Siden forordningen trådte i kraft 25. maj 2018, er der sket en hel del. De store bøder og den massive omtale er begyndt at indfinde sig, men mindre organisationer indstilles nu også til bøder i forskellige europæiske lande.
Datatilsynet har indstillet 15 organisationer til bøder for brud på GDPR i Danmark. Her er både tale om private virksomheder, offentlige styrelser og flere kommuner.
Den første indstilling kom i marts 2019, hvor Taxa 4×35 blev indstillet til en bøde på 1,2 millioner kroner. Taxaselskabet havde gemt kunders telefonnumre fra knap 9 millioner taxaturer, og det var således et brud på forordningen.
Da Taxaselskabet ikke havde grundlag for at beholde kundens telefonnummer efter taxaturen, burde selskabet have slettet telefonnummeret. Kundens navn slettes efter to år, og samme procedure burde taxaselskabet også have fulgt med telefonnummeret. Årsagen findes i, at telefonnummeret er personhenførbart – altså kan det bruges til at identificere en specifik person.
Manglende sletning af personoplysninger har også ført til andre bøder. Hotelgruppen Arp Hansen Hotel Group A/S blev året efter indstillet til en bøde på 1,1 millioner kroner for at have opbevaret 500.000 kundeprofiler, som hotelgruppen burde have slettet flere år forinden.
Da ILVA blev indstillet til en bødestraf, var grundlaget også, at kæden manglede at slette oplysninger på knap 400.000 kunder. ILVA havde såkaldte ’Almindelige personoplysninger’ opbevaret i et ældre system, og dommen blev en bøde på 100.000 kr.
Sletning af personoplysninger – GDPR-lovgivning
Ifølge de ovenstående eksempler er det dermed GDPR-lovens Artikel 5, der er stor fokus på. Denne artikel beskriver Principper for behandling af personoplysninger, og et af disse principper er, at personoplysninger ikke må opbevares i længere tid end nødvendigt på en måde, hvor man kan identificere brugeren eller kunden.
Spørgsmålet her er så; hvor lang tid er det nødvendigt at opbevare personoplysninger? Svaret findes i den tid, som det tager at gennemføre formålet med at have de personoplysninger. Det betyder, at hvis en virksomhed eksempelvis har behov for en kundes e-mailadresse eller telefonnummer i forbindelse med levering af en vare, må virksomheden gerne opbevare e-mailadressen og telefonnummeret indtil varen er leveret.
Det betyder dog også, at virksomheden skal slette e-mailadressen og telefonnummeret, når varen er blevet leveret. Hvis disse oplysninger ikke slettes, kan det ses som et brud på Artikel 5 i GDPR-lovgivningen.
Netop Artikel 5 er også en af de mest overtrådte artikler, når man ser på hvad organisationer straffes for. Over en tredjedel af bødeindstillinger i august 2021 var begrundet med brud på Artikel 5. Også de store bøder – dem på flere hundrede millioner kroner – gives også på baggrund af, at organisation har overtrådt Artikel 5.
De allerstørste bøder
Der er efterhånden rigeligt at tage fat på af store GDPR-bøder. Amazon, Google, H&M, Marriott, og senest WhatsApp er alle blevet indstillet til bøder på mere end 200 millioner kroner.
Den største indstilling findes hos Amazon. E-handelsgiganten står til en bøde på 5.595.000.000 kroner og tager dermed en klar førsteplads. Faktisk udgør bøden hele 58 pct. af den samlede bødesum for brud på GDPR-forordningen.
Som det seneste medlem i klubben af de allerstørste bøder findes WhatsApp. Chat-servicen blev den 2. september indstillet til en bøde på 1.687.000.000 kroner af det irske datatilsyn.
De store bøder skaber omtale af GDPR, men de er reelt set ikke særligt retvisende for almindelige organisationer. Her bør man i stedet se nærmere ind i de danske bødeindstillinger, der er givet til forskellige danske organisationer – i alle størrelser.
De almindelige organisationer
Som tidligere nævnt har Datatilsynet i skrivende stund indstillet 15 organisationer til bøde for brud på GDPR i Danmark. Her er både tale om store som små virksomheder, offentlige som private. Udover dette har Datatilsynet også igangsat en række undersøgelser, hvor flere organisationer bedes besvare spørgsmål omkring deres håndtering af personoplysninger.
Alt tyder på, at der er et øget fokus på databeskyttelse under opsejling, og måske er det allerede i gang.
Et spørgsmål som vi ofte støder på, er ”Hvordan kan vi overholde GDPR?”
Der er flere måder at sikre, at ens virksomhed eller forening overholder GDPR. Man kan selv udarbejde de nødvendige dokumenter i programmer som Word og PowerPoint. Man kan også alliere sig med advokater eller konsulenter, der har godt styr på forordningen, eller man kan benytte sig af et online-GDPR-værktøj, som lægger retningslinjerne.
Brexit og GDPR
Da GDPR er en EU-forordning, fik Brexit også konsekvenser for Storbritannien og GDPR. Ved udtrædelse af EU var Storbritannien ikke længere underlagt forordningen, og således blev overførsel af data til Storbritannien til overførsel af data til et tredjeland.
Når man overfører data til lande indenfor EU’s grænser, gælder der færre kriterier, end når man overfører data til lande udenfor EU’s grænser. Det er altså disse lande, der kendes som tredjelande. Ved overførsel af personoplysninger til et tredjeland kræves, at man har et overførselsgrundlag.
Storbritannien blev godkendt som sikkert tredjeland den 28. juni, og dermed er det ikke et krav med et overførselsgrundlag, hvis man overfører personoplysninger til Storbritannien.