Oversigt: Fire bøder er udstedt i Europa for at overtræde GDPR

Illustration: Lasse Gorm Jensen
I Danmark er der endnu ikke udstedt bøder under GDPR. Men det er der i Frankrig, Østrig, Portugal og Tyskland.

Rettet 18. februar.

Flere EU’s medlemslande har truffet de første afgørelser om overtrædelse af databeskyttelsesforordningen (GDPR), og det har samtidig givet omverdenen en indikation af bødeniveauet.

Som mange bekendt kan overtrædelse af databeskyttelsesforordningens bestemmelser sanktioneres med bøder på op til 20 mio. euro, eller op til 4 procent af en virksomheds samlede globale årlige omsætning i det foregående regnskabsår. Det fremgår af databeskyttelsesforordningens artikel 83.

Nedenfor en oversigt over bøder der er udstedt i EU på baggrund af GDPR-forordningen, som Version2 og Mette Klingsten Advokatfirma har samlet:

  • den franske tilsynsmyndighed (CNIL) gav den 21. januar 2019 Google en bøde på 50 mio. euro svarende til 373 mio. kr. for overtrædelse af reglerne om, hvordan samtykke indsamles samt mangel på transparent og let tilgængelig information om, hvordan virksomheden anvender de data, den indsamler fra brugerne. Google har kæret afgørelsen, og dermed overgår sagen til de franske domstole.

  • det østrigske datatilsyn har pålagt en mindre virksomhed en bøde for brud på GDPR, idet virksomheden havde installeret et kamera uden for virksomheden, som også filmede en stor del af fortovet. Dette var i strid med reglerne om overvågning af offentlige områder. Den østrigske tilsynsmyndighed tog virksomhedens størrelse og proportionalitetsprincippet med i betragtning ved fastsættelsen af bødens størrelse og pålagde virksomheden en bøde på 4.800 euro svarende til godt 36.000 kr.

  • datatilsynet i Portugal (NCDP) i 2018 pålagt et hospital en bødee for ikke at begrænse adgangen til fortrolige patientoplysninger til de medarbejdere, som havde brug for at tilgå sådanne oplysninger. Bøden blev fastsat til 400.000 euro, idet bruddet på datasikkerheden var en klar og alvorlig overtrædelse af databeskyttelseslovgivningen. Afgørelsen viser vigtigheden af, at adgangen til personoplysninger, herunder særligt følsomme personoplysninger, begrænses til de medarbejdere, som har brug for at kunne tilgå oplysningerne, oplyser Mette Klingsten Advokatfirma.

  • datatilsynet i Baden-Württemberg i Tyskland gav i november det sociale medie Knuddels.de en bøde på 20.000 euro, efter en hacker havde skaffet sig adgang til personoplysninger på hundredtusindvis af netstedets brugere. Myndighederne vurderede, at mediet var ansvarlig for databruddet, eftersom personoplysningerne, herunder passwords, blev opbevaret som almindelig tekst. Datatilsynet fandt, at denne form for opbevaring af personoplysninger var en overtrædelse af forordningens artikel 32, hvorefter dataansvarlige og databehandlere, skal “træffe passende tekniske og organisatoriske foranstaltninger” for at sikre et sikkerhedsniveau, der passer til de risici, som er forbundet med behandlingen. Ved fastsættelsen af bødeniveauet tog datatilsynet i Baden-Württemberg i betragtning, at Knuddels.de var samarbejdsvillig og straks gik i gang med at træffe passende, og strammere, sikkerhedsforanstaltninger.

I Danmark har hverken Datatilsynet eller domstolene indtil nu truffet afgørelse om bøder for overtrædelse af databeskyttelsesforordningen eller databeskyttelsesloven.

I en tidligere udgave af denne artikel havde vi også et eksempel fra Storbritannien med, hvor en entreprenør, har fået en bøde på 300 pund for ikke at efterleve kravet om at udlevere personoplyser, som de skal. Retten til indsigt er et af de grundlæggende rettigheder i GDPR, men bøden er ikke udstedt på baggrund af GDPR, da den er behandlet efter den tidligere persondatalov i landet, red.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Schou

Danmarks problem er Datatilsynet. De eneste sager de kan håndtere, er når den krænkende part er en offentlig institution eller hvis det er en privat institution der indrømmer krænkelsen.

Det hænder at Jehovas Vidner (JV) ringer på min dør og jeg taler så med dem. Efter de har besøgt mig, skriver de noget ned i en lille bog de har med. De har indrømmet at de notere oplysninger om mit religøse forhold, hvilke emner vi har talt om, dato for hvornår det har fundet sted, ægteskabelig status samt familære forhold såsom børn og samlivsform. Jeg har bedt JV om at udlevere de oplysninger de har om mig, hvilket de har afvist med begrundelsen, at det kun er de vidner der går rundt samt kredsformanden der har adgang til disse oplysninger.

Jeg har så klaget til Datatilsynet i juli 2018 over den manglende udlevering af data, samt refereret til en lignende sag fra Finland, som Datatilsynet er bekendt med.

I november 2018 meddeler Datatilsynet mig at jeg ganske rigtigt har krav på at få disse oplysninger, og de iøvrigt lukker sagen. Jeg gentog overfor Datatilsynet at jeg var klar over at jeg havde ret til oplysningerne, og jeg havde bedt JV om at udlevere dem, og JV havde afvist at udlevere dem. Datatilsynet slutter brevet med håber herved at have besvaret din forespørgsel, men jeg har ikke stillet noget spørgsmål. Jeg har bedt Datatilsynet hjælpe med at få udleveret de registrerede data.

Jeg ved ikke helt hvad Datatilsynet har tænkt sig at gøre, men det virker som om de bare vil vente på at sagen bliver forældet, eller at de håber på at JV selv har destrueret materialet fordi den lille bog var uddateret og fyldt. Lige nu har de vel nærmest bare lagt sagen nederst i bunken?

Vi har fået en lov som Datatilsynet ikke magter. Skal vi lave om på loven eller Datatilsynet?

Anne-Marie Krogsbøll

"Orientering" på P1 havde i går et indslag om sagen:
https://www.dr.dk/radio/p1/orientering/orientering-weekend-2019-02-16

Og der oplyses noget, jeg ikke var klar over: Der er kun pligt til at informere de ramte ved sikkerhedsbrud, såfremt det vurderes, at der er høj risiko for, at oplysningerne misbruges.

Her er jo elastik i metermål - og har vi ikke set en del sager på det seneste, hvor "den formastelige" ikke har ment risikoen var stor, og hvor man så ikke har orienteret de ramte (før medierne har fået fat i sagen)? Bl.a. i Gomentor-sagen vurderedes det ikke sandsynligt, at oplysningerne ville blive misbrugt. I mine øjne en helt forkert vurdering. Og i mine øjne en helt forkert regel i loven.

Hans Nielsen

Kunne det mon tænkes at de vil have dig til at gå til politiet med sagen?


Det burde vel være datatilsynesopgave ?
Som privat person kan, og må du jo ikke altid have adgang til relevante opsysninger.

Men hvis de ikke snart ændre politik, og de forsætter med denne vallen tilgang. Så ender vi snart med samme tilgang til loven, som den gamle.

At den ikke bliver overholdt, eller bliver respekteret lige så meget som EMC direktiv, hvor overensstemmelse erklæringer er fortrykte standart formulare, hvis de i det hele taget findes. Især af firmaer, som ikke kan komme i klemme i andres landes tilsyn.

Lars Vosgerau

Dansk Datatilsynet, det er ubrugeligt !

De har ingen kompetence, de er langsomme, anmelde dem til EU General Data Protection Regulation.

Pligt forsømmelse i at håndhæve de europæiske direktiver .

Right of access

In order to allow data subjects to enforce their data protection rights, EU data protection law obliges controllers to provide data subjects with access to their personal data.

Povl H. Pedersen

Den med bøde for at filme fortov i Østrig vil kunne ramme alle detailbutikker i Danmark som explicit har lov til at lave overvågning af facader og flugt- og adgangsveje.

Så hvad vægter højest ? GDPR eller lov om tv-overvågning ?

Vi har i loven:
Bekendtgørelse af lov om tv-overvågning

§ 1. Private må ikke foretage tv-overvågning af gade, vej, plads eller lignende område, som benyttes til almindelig færdsel.

Stk. 2. Ved tv-overvågning forstås vedvarende eller regelmæssigt gentagen personovervågning ved hjælp af fjernbetjent eller automatisk virkende tv-kamera, fotografiapparat eller lignende apparat. Lovens regler om tv-overvågning finder tilsvarende anvendelse på opsætning af sådant apparat med henblik på overvågning.

§ 2. Bestemmelsen i § 1 gælder ikke:
....
3) Tv-overvågning, der foretages af pengeinstitutvirksomheder, spillekasinoer, hotel- og restaurationsvirksomheder samt butikscentre og butikker, hvorfra der foregår detailsalg, af

a) egne indgange og facader samt

b) arealer, som ligger i direkte tilknytning til egne indgange og facader, og som naturligt anvendes eller kan anvendes som adgangs- eller flugtvej i forhold til egne indgange, når overvågningen er klart nødvendig af hensyn til kriminalitetsbekæmpelse.

Henrik Hansen

Så hvad vægter højest ? GDPR eller lov om tv-overvågning ?

Art. 6 GDPR Lawfulness of processing

(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

Man kan vel roligt sige at en bank har en både en legitim interesse (GDPR) og lovmæssig tilladelse (dansk lov om tv-overvågning) til at foretage Tv-overvågning af egne facader, ikke? TV-overvågningsudstyr er ikke gratis og bankerne gør det jo ikke for underholdningens skyld. Jeg kan derfor slet ikke se nogen konfilkt mellem GDPR og den danske lovgivning.

Problemet opstår vel først i det øjeblik banken ikke overholder GDPRs kapitel 3 (artikel 12-23) vedr. den registreredes utrolig mange rettigheder?

Hans Nielsen

vedr. den registreredes utrolig mange rettigheder?


Jeg synes nu personlige det er for få. Og straffe rammen også skulle indeholde mulighed for fængsel i grove eller gentagende tilfælde.

Men bare vi kunne starte med at firmaer overholde de nuværede regler så ville jeg blive glad.

Man kommer lidt til at tænke på president nixon "i am not a crook ?"

https://edition.cnn.com/videos/tv/2019/02/18/news-stream-intv-stout-cadw...

Log ind eller Opret konto for at kommentere