02 dec 2019

Det europæiske datatilsyn fastsætter høje bødetakster for brud på GDPR

To nye afgørelser fra datatilsynet i Tyskland og i Østrig fastsætter bøder på henholdsvis 14,5 og 18 millioner euro i sager om brud på databeskyttelsesreglerne. Dette sætter barren højt for tilsynenes fastsættelse af bødeniveauet.

Siden vedtagelsen af databeskyttelsesreglerne har de europæiske datatilsyn været i fuld gang med at fastsætte niveauet for bødetakster i forbindelse med brud på GDPR. Dette er sket både på baggrund af anmeldelser for brud på GDPR og for virksomheder, der har været under datatilsynenes kontroller.

Et højere bødeniveau for brud på GDPR i resten af EU

Praksis fra datatilsynene i den mere sydlige del af Europa tyder på langt højere bødeniveauer end dem, vi har set i Danmark.

Hidtil har det danske datatilsyn politianmeldt to selskaber og indstillet dem til bøder for overtrædelse af de nye databeskyttelsesregler.

Bødeindstillingerne er på henholdsvis kr. 1,2 million til Taxa 4x35 og en på kr. 1,5 million til ID Design. Dette er et væsentligt lavere bødeniveau end det, som ses fra både datatilsynet i Tyskland og datatilsynet i Østrig.

Det tyske datatilsynet har udstedt en bøde på 14,5 million euro, svarende til DKK 108 millioner, mens det østrigske datatilsynet har udstedt en bøde på 18 millioner euro, svarende til DKK 134 millioner.

Manglende sletning og iagttagelse af oplysningspligten

Bøden på de 14,5 millioner euro blev udstedt til boligselskabet Deutsche Wohnen SE. Boligselskabet opbevarede en lang række personoplysninger på beboerne, herunder blandt andet oplysninger om beboernes personlige og økonomiske forhold, såsom lønningslister, uddrag fra ansættelses- og uddannelseskontrakter samt skattedata.

Virksomheden opbevarede personoplysningerne i et arkivsystem, hvori virksomheden ikke kunne foretage sletning, ligesom virksomheden opbevarede personoplysninger uden egentlig at have indhentet tilladelse hertil og uden at have informeret beboerne herom.

Det tyske datatilsyn var allerede på besøg hos virksomheden tilbage i 2017, hvor virksomheden blev pålagt at bringe forholdene i orden. Da datatilsynet vendte tilbage på kontrolbesøg i 2019 viste det sig imidlertid, at forholdene ikke var udbedret i henhold til påbuddet.

I forhold til bødens størrelse er det værd at bemærke, at det tyske datatilsyn både lagde vægt på, at bøden skulle være afskrækkende, effektiv og proportionel, men også at bødens størrelse skulle afspejle den betragtning, at virksomheden rent faktisk havde foretaget en del af de nødvendige skridt til at bringe forholdene i orden og samtidig havde udvist stor samarbejdsvilje med datastilsynet.

Brug af systematisk markedsføring samt videresalg heraf

Det østrigske datatilsyn udstedte en bøde til den østrigske postvirksomhed Österreichische Post for virksomhedens brug af kundernes personoplysninger.

Virksomheden anvendte blandt andet kundernes personoplysninger til at udlede hver enkelt kundes formodede politiske stemmeadfærd, som skulle sælges videre til politiske partier med henblik på direkte og målrettet markedsføring. Virksomheden indsamlede endvidere oplysninger om, hvor ofte pakker blev leveret til hver enkelt adresse, ligesom virksomheden indsamlede oplysninger om, hvor ofte virksomhedens kunder skiftede adresse. 

Idet virksomheden hverken havde et lovligt grundlag for behandling og videregivelse af kundernes stemmeadfærd eller for indsamling af oplysninger om kundernes pakkedosering og adresseskift, og idet virksomheden ikke havde informeret de berørte personer om behandlingen, var der tale om et direkte brud på databeskyttelsesreglerne. Det østrigske datatilsyn synes at have lagt særligt vægt på, at der var tale om ulovlig behandling og videregivelse af følsomme personoplysninger samt ulovlig behandling af store mængder af personoplysninger.

HjulmandKaptains bemærkninger

Afgørelserne fra datatilsynene indikerer, at den øvre grænse for bødeniveauet for overtrædelse af de nye databeskyttelsesregler endnu ikke er klarlagt. Afgørelserne synes dog også at illustrere, at datatilsynene tillægger mængden og kategorierne af personoplysninger en del vægt ved udmålingen af bødernes størrelser.

Er du i tvivl om, hvorvidt din virksomhed håndterer kundernes personoplysninger rigtigt, eller hvorvidt I har de nødvendige og passende sikkerhedsforanstaltninger, er du altid velkommen til at kontakte os.

Tak for din henvendelse

Vi har sendt dig en kvittering via mail og kontakter dig hurtigst muligt.

Har du brug for rådgivning vedrørende GDPR?

Vores advokater står klar til at hjælpe

Vil du vide mere, eller har du brug for hjælp, så udfyld felterne. Så kontakter vi dig hurtigst muligt.

Vi anbefaler, at du ikke indtaster nogle følsomme personoplysninger (f.eks. helbredsoplysninger) eller cpr. nr. i kontaktformularen.