Datatilsynet indstiller til store GDPR-bøder

I løbet af sommeren 2021 har Datatilsynet indstillet bøder til tre offentlige myndigheder og to private virksomheder i niveauet 150.000-600.000 kr. for overtrædelse af GDPR-lovgivningen. Den nye størrelse af bødeindstillingerne udstikker vigtigheden af, at virksomheder sikrer et tilstrækkeligt sikkerhedsniveau ved behandling af personoplysninger.
Nyhed
GDPR

Sommerens GDPR-bøder

Vejle Kommune, Region Syddanmark, Udlændingestyrelsen, Nordbornholms Byggeforretning ApS og Charlottenlund Lægehus Medicals Nordic I/S er blandt andet blevet indstillet til bøder som følge af brud på reglerne om GDPR.  

Bødeniveauet har som udgangspunkt været lavere for offentlige myndigheder end for private virksomheder. Sagen vedrørende Region Syddanmark, som omhandlede behandling af helbredsoplysninger om mere 30.000 børn i psykiatrien, viser dog, at Datatilsynet også udsteder væsentligt større bøder til offentlige myndigheder, når der er tale om sikkerhedsbrud af mere alvorlig karakter.

Sagen i Region Syddanmark kort fortalt

I sagen i Region Syddanmark var der behandlet oplysninger om børn til forskningsmæssige og kliniske formål. Andre borgere, som også var registreret i databasen, havde gennem mere end 1½ år haft mulighed for at tilgå andres oplysninger ved blot at ændre en URL-adresse. Henset til karakteren af sikkerhedsbruddet, herunder også at der var tale om et stort antal (30.000) registrerede, som udgjorde en gruppe af udsatte børn, indstillede Datatilsynet til en bøde på 500.000 kr. Sagen understreger, at når der sker behandling af følsomme oplysninger, så skal sikkerhedsniveauet også afspejle dette.

Tre af de andre sager omhandlede på tilsvarende vis utilstrækkelige sikkerhedsforanstaltninger mens en af sagerne omhandlede videregivelse af oplysninger om strafbare forhold uden hjemmel.

Større bøder til private virksomheder?

Det må forventes, at bødeniveauet fortsat vil være lavere for offentlige myndigheder end for private virksomheder, hvilket blandt andet er begrundet i et højere bødeloft for private virksomheder i GDPR og Databeskyttelsesloven. Det vil derfor være forventeligt, at en sag, som den ovenfor omtalte vedrørende Region Syddanmarks behandling af følsomme oplysninger, ville have udmundet i en højere bødeindstilling, såfremt der var tale om en privat virksomhed.

Har du spørgsmål til behandling af personoplysninger eller til GDPR-lovgivningen, så kontakt vores GDPR-specialist Torsten Hylleberg på thy@les.dk eller 33 300 252.

Kontakt
Torsten Hylleberg
partner
advokat

Relaterede nyheder

Se alle nyheder
Nyhed

Datatilsynet sætter spot på behandling af personoplysninger ved internetkonkurrencer

Datatilsynet har i en nylig sag taget stilling til en virksomheds behandling og videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer og spørgeskemaer.
GDPR
Nyhed

Europæiske datatilsyn stiller skarpt på cookieløsninger og brug af Google Analytics

Det danske datatilsyn og andre europæiske datatilsyn har i øjeblikket stort fokus på, om virksomheders cookieløsninger lever op til reglerne i GDPR. Det omfatter bl.a. løsninger med Google Analytics og IAB’s standardløsning for cookies og annoncer, Transparency and Consent Framework (TCF), hvor meget tyder på, at danske virksomheder skal forberede sig på alternative løsninger.
GDPR
Nyhed

Lund Elmer Sandager styrker partnerkredsen med partnerudnævnelser fra egne rækker

Det er en stor glæde, at advokat Sebastian Rungby og advokat Torsten Hylleberg begge indtræder som ejerpartnere i Lund Elmer Sandager med tilbagevirkende kraft fra den 1. januar 2022.
GDPR
Nyhed

Nye Standard Contractual Clauses ved overførsler af persondata ud af EU/EØS

EU-Kommission har den 4. juni 2021 udstedt nye Standard Contractual Clauses (”SCC”) til brug ved overførsler af persondata ud af EU/EØS, hvilket f.eks. kan være til en (under)databehandler i USA.
GDPR
Nyhed

De europæiske datatilsyn fører nu tilsyn med overførsler af persondata til USA

Den 15. marts 2021 kom der en opsigtsvækkende afgørelse fra Tyskland i en sag om en tysk virksomhed, som benyttede det amerikanskejede nyheds- og marketingsselskab ”Mailchimp” til udsendelse af nyhedsbreve. Afgørelsen indebar, at virksomheden ved overførsel af deres abonnenters e-mailadresser til Mailchimp på ulovlig vis overførte persondata til et tredjeland – USA – da virksomheden ikke havde sikret tilstrækkelige ”supplerende foranstaltninger” for at beskytte personoplysningerne.
GDPR
Nyhed

Nye regler om whistleblowerordning sendt i høring

Lovforslaget om beskyttelse af whistleblowere er sendt i høring. Lovforslaget indebærer blandt andet, at alle danske virksomheder med 50 eller flere medarbejdere bliver forpligtet til at etablere en intern whistleblowerordning. Whistleblowerordningen skal leve op til en række krav og procedurer. Virksomheder med eksisterende whistleblowerordninger skal derfor også vurdere, om deres nuværende ordning lever op til de nye krav.
GDPR