Artikkel 58 nr. 2 bokstav B – GDPR
Reprimandere virksomheter under GDPR
Den nasjonale tilsynsmyndigheten kan utstede en reprimande til selskaper i henhold til GDPR i tilfelle overtredelser av forordningen. Reprimand er en av de korrigerende fullmaktene som hver nasjonale tilsynsmyndighet har i henhold til artikkel 58 (2) (b) GDPR, og utgjør en lettere sanksjon enn en bot.
Når kan en reprimande utløses for selskaper i tilfelle brudd på GDPR?
Jo mer alvorlige brudd på GDPR, desto større blir effekten. Reprimander er en form for gjengjeldelse som tilsynsmyndighetene vanligvis utsteder når overtredelsen ikke er alvorlig.
Hva er mindre overtredelser i henhold til GDPR?
Når et brudd på personopplysningssikkerheten ikke medfører en betydelig risiko for de registrertes rettigheter og friheter, er det en mindre overtredelse.
Eksempler på mindre brudd på GDPR
Hvis et selskap sender et nyhetsbrev om vaskemiddel til feil e-postadresse og meldingen inneholder navnet på kunden. Det er lite sannsynlig å resultere i en høy risiko hvis en annen person blir klar over at noen har opptrådt som vaskemiddel fra selskapet.
Gjør overtredelsens forsettlige eller uaktsomme karakter en forskjell?
Hvis en overtredelse av GDPR har blitt begått forsettlig i stedet for uaktsomt, er det større sannsynlighet for at selskapet vil få en bot i stedet for en reprimande fra tilsynsmyndigheten. Det er derfor nyttig å kjenne begrepene intensjon og uaktsomhet.
Forsettlig overtredelse
Å bevisst avsløre, ødelegge eller endre personopplysninger, eller på annen måte behandle personopplysninger i strid med reglene fastsatt i GDPR, utgjør en forsettlig aktivitet. Intent betyr at personen som bevisst forårsaker overtredelsen, vet hva han eller hun har gjort, og ønsket det eller aksepterte konsekvensen.
Eksempel på intensjon
En ansatt behandler personopplysninger ulovlig og forsettlig ved å laste ned en kopi av kunderegisteret på hans eller hennes siste arbeidsdag, og deretter avslører det til hans eller hennes nye arbeidsgiver, en konkurrent av selskapet.
Uaktsomt brudd
Når en overtredelse skjer ved en feil, uten noen intensjon eller kunnskap om dette, eller ved manglende aktsomhet, har overtredelsen skjedd på grunn av uaktsomhet. Dette kan for eksempel skyldes at en ansatt har vært uaktsom i behandlingen av hans eller hennes personopplysninger, men ikke ønsket å forårsake skade.
Eksempler på uaktsomhet
Den Manager oppretter brukerkontoer for nye ansatte på sin første arbeidsdag, og ved et uhell utløst administratorrettigheter til en brukerkonto som ikke ville ha det. Dette resulterte i at brukeren feilaktig fikk tilgang til flere personopplysninger enn tiltenkt, i strid med databeskyttelsesprinsippet om dataminimering.
Fordel med å rette opp overtredelser direkte
Hvis et selskap overtrer GDPR og senere blir varslet til tilsynsmyndigheten og gjennomgått av tilsynsmyndigheten, kan det være fordelaktig å rette opp overtredelsene så snart som mulig, før tilsynsmyndigheten tar en avgjørelse i saker.
Hvis det gjelder en mindre overtredelse av GDPR, og selskapet har truffet korrigerende tiltak, kan tilsynsmyndigheten ta hensyn til dette og i noen tilfeller utstede en reprimande i stedet for en bot. Med andre ord, selv når foretaket er gjenstand for en pågående håndhevingssak, kan det virke formildende å rette opp overtredelsene direkte.
Begrens skader og andre konsekvenser
Bedrifter skal søke å redusere risiko og skader som oppstår som følge av brudd på personopplysninger eller GDPR-overtredelse som har skjedd. Tilsynsmyndigheten tar hensyn til foretakets korrigerende tiltak når den treffer sin beslutning om en passende sanksjon.
For eksempel, hvis et selskap er utsatt for et datainnbrudd, noe som fører til at kredittkortopplysninger blir forfalsket, kan det være hensiktsmessig for selskapet å umiddelbart informere de berørte registrerte om bruddet. Dette vil tillate datasubjekter å blokkere kredittkortene sine og forhindre stor skade. Jo raskere korrigerende tiltak blir tatt, desto lavere er risikoen for skade.
Lær mer om GDPR
Nasjonale tilsynsmyndigheter har myndighet til å ilegge administrative bøter på selskaper som bryter med GDPR
Selskaper som bryter GDPR kan bli bøtelagt av den nasjonale tilsynsmyndigheten. Beløpet avhenger av flere faktorer, for eksempel størrelsen på selskapet, om overtredelsen var forsettlig, antall berørte registrerte, kategoriene av personopplysninger som er involvert, etc. I verste fall kan boten utgjøre mange millioner og ha ødeleggende konsekvenser for selskaper. Maksimumsbeløpet for alvorlige overtredelser er 20 millioner euro eller 4 % av selskapets verdensomspennende årsomsetning (det høyeste av opsjonene).