GDPR-bøder i millionklassen

Datatilsynet viser med al tydelighed, at alle der behandler persondata skal tage GDPR alvorligt. Vi har nu fået en række afgørelser der viser, at lige som i udlandet kan man i Danmark også risikere millionbøder.

Tre virksomheder er lige nu indstillet til millionbøder:

  • Taxaselskabet 4×35 er indstillet til en bøde på 1,2 mio kr. for at opbevare kundernes oplysninger i deres systemer uden saglig grund
  • Iddesign A/S er indstillet til en bøde på 1,5 mio kr., også for manglende sletning af kundeoplysninger
  • Hotelkæden Arp-Hansen er indstillet til en bøde på 1,1 mio kr., af samme årsag som de to ovenstående

I de enkelte sager er det undersøgt, dels om der er procedurer på plads der skal sikre at GDPR overholdes, og dels om, hvorvidt disse procedurer også blev efterlevet i praksis.

Sagerne har understreget vigtigheden i, at virksomheder får nedfældet hvorledes GDPR skal overholdes i praksis, samt at man i virksomheden også sikrer at det sker. Det er ikke nok at have procedurer, politikker og databehandleraftaler liggende i skuffen. Man skal aktivt sikre og føre kontrol med, at data behandles forsvarligt og i overensstemmelse med reglerne og det som står i procedurerne eller databehandler-aftalerne.

Min praktiske erfaring i implementeringen af GDPR i virksomhederne, at det er særligt vanskeligt for virksomheder at få slettet data, der bør slettes. Dels på grund af ressourcer hertil, dels på grund af frygten for at slette noget vigtigt og ind imellem også fordi det ikke er muligt at slette persondata i de systemer som virksomheden anvender. Men ingen af disse forhold godtages af Datatilsynet, og man pådrager virksomheden risiko ved ikke at efterleve reglerne.

Min erfaring er også, at små virksomheder generelt har vanskeligt ved at se værdien af procedurer og politikker, da man måske ikke tidligere har anvendt dette i virksomheden. Men dels er dette jo avancerede huskelister vedr. hvad man skal gøre for at overholde GDPR i forskellige situationer og på forskellige tidspunkter. Og dels er det et lovkrav i GDPR at man kan dokumentere overholdelse af GDPR, og her er procedurer og politikker, der efterleves i praksis, et meget pragmatisk værktøj, – for nu at sige det på jysk.

Ovenstående bøder er i helt i tråd med bøder der er givet i andre EU-lande for brud på reglerne, og det er forventeligt, at Datatilsynet vil fortsætte den lagte linje.