for at være fra Datatilsynet, for at få adgang til virksomheders lokaler.

I sommeren 2018 blev Datatilsynet kontaktet, da en læge havde haft et suspekt uanmeldt besøg fra Datatilsynet. Det viste sig, at de 2 tilsynsførende slet ikke var fra Datatilsynet, men var kriminelle der prøvede at få adgang til virksomhedens data. På baggrund af dette udsendte Datatilsynet efterfølgende denne meddelelse:

Når vi kommer på tilsynsbesøg, har vi i almindelige sager meldt vores ankomst i forvejen. Vi foreviser billedlegitimation fra Datatilsynet og er i øvrigt klædt i civil. Hvis man alligevel skulle være i tvivl om et tilsynsbesøg er et forsøg på snyderi, er man velkommen til at ringe til os og dobbelttjekke.”

Banker Datatilsynet en dag på din dør for et lave et uanmeldt tilsyn, bør du derfor være påpasselig. Vi anbefaler, at du altid ringer og bekræfter tilsynet hos Datatilsynet. Bliver du kontaktet om et reelt tilsyn, anbefaler vi, at du tager kontakt til din advokat, så du kan blive forberedt på det kommende tilsyn og få dokumentationen i orden.

Vil du læse mere om tilsyn og Datatilsynets fokusområder til de kommende tilsyn, kan du gøre det på Datatilsynets hjemmeside,

Har du spørgsmål?

Vil du høre mere om hvordan du undgår at komme i Datatilsynets og politiets søgelys, er du velkommen til at kontakte os.

Kontakt en ekspert på området

Har du spørgsmål vedrørende GDPR eller persondata, er du meget velkommen til at kontakte os.

Få mere viden

9 måneder med GDPR – Hvad har vi lært?

Årets ord i 2018 blev ”hvidvask”, men for langt de fleste danske virksomheder var det ord som GDPR, persondataforordningen og databehandleraftaler, der fyldte mest. Læs her, hvilke hovedkonklusioner vi kan drage ud fra de erfaringer, vi har fået.

Læs mere »