De første bøder for brud på Persondataforordningen er nu udstedt - hvordan er niveauet?
I perioden op til den 25. maj 2018, var der i de fleste danske virksomheder og myndigheder stort fokus på at blive klar til den nye Persondataforordnings ikrafttrædelse. Det øgede dokumentationskrav medførte, at der skulle udarbejdes en tilbundsgående dokumentpakke med henblik på at dokumentere overholdelse af de nye regler.
Selvom Persondataforordningen på mange områder er en videreføring af de regler, vi allerede kendte, var der dog én faktor, som har medført, at motivationen for overholdelse af reglerne er steget markant, nemlig det (kraftigt) hævede bødeniveau. Fra at have opereret med bøder i størrelsesordenen 5.000-25.000 kr. bliver der nu talt om bøder på 10- og 20.000.000 EUR, eller 2%-4% af den årlige globale omsætning.
Nu er de første bøder for brud på Persondataforordningen udstedt i udlandet.
Hvad er bødeniveauet i udlandet?
I Portugal har datatilsynet CNPD udstedt en bøde på 400.000 EUR til et hospital for overtrædelse af Persondataforordningen. Bøden blev afgivet under henvisning til, at der var blevet givet adgang til patientdata til en langt større personkreds, end hvad der er i overensstemmelse med reglerne. Hospitalet havde 985 aktive lægeprofiler med adgang til patienternes sundhedsdata, selvom der kun var 296 ansatte læger på hospitalet. Dommen understreger vigtigheden i overholdelsen af principperne om fortrolighed og integritet, samt vigtigheden af at fokusere på dataminimering.
I Østrig er der givet en bøde på 4.800 EUR for uretmæssig videoovervågning i det offentlige rum, som følge af, at en butiks kamera i indgangspartiet var placeret således, at man også filmede en større del af et fortov. Det er værd at bemærke, at der ved udmålingen af bødens størrelse blev taget hensyn til, at der var tale om en iværksættervirksomhed med en indtjening på ca. 40.000 EUR om året, hvorfor det altså var proportionalitetsprincippet, som førte til, at man fastsatte bøden til 4.800 EUR.
I England har det britiske datatilsyn fremsendt en meddelelse til det canadiske selskab Aggregate IQ Data Services Ltd. med besked om at indstille brugen af EU-borgeres personoplysninger til analyseopgaver, samt målretning af markedsføring. Der er meddelt en 30 dages frist til opfyldelse af kravet, hvor det samtidigt understreges, at konsekvensen for manglende overholdelse er en bøde på op til 20.000.000 EUR eller 4% af den årlige omsætning, alt afhængigt af hvilket tal der er højest. Sagen er særligt interessant, da den trækker tråde til den meget omtalte sag med Facebook og Cambridge Analytica.
Hvornår lander de første bøder for brud på Persondatafordningen i Danmark?
I Danmark har vi endnu de første afgørelser til gode. Datatilsynets direktør Christina Angela Gulisano udtalte i august, at de første bøder efter Persondataforordningen ville lande i slutningen af efteråret. De første kontrolbesøg har fundet sted, og da det er blevet bestemt, at sagerne i første omgang skal indbringes for domstolene med henblik på at fastlægge en ensartet praksis, kan det forventes, at de første bøder ligger lidt længere ude i fremtiden.
Hvordan forbereder man sig på et kontrolbesøg?
Først og fremmest er det vigtigt, at man som privat virksomhed eller offentligt myndighed får foretaget en gennemgang af sin behandling af personoplysninger, hvis det ikke allerede er sket. På baggrund af denne gennemgang kan det afdækkes hvilke dokumenter, herunder politikker og procedurer, som er nødvendige at udarbejde.
Når Datatilsynet kommer på kontrolbesøg, er det nødvendigt at kunne bevise sin overholdelse af Persondataforordningen via dokumentation. Datatilsynet har udstukket en hjælpende hånd i forbindelse hermed ved at offentliggøre en række skemaer, som vil blive anvendt ved kontrolbesøgene. Disse skemaer giver et brugbart overblik over, hvad man som virksomhed skal kunne fremvise. Læs mere her.
I forbindelse med kontrolbesøg er det vigtigt at bemærke, at den største risiko for et besøg fra myndighederne ikke ligger i tilfældig udtrækning, men derimod i de situationer hvor en utilfreds kunde, medarbejder eller borger vælger at anmelde virksomheden eller myndigheden for en overtrædelse af reglerne.
På denne baggrund bør man, uanset størrelse, få inkorporeret de nye regler i virksomheden eller myndigheden.
Vi hjælper med den videre proces
Hvad enten du har behov for hjælp til at komme i gang med reglerne, eller har behov for assistance i forbindelse med et kontrolbesøg fra Datatilsynet kan vi altid hjælpe dig videre.
Vi har omfattende erfaring med Persondataforordningens regler og rådgiver på daglig basis virksomheder på tværs af alle brancher og myndigheder fra alle dele af landet.
Hvis du har spørgsmål til ovenstående eller behov for assistance, så kontakt:
Er du gået glip af vores øvrige nyheder? Fortvivl ej, du finder dem allesammen her