Artikel 58, stk. 2, litra b), i GDPR
Reprimande til virksomheder i henhold til GDPR
Den nationale tilsynsmyndighed kan udstede en irettesættelse til virksomheder i henhold til GDPR i tilfælde af overtrædelser af forordningen. Irettesættelse er en af de korrigerende beføjelser for hver national tilsynsmyndighed i henhold til databeskyttelsesforordningens artikel 58, stk. 2, litra b), og udgør en mildere sanktion end en bøde.
Hvornår kan en irettesættelse blive relevant for virksomheder i tilfælde af overtrædelse af GDPR?
Jo mere alvorlige overtrædelser af GDPR, jo større konsekvenser. Irettesættelse er en form for irettesættelse, som tilsynsmyndighederne normalt udsteder, når overtrædelsen ikke er alvorlig.
Hvad er mindre overtrædelser i henhold til GDPR?
Når et brud på persondatasikkerheden ikke medfører en væsentlig risiko for registreredes rettigheder og frihedsrettigheder, er der tale om en mindre overtrædelse.
Eksempler på mindre overtrædelser af GDPR
Hvis en virksomhed ved et uheld sender et vaskemiddelnyhedsbrev til den forkerte e-mailadresse, og meddelelsen indeholder kundens navn. Efter al sandsynlighed fører det ikke til en høj risiko, hvis en anden person bliver opmærksom på, at nogen har købt vaskemiddel fra virksomheden.
Gør det nogen forskel, om overtrædelsen er forsætlig eller uagtsom?
Hvis en overtrædelse af GDPR er begået forsætligt i stedet for uagtsomt, er der større sandsynlighed for, at virksomheden vil modtage en bøde i stedet for irettesættelse fra tilsynsmyndigheden. Derfor er det godt at kende begreberne forsæt og uagtsomhed.
Forsætlig manglende overholdelse
Forsætlig overtrædelse: Hvis nogen bevidst afslører, ødelægger eller ændrer personoplysninger eller på anden måde behandler personoplysninger i strid med reglerne i GDPR, udgør det en forsætlig aktivitet. Hensigt betyder, at den person, der bevidst forårsager overtrædelsen, ved, hvad han eller hun har gjort, og ønskede det eller accepterede konsekvensen.
Eksempler på hensigt
En medarbejder behandler personoplysninger ulovligt og forsætligt ved at downloade en kopi af kunderegistret på deres sidste ansættelsesdag og derefter videregive det til deres nye arbejdsgiver, der er en konkurrent til virksomheden.
Manglende overensstemmelse
Når en overtrædelse sker ved en fejl, uden nogen hensigt eller kendskab til det, eller på grund af manglende forsigtighed, har overtrædelsen fundet sted på grund af uagtsomhed. Det kan f.eks. skyldes, at en medarbejder har været skødesløs i behandlingen af personoplysninger, men ikke ønskede at forvolde skade.
Eksempler på uagtsomhed
IT-chefen opretter brugerkonti til nye medarbejdere på deres første arbejdsdag og aktiverer ved et uheld administratorrettigheder til en brugerkonto, der ikke ville have den. Dette resulterede i, at brugeren ved et uheld fik adgang til flere personoplysninger end tilsigtet, hvilket er i strid med databeskyttelsesprincippet om dataminimering.
Fordele ved at afhjælpe overtrædelser direkte
Hvis en virksomhed overtræder GDPR og efterfølgende skal anmeldes til tilsynsmyndigheden og gennemgås af tilsynsmyndigheden, kan det være en fordel at afhjælpe overtrædelserne så hurtigt som muligt, inden tilsynsmyndigheden træffer afgørelse i sager.
Hvis den vedrører en mindre alvorlig overtrædelse af GDPR, og virksomheden har truffet korrigerende foranstaltninger, kan tilsynsmyndigheden tage dette i betragtning og i nogle tilfælde udstede en irettesættelse i stedet for en bøde. Det kan med andre ord virke formildende at afhjælpe overtrædelserne direkte, selv når virksomheden er genstand for en igangværende tilsynssag.
Begrænsning af skader og andre konsekvenser
Virksomheder bør forsøge at begrænse de risici og skader, der opstår som følge af brud på persondatasikkerheden eller overtrædelse af GDPR. Tilsynsmyndigheden tager hensyn til de korrigerende foranstaltninger, som virksomheden har truffet, når den træffer afgørelse om en passende sanktion.
Eksempler
Hvis en virksomhed f.eks. bliver offer for et brud på datasikkerheden, som fører til, at kreditkortoplysninger kommer i de forkerte hænder, kan det være hensigtsmæssigt for virksomheden straks at underrette de berørte registrerede om bruddet. Dette vil gøre det muligt for de registrerede at blokere deres kreditkort og forhindre større skader. Jo hurtigere der træffes korrigerende foranstaltninger, jo mindre er risikoen for skader.
Læs mere om GDPR
De nationale tilsynsmyndigheder har beføjelse til at pålægge virksomheder, der overtræder GDPR, administrative bøder.
Virksomheder, der overtræder GDPR, kan få en bøde udstedt af den nationale tilsynsmyndighed. Beløbet afhænger af flere faktorer, såsom virksomhedens størrelse, om overtrædelsen blev begået forsætligt, antallet af berørte registrerede, de pågældende kategorier af personoplysninger osv. I værste fald kan bøderne beløbe sig til mange millioner og have ødelæggende konsekvenser for virksomhederne. Det maksimale beløb for alvorlige overtrædelser er 20 mio. EUR eller 4 % af virksomhedens årlige omsætning på verdensplan (den højeste af mulighederne).