Det store overblik: Se GDPR-bøderne her
For snart et år siden fandt EU’s databeskyttelsesforordning anvendelse. I den anledning giver vi dig overblikket over de mest bemærkelsesværdige danske og internationale GDPR-bøder, der er faldet indtil videre.
Den 25. maj 2019 er det præcis et år siden, at EU’s databeskyttelsesforordning (GDPR) fandt anvendelse. Der er løbet meget vand under åen siden, og selvom bødeoptrækket har været langsomt (særligt i Danmark), har de sidste 12 måneder dog bestemt ikke været kedelige.
Lad os tage et kig på GDPR-sagerne, der har fyldt medierne i det sidste år!
De internationale GDPR-bøder
Nyheder om persondatalæk og mangelfulde GDPR-processer har jævnligt fyldt medierne i både 2018 og 2019. Mange af de sager kan potentielt ende som GDPR-domme.
Læs også > De 9 mest bemærkelsesværdige datalæk i 2018
Imidlertid har både det britiske og hollandske datatilsyn i november tildelt Uber en bøde for utilstrækkelig beskyttelse af persondata under et cyberangreb, der forekom tilbage i 2016. Her blev personoplysninger på 57 mio. brugere stjålet. Fremfor at notificere brugerne, forsøgte Uber at dække over lækket ved at betale hackerne 100.000 dollars for at slette de stjålne oplysninger. Det britiske tilsyn udskrev en bøde på 448.039 euro (svarende til knap 3,35 mio. kroner), mens det hollandske landede på en bøde på 600.000 euro (knap 4,48 mio. kroner). Var datalækket forekommet efter, databeskyttelsesforordningen fandt anvendelse, havde disse GDPR-bøder sandsynligvis været markant højere.
Det britiske datatilsyn har derudover også været ude efter det canadiske dataanalyseselskab AggregateIQ, som er blevet tildelt et ”GDPR-varsel”. Tilsynet hævder, at AggregateIQ uretmæssigt behandlede persondata med andet formål end det, der blev oplyst ved indsamlingen. AggregateIQ arbejdede for ”Vote Leave” under Brexit-kampagnen i 2016, og selvom persondataene blev indsamlet inden databeskyttelsesforordningen fandt anvendelse, blev de fortsat opbevaret og behandlet efter, at GDPR trådte i kraft.
De 10 mest bemærkelsesværdige sager
Ifølge den internationale advokatvirksomhed CMS’ opgørelse er 68 virksomheder eller organisationer indstillet til bøder siden den 25. maj 2018. Det er dog vigtigt at være opmærksom på, at ikke alle bødeindstillinger offentliggøres og adskillige organisationer er anonyme. Derfor kan der sagtens have forekommet flere.
Men hvilke bemærkelsesværdige GDPR-bøder har der været på den internationale scene siden maj 2018? Vi har udvalgt 10 sager:
| Dato | Selskab | Bødebeløb | Årsag | Land |
|---|---|---|---|---|
| Juli 2019 | PwC | 150.000 euro (1.119.120 DKK) | Medarbejderne i PwC Grækenland blev bedt om samtykke til, at PwC kunne behandle deres personoplysninger. Ifølge det græske datatilsyn, er det en forkert hjemmel for behandling af personoplysninger, da databehandlingen var nødvendig for at overholde retlige forpligtelser og direkte forbundet med ansættelseskontrakten. Et samtykke til databehandling kan kun anvendes som retsgrundlag, når ingen andre behandlingsgrundlag er til stede. Dermed overtrådte PwC grundprincippet om lovlig, rimelig og gennemsigtig behandling. Herudover blev medarbejderne aldrig informeret om det rigtige retsgrundlag for behandlingen af deres oplysninger. | Grækenland |
| Juli 2019 | Marriott International | 99.200.000 pund (798.629.440 DKK) | I november 2018 afslørede hotelkæden Marriott International, at deres reservationssystem var blevet hacket tilbage i 2014, og at over 300 mio. gæsters persondata siden var blevet lækket. Det britiske datatilsyn indstillede Marriott til bøden, da tilsynet ikke mener, at hotelkæden rettidigt sikrede it-systemernes sikkerhed. | Storbritannien |
| Juli 2019 | British Airways | 183.400.000 pund (1.476.498.380 DKK) | I 2018 blev British Airways udsat for et hackerangreb, hvor persondata på 500.000 kunder blev stjålet. Det britiske datatilsyn indstillede flyselskabet til en bøde, da tilsynet ikke mener, at British Airways har haft tilstrækkelige sikkerhedsbarrierer implementeret for at beskytte kundedata. | Storbritannien |
| Juni 2019 | Haga Hospital | 460.000 euro (3.431.968 DKK) | Hospitalet havde ikke implementeret tilstrækkelig kontrol med adgangen til journaler og klinisk data og undlod samtidig løbende at gennemgå logfiler for at opdage uautoriseret datatilgang. I foråret 2019 blev det afsløret, at næsten 200 hospitalsansatte uretmæssigt havde tilgået en hollandsk realitystjernes patientdata. | Holland |
| Juni 2019 | LaLiga | 250.000 euro (1.865.200 DKK) | Den spanske fodboldliga udnyttede sin officielle app til at lydoptage brugerne og derigennem afsløre sportsbarers piratvisninger af fodboldkampe. App’en brugte brugerens geolokation til at vurdere, om brugeren befandt sig på en bar. Hvis det var tilfældet, aktiveredes telefonens mikrofon og begyndte at optage lyd. Brugerne blev dog ikke informeret om formålet med app’ens brug af mikrofon og lokation. | Spanien |
| Marts 2019 | Bisnode | 220.000 euro (1.642.454 DKK) | Bisnode har indsamlet persondata fra offentligt tilgængelige digitale kilder uden at informere subjekterne om, at deres data blev behandlet. Dermed overtræder selskabet Artikel 14 i databeskyttelsesforordningen. Det polske datatilsyn gav i marts Bisnode tre måneder til at informere de pågældende seks mio. borgere om, at virksomheden havde indsamlet deres personoplysninger. Opsigtsvækkende nok kræver tilsynet, at Bisnode kontakter borgerne pr. brev. Det vurderer Bisnode vil koste dem 8 mio. euro i porto – altså markant mere end bødens reelle størrelse. | Polen |
| Januar 2019 | 50.000.000 euro (373.285.000 DKK) | Det franske datatilsyn CNIL idømte Google en bøde, fordi selskabet ikke har sikret sig tilstrækkeligt samtykke til at anvende persondata til at målrette personaliserede annoncer. Ifølge tilsynet overtrådte Google tre fundamentale GDPR-principper i forbindelse med personalisering af annoncer: gennemsigtighed, oplysning og samtykke. | Frankrig | |
| November 2018 | Knuddels | 20.000 euro (149.314 DKK) | Et datalæk på det sociale dating- og chatmedie Knuddels resulterede i, at 808.000 e-mails og mere end 1,8 mio. brugernavne og passwords blev offentliggjort. I alt påvirkede datalækket 303.000 brugere, hvoraf nogle også fik lækket oplysninger om navn og bopæl. | Tyskland |
| Juli 2018 | Hospital do Barreiro | 400.000 euro (2.986.280 DKK) | Hospitalet havde tildelt hele 985 brugere adgang til patienternes kliniske data. Det til trods for, at kun 296 af hospitalets medarbejdere havde medicinsk baggrund og dermed retmæssig grund til at tilgå de data. | Portugal |
| Juni 2018 | Butiksejer | 4.800 euro (35.835 DKK) | Butiksejeren havde installeret et overvågningskamera, der optog en betydelig del af fortovet foran butikken. Det østrigske datatilsyn ODSB idømte ejeren bøden, da overvågning af offentlige områder er i strid med GDPR, og da overvågningen derudover ikke var tilstrækkeligt markeret. | Østrig |
Som tabellen afslører, er der et vist udsving i størrelsen af GDPR-bøder. Derfor kan man godt formode, at de første (mange) sager vil fungere som prøvesager, hvor datatilsynene på tværs af Europa vil arbejde på at finde niveauet for GDPR-bøder.
De første danske GDPR-bøder
Vi skulle helt hen i slutningen af marts 2019, før det første selskab blev indstillet til GDPR-bøde i Danmark.
Læs også > Den første danske GDPR-anmeldelse er faldet
Her er der naturligvis tale om Taxa 4×35, som blev indstillet til en bøde på 1,2 mio. kroner for manglende sletning af personhenførbare kundeoplysninger. Siden fulgte en bødeindstilling til IDdesign A/S.
| Dato | Selskab | Bødebeløb | Årsag | Land |
|---|---|---|---|---|
| Juni 2019 | IDdesign A/S | 1,5 mio. DKK | Møbelvirksomheden IDdesign har undladt at slette oplysninger om navn, adresse, telefonnummer, e-mail og købshistorik på 385.000 kunder i deres ERP-systemer. Virksomheden havde derudover ikke fastsat frister for sletning af personoplysningerne. | Danmark |
| Marts 2019 | Taxa 4×35 | 1,2 mio. DKK | Selskabet sletter kundens navn efter en to-årig opbevaringsperiode – men ikke kundens telefonnummer. Oplysninger om kundens taxature (herunder opsamlings- og afleveringsadresser) kan derfor fortsat henføres til en fysisk person via telefonnummeret, som først slettes efter fem år. | Danmark |
Kritik har der været nok af
Selvom Datatilsynet indtil videre kun har indgivet politianmeldelse af Taxa 4×35, har tilsynet været aktive i forhold til at udtale kritik af det de vurderer som dårlig databeskyttelsespraksis. Det har de været så mange gange i løbet af de sidste måneder, at nedenstående blot er et udsnit af kritiksagerne:
I slutningen af marts 2019 udtalte tilsynet alvorlig kritik af, at Yousee (TDC) ikke løbende har foretaget sletning af personoplysninger i en database efter gennemførelsen af en specifik markedsføringskampagne. Det betyder nemlig, at Yousee har opbevaret personoplysninger længere end nødvendigt.
Men igen i april 2019 var Datatilsynet igen ude efter TDC. Denne gang med et midlertidigt forbud mod at optage telefonsamtaler med kunder, indtil selskabet implementerer en løsning, som gør det muligt at indhente et samtykke, der er i overensstemmelse med reglerne for databeskyttelse.
Læs også > Status på GDPR: 6 måneder senere
DK Hostmaster har ligeledes modtaget et påbud mod at offentliggøre personoplysninger om fuldmægtige for domænenavnsregistranter i deres WHOIS-database. Senest har Rejsekortet stået for skud, da Rejsekort A/S’s it-systemer ikke registrerer lokalitetsoplysninger retvisende nok, og at der ikke kan foretages berigtigelse af forkerte registreringer.
Salg og tyveri i det offentlige
Dog var Datatilsynet bemærkelsesværdigt tavse, da arkivskabe indeholdende 500 patientjournaler med personfølsomme og personhenførbare oplysninger blev solgt fra det nu lukkede Give Sygehus.
Kritik af behandlingen af personoplysninger er dog ikke kun kommet fra Datatilsynets side. En række borgere i Gladsaxe stævner kommunen for mellem 25.000 kroner og 45.000 kroner i tortgørelse. Det gør de, fordi fire bærbare computere blev stjålet fra Gladsaxe Rådhus i december 2018. På en af computerne lå et regneark med fortrolige oplysninger på cirka 20.000 borgere – bl.a. personnummer, navn, adresse og information om offentlige ydelser. En klar overtrædelse af datasikkerhedsreglerne.
Danmark er i førerfeltet, når det kommer til indberetninger
På trods af de få bødeindstillinger har Danmark placeret sig som nummer fem på listen over lande, der har modtaget flest indberetninger om GDPR-brud siden maj 2018. I perioden fra maj til december 2018 modtog Datatilsynet f.eks. hele 2.780 anmeldelser. I marts 2019 var det tal allerede vokset til omkring 3.500 indberetninger. Langt flere, end Datatilsynet havde forventet, hvilket har forlænget sagsbehandlingstiden betydeligt. Mon ikke vi kommer til at se en del flere GDPR-bøder i fremtiden.
Adgangsstyring og digital onboarding er afgørende for at undgå GDPR-bøder
Det kræver indsats at opnå compliance med GDPR, men det betaler sig. Ikke kun, fordi det er dyrt at lade være. Det er vigtigt at implementere en teknologisk løsning, der kan lette arbejdet med medarbejdernes adgange i takt med, at deres karrierevej udvikler sig i organisationen. Sådan bliver det nemlig lettere at forhindre datatab og reducere de compliance-risici, der opstår, når man ikke kan dokumentere, hvem der har adgang til hvilke data.
Den proces begynder allerede i forbindelse med onboarding. Nedenfor kan du hente vores ultimative guide til, hvordan du får succes med digital onboarding – og mindsker compliance-risici i samme omgang.