Gemt

Første GDPR-bøde er sendt af sted flere er på vej

26. november 2018

Et tysk datingsite er blevet idømt en bøde på 20,000 Euro, og danske GoMentor er anmeldt til politiet af Datatilsynet.

En dansk onlineportal for samtaleterapi – GoMentor - er blevet politianmeldt af Datatilsynet for brud på behandlingssikkerheden. En programmeringsfejl havde angiveligt betydet, at fire personer har fået adgang til hinandens følsomme personoplysninger (helbredsoplysninger).

For nylig blev et tysk datingsite idømt en bøde på 20.000 Euro for brud på behandlingssikkerheden efter GDPR. I den sag havde hackere i sommer stjålet 330.000 brugeres data, herunder adgangskoder og e-mailadresser, og lagt dem offentligt frem. Virksomheden havde opbevaret adgangskoder i klar tekst i stedet for krypteret. Domstolen mente, at der var formildende omstændigheder i sagen, bl.a. fordi virksomheden havde arbejdet med at leve op til reglerne i GDPR, at virksomheden i samarbejde med myndigheden havde forbedret sikkerheden, og fordi virksomheden havde medvirket ved sagens opklaring.

”Mange har fået det indtryk, at virksomhederne altid får en bøde på flere millioner kroner ved overtrædelse af GDPR, men det er en konkret vurdering, og den tyske sag viser, at formildende  omstændigheder kan få indflydelse på bødens størrelse,” forklarer jurist Tina Morell.

Behandling af straffesagerne

Når Datatilsynet konstaterer en overtrædelse af GDPR, bliver virksomheden hørt og får lejlighed til at udtale sig. Derefter tager Datatilsynet stilling til, om sagen er så grov, at den skal politianmeldes. Politianmeldes en sag, vil politiet efterforske sagen og afhøre virksomheden. Derefter sendes sagen tilbage til Datatilsynet, som får lejlighed til at udtale sig om bl.a. bødens størrelse. Herefter vil anklagemyndigheden normalt indbringe sagen for retten, som afsiger en dom.

Datatilsynet har modtaget rigtig mange indberetninger om brud på persondatasikkerheden, men Tina Morell forventer, at der vil gå noget tid, før vi ser de første domme i Danmark.

”Selvom alle involverede parter formentlig vil have fokus på at køre de første sager hurtigt igennem systemet for at få fastlagt praksis, vil det tage noget tid, før vi ser de første domme for overtrædelse af GDPR i Danmark.”

Bøderne

Set i lyset af tidligere dansk praksis, introducerer GDPR kæmpe bøder. Overtrædelse af bl.a. bestemmelsen om behandlingssikkerhed kan straffes med bøder på op til 10.000.000 Euro eller 2% af virksomhedens samlede globale omsætning. (Det der er højst)

Overtrædelse af bl.a. bestemmelserne om de registreredes rettigheder, de grundlæggende principper for behandling af personoplysninger og reglerne om overførsel af personoplysninger til lande uden for EU og EØS straffes med bøder på op til 20.000.000 Euro eller 4% af virksomhedens samlede globale omsætning. (Det der er højst)

Formildende omstændigheder spiller ind på bøden

Formildende omstændigheder vil have indflydelse ved udmåling af en bøde. Det fremgår direkte af forordningen, at bødeudmålingen sker på baggrund af en konkret vurdering, hvor domstolen bl.a. kan lægge vægt på,

  • Overtrædelsens karakter, alvor og varighed, antallet af registrerede, der er berørt, og omfanget af skaden.
  • Om overtrædelsen er begået forsætligt (bevidst) eller uagtsomt (om der er noget at bebrejde virksomheden).
  • Hvad virksomheden har gjort for at begrænse skaden.
  • Om virksomheden har samarbejdet med Datatilsynet for at afhjælpe overtrædelsen eller begrænse skaden.
  • Om det er følsomme eller almindelige personoplysninger, der er berørt.
  • Om virksomheden selv har anmeldt overtrædelsen eller har holdt den skjult for Datatilsynet.
  • Om virksomheden tidligere er straffet for overtrædelse af persondatareglerne.

Pligt til at anmelde brud på persondatasikkerheden

Efter GDPR skal brud på persondatasikkerheden anmeldes til Datatilsynet senest 72 timer efter, at den dataansvarlige er blevet bekendt med bruddet. Anmeldelse foretages via Virk.dk. Manglende anmeldelse kan i værste fald straffes med bøde. Det kan også være en skærpende omstændighed i forbindelse med udmåling af en bøde for overtrædelse af GDPR.

Datatilsynet har allerede modtaget rigtig mange indberetninger om brud på persondatasikkerheden. Nogle har ført til en løftet pegefinger og andre har ført til, at Datatilsynet har indledt en nærmere undersøgelse af sagen.

Læs om anmeldelse af brud på persondatasikkerheden

Artiklen blev oprindeligt publiceret på fdih.dk