GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Artikkel 58 GDPR

Konsekvenser av brudd på GDPR

Hvis et selskap bryter EUs personvernforordning, også kjent som GDPR, risikerer det betydelige økonomiske konsekvenser. Ikke bare på grunn av mulige bøter utstedt av tilsynsmyndigheten, eller skader som skal betales til de registrerte som er skadet av bruddet. 

Prinsippet om ansvarlighet

Bedrifter har en forpliktelse til å kunne demonstrere overholdelse av GDPR, etter prinsippet om ansvarlighet. Dette prinsippet er regulert i artikkel 5 (2) i GDPR. Prinsippet om ansvarlighet er et av de syv (7) grunnleggende prinsippene for databeskyttelse i GDPR som selskapene må overholde. Med andre ord er det ikke en registrert eller databeskyttelsesmyndighet som trenger å demonstrere at selskapet bryter med GDPR. Tvert imot er det opp til foretaket å bevise at det overholder GDPR. 

Virkning på varemerke

Brudd på GDPR kan også påvirke selskapets merkevare negativt dersom det viser seg at selskapet ikke har overholdt reglene. Dette kan igjen føre til økonomiske konsekvenser, for eksempel tapte inntekter og forretningsforbindelser.

What breaches of the GDPR can lead to an administrative fine?

Fint med flere hundre millioner

Et selskap måtte betale mer enn 300 millioner euro i bøter for sine GDPR-overtredelser. Dette ble bestemt av den irske databeskyttelsesmyndigheten, etter vedtaket fra European Data Protection Board om saken. For eksempel var informasjonen om behandlingen ikke tilstrekkelig klar. Vær oppmerksom på at kravene til klarhet er høyere når de registrerte er barn. 

Eksempler på ulike tiltak selskaper kan ta for å bevise overholdelse av GDPR

Selskapet må ta flere tiltak for å demonstrere overholdelse av GDPR. Dette kan for eksempel gjøres ved å:

A

Implementere tilstrekkelige organisatoriske og tekniske sikkerhetstiltak for å beskytte personopplysningene som behandles; Tiltakene som treffes, skal dokumenteres skriftlig og om nødvendig ajourføres.

B

Etablere og implementere skriftlige interne prosedyrer for å beskytte rettighetene til de registrerte.

C

Etablere og holde oppdatert sine registreringer av behandlingsaktiviteter (ROPA) i samsvar med artikkel 30 GDPR.

I tillegg til disse eksemplene er det mange tiltak som bedrifter må og bør gjennomføre for å oppfylle sitt ansvar under ansvarlighetsprinsippet og for å bevise overholdelse av GDPR. 

Konsekvenser ved brudd på GDPR

Konsistensen av brudd på GDPR avhenger av flere faktorer. For eksempel hvor alvorlig overtredelsen er, og hvilke tiltak foretaket har truffet både før og under tilsynet og etterpå. I tillegg spiller størrelsen på selskapet en rolle i vurderingen og hvilke personopplysninger som behandles. Tilsynsmyndighetene har et bredt spekter av fullmakter i henhold til artikkel 58 i GDPR. 

Nedenfor finner du eksempler på konsekvenser for brudd på GDPR-bestemmelsene:

Measures that companies need to take to comply with GDPR

Reprimandere

Dersom en tilsynsmyndighet anser overtredelsen for å være mindre alvorlig, kan den gi en irettesettelse. Det er en type skriftlig advarsel eller reprimande, og er en lettere straff enn en bot. På den annen side er irettesettelser offentlige dokumenter som offentliggjøres i det fri, og som kan ha en negativ innvirkning på selskapets varemerke.

Sensitive personal data according to GDPR

Straffegebyr

En bot er en bot som tilsynsmyndigheter kan pålegge selskaper for brudd på GDPR. Ved en alvorlig overtredelse av personvernforordningen kan boten utgjøre høyst 20 millioner euro eller 4 % av selskapets samlede verdensomspennende årsomsetning (det høyeste av opsjonene) fra foregående regnskapsår. Vær oppmerksom på at dette ikke er et beløp som er tilgjengelig for registrerte, da selskapet må betale denne boten til staten.

Subjektivt integritetskänsliga personuppgifter

Skader

Det kan være mulig for registrerte å kreve erstatning i tilfelle brudd på personopplysningssikkerheten. På den annen side må den registrerte kreve erstatning separat fra tilsyn av en tilsynsmyndighet. For eksempel ved å bringe en sak for erstatning mot selskapet før en sivil domstol. I tillegg kan det være mulig å få erstatning for berettiget frykt dersom det er fare for at personopplysningene kan bli misbrukt i fremtiden. Dette ble funnet av EU-domstolen etter en anmodning om en avgjørelse fra den bulgarske høyesterett.

What is the definition of anonymised data?

Straffeutbetalinger

Det er også vanlig for kontrakter å inkludere straff klausuler, der parten i kontraktsbrudd må betale den andre parten en forhåndsbestemt straff i tilfelle kontraktsbrudd. Denne typen kommersielle vilkår finnes ofte i B2B-kontrakter. En databehandlers kontrakt, inngått mellom en behandlingsansvarlig og en databehandler, kan for eksempel inneholde en sanksjonsklausul som får anvendelse dersom en av partene bryter kontrakten.

Begrense eller forby behandling

En tilsynsmyndighet har rett til å pålegge en midlertidig eller definitiv begrensning av en bestemt behandling av personopplysninger, herunder et forbud mot behandling.

Measures that companies need to take to comply with GDPR

Forplikte bedriften din til å overholde GDPR innen en viss tidsperiode

Hvis et foretak overtrer GDPR, kan tilsynsmyndigheten pålegge foretaket å sikre at behandlingen utføres i samsvar med bestemmelsene i GDPR, og om nødvendig på en bestemt måte og innen en bestemt tidsperiode.

What is the definition of anonymised data?

Trekke tilbake sertifisering

Ved brudd på GDPR kan tilsynsmyndigheten eventuelt trekke tilbake en sertifisering eller pålegge sertifiseringsorganet å trekke tilbake en sertifisering utstedt til et selskap dersom kravene til sertifisering ikke lenger er oppfylt.

Barn fortjener ekstra beskyttelse

Barn fortjener ekstra beskyttelse, både under GDPR, men også under flere andre lover. GDPR tillater behandling av personopplysninger om barn i visse tilfeller når de gir sitt samtykke. For eksempel i sosiale medier. Aldersgrensen for barn å gi sitt samtykke til informasjonssamfunnstjenester, for eksempel sosiale medier, er 16 år under GDPR. På den annen side har de enkelte medlemsstatene rett til å senke alderen gjennom sin nasjonale lovgivning, slik flere land har gjort. Sverige har for eksempel valgt å senke alderen til 13 år. 

Mer informasjon om GDPR

Kategorier og typer av personopplysninger i henhold til GDPR

Når det er mulig å knytte informasjon til en fysisk levende person, anses denne informasjonen som personopplysninger i henhold til GDPR. For eksempel navn, personnummer og bilder av en person. Dette er eksempler på personopplysninger av objektiv karakter. I tillegg kan personopplysninger ha en subjektiv karakter. For eksempel en diagnose fra en lege. I GDPR er det fire grupper av personvernsensitive personopplysninger som må behandles med større sikkerhet. Særlige kategorier av personopplysninger oppført i artikkel 9 i GDPR (også kalt «sensitive personopplysninger»). Slik som opplysninger om helse, politiske meninger, religiøs eller filosofisk tro og en persons seksuelle orientering, utgjør en av disse gruppene.

Lyst til å lære mer?

Les mer
Skroll til toppen