GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Artikel 58 i GDPR

Konsekvenser af en overtrædelse af GDPR

Hvis en virksomhed overtræder EU’s generelle forordning om databeskyttelse (GDPR), risikerer virksomheden store økonomiske konsekvenser. Ikke kun på grund af eventuelle bøder udstedt af tilsynsmyndigheden eller erstatning, der skal betales til registrerede, der har lidt skade som følge af bruddet. 

Princippet om ansvarlighed

Virksomheder har en forpligtelse til at påvise, at de overholder reglerne i GDPR i overensstemmelse med princippet om ansvarlighed. Dette princip er reguleret i databeskyttelsesforordningens artikel 5, stk.2. Princippet om ansvarlighed er et af de syv (7) grundlæggende databeskyttelsesprincipper i GDPR, som virksomheder skal overholde. Med andre ord er det ikke en registreret eller databeskyttelsesmyndighed, der skal påvise, at virksomheden overtræder GDPR. Tværtimod er det virksomheden, der skal bevise, at den overholder GDPR. 

Indvirkning på varemærket

Overtrædelser af GDPR kan også have en negativ indvirkning på virksomhedens brand, hvis det viser sig, at virksomheden ikke har fulgt reglerne. Dette kan igen føre til økonomiske konsekvenser, såsom tabt omsætning og forretningsforbindelser.

What breaches of the GDPR can lead to an administrative fine?

Straf på flere hundrede millioner

En virksomhed skulle betale over 300 millioner euro i bøder for sine overtrædelser af GDPR. Dette blev besluttet af den irske databeskyttelsesmyndighed, efter at Det Europæiske Databeskyttelsesråd havde truffet afgørelse i sagen. Oplysningerne om behandlingen var f.eks. ikke klare nok. Bemærk, at kravene til klarhed er højere, når de registrerede er børn. 

Eksempler på forskellige handlinger, som virksomheder kan tage for at bevise overholdelse af GDPR

Virksomheden skal træffe flere forskellige foranstaltninger for at kunne bevise, at virksomheden overholder reglerne i GDPR. Det kan f.eks. gøres ved at:

A

Træffe passende organisatoriske og tekniske sikkerhedsforanstaltninger for at beskytte behandlede personoplysninger. De foranstaltninger, der træffes, bør dokumenteres skriftligt og ajourføres efter behov.

B

Fastlægge og gennemføre skriftlige interne procedurer for at overholde de registreredes rettigheder.

C

Etablere og ajourføre sine registre over behandlingsaktiviteter (ROPA) i overensstemmelse med artikel 30 i GDPR.

Ud over disse eksempler er der mange flere foranstaltninger, som virksomhederne bør og bør gennemføre for at opfylde deres ansvar i henhold til princippet om ansvarlighed samt for at dokumentere overholdelse af GDPR. 

Konsekvenser af overtrædelse af GDPR

Konsekvenserne af brud på GDPR afhænger af flere faktorer. F.eks. hvor alvorlig overtrædelsen er, og hvilke foranstaltninger virksomheden har truffet både før tilsynet, men også i mellemtiden og efterfølgende. Desuden spiller virksomhedens størrelse en rolle i vurderingen, og hvilke personoplysninger behandlingen vedrører. Tilsynsmyndighederne har mange forskellige beføjelser i henhold til databeskyttelsesforordningens artikel 58. 

Nedenfor kan du læse om eksempler på konsekvenser i tilfælde af overtrædelse af bestemmelsen i GDPR:

Measures that companies need to take to comply with GDPR

Irettesættelse

Hvis en tilsynsmyndighed vurderer, at overtrædelsen ikke er så alvorlig, kan den udstede en irettesættelse. Det er en form for skriftlig advarsel eller bemærkning, og er en mildere straf end en bøde. Udstedte irettesættelser udgør imidlertid et offentligt dokument, der offentliggøres, hvilket kan have en negativ indvirkning på virksomhedens brand.

Sensitive personal data according to GDPR

Straf

En bøde er en bøde, som tilsynsmyndighederne kan udstede til virksomheder for overtrædelse af GDPR. I tilfælde af en alvorlig overtrædelse af GDPR kan bøden beløbe sig til højst 20 mio. EUR eller 4 % af virksomhedens samlede årlige omsætning på verdensplan (den højeste af mulighederne) fra det foregående regnskabsår. Bemærk venligst, at dette ikke er et beløb, som registrerede modtager, da virksomheden skal betale denne bøde til staten.

Subjektivt integritetskänsliga personuppgifter

Skadeserstatning

Det kan være muligt for registrerede at kræve erstatning i tilfælde af brud på persondatasikkerheden. På den anden side skal den registrerede kræve erstatning adskilt fra det tilsyn, der udføres af en tilsynsmyndighed. F.eks. ved at anlægge erstatningssøgsmål mod virksomheden ved de almindelige domstole. Derudover kan det være muligt at opnå erstatning for en legitim frygt, hvis der er risiko for, at personoplysningerne potentielt kan misbruges i fremtiden. Dette blev fastslået af Den Europæiske Unions Domstol, efter at Bulgariens øverste forvaltningsdomstol havde anmodet om en afgørelse.

What is the definition of anonymised data?

Vite

Det er også almindeligt, at kontrakter indeholder sanktionsklausuler, som forpligter den misligholdende part til at betale et på forhånd fastsat beløb af sanktionen til den anden part i tilfælde af misligholdelse af kontrakten. Denne type kommercielle vilkår forekommer ofte i aftaler mellem virksomheder. En databehandleraftale indgået mellem en dataansvarlig og en databehandler kan f.eks. indeholde en sanktionsklausul, der opstår i tilfælde af en af parternes misligholdelse af kontrakten.

Begrænse eller forbyde behandling

En tilsynsmyndighed har ret til at indføre en midlertidig eller definitiv begrænsning af en specifik behandling af personoplysninger, herunder et forbud mod behandling.

Measures that companies need to take to comply with GDPR

At tvinge virksomheden til at overholde GDPR inden for en bestemt periode

Hvis en virksomhed overtræder GDPR, kan tilsynsmyndigheden pålægge virksomheden at sikre, at behandlingen udføres i overensstemmelse med bestemmelserne i GDPR og om nødvendigt på en bestemt måde og inden for en bestemt periode.

What is the definition of anonymised data?

Tilbagetrække certificeringen

I tilfælde af overtrædelse af GDPR kan tilsynsmyndigheden, hvor det er relevant, trække en certificering tilbage eller pålægge certificeringsorganet at trække en certificering, der er udstedt til en virksomhed, tilbage, hvis kravene til certificering ikke er eller ikke længere er opfyldt.

Børn fortjener ekstra beskyttelse

Børn fortjener ekstra beskyttelse, både i henhold til GDPR, men også i henhold til flere andre love. Det er tilladt i henhold til GDPR at behandle børns personoplysninger i visse tilfælde, når de giver deres samtykke. F.eks. sociale medier. Aldersgrænsen for børn til at give samtykke til informationssamfundstjenester, såsom sociale medier, er 16 år i henhold til GDPR. På den anden side har de enkelte medlemsstater ret til at sænke alderen gennem deres nationale lovgivning, hvilket flere lande har gjort. Sverige har f.eks. valgt at sænke aldersgrænsen til 13 år. 

Flere oplysninger om GDPR

Kategorier og typer af personoplysninger i henhold til GDPR

Når det er muligt at knytte oplysninger til en fysisk levende person, betragtes disse oplysninger som personoplysninger i henhold til GDPR. For eksempel navne, CPR-numre og billeder af en person. Dette er eksempler på personoplysninger af objektiv karakter. Desuden kan personoplysninger have en subjektiv karakter. For eksempel en diagnose fra en læge. I GDPR er der fire grupper af privatlivsfølsomme personoplysninger, der skal behandles med større sikkerhed. Særlige kategorier af personoplysninger, der er anført i databeskyttelsesforordningens artikel 9 (også kendt som “følsomme personoplysninger”). En af disse grupper er f.eks. oplysninger om helbredsforhold, politiske anskuelser, religiøs eller filosofisk overbevisning og en persons seksuelle orientering.

Vil du lære mere?

Læs mere
Scroll to Top