GDPR-bøter og straffer: Forstå konsekvensene av manglende overholdelse
General Data Protection Regulation (GDPR) introduserte en rekke bøter og straffer for organisasjoner som ikke overholder kravene. Å forstå konsekvensene av manglende overholdelse er avgjørende for at organisasjoner skal kunne redusere risikoer og prioritere databeskyttelse. Denne artikkelen gir en grundig titt på GDPR-bøter og straffer, faktorene som påvirker deres besluttsomhet, og hvordan organisasjoner kan unngå dem ved å implementere beste praksis.
GDPR-bøter - Et todelt system
GDPR etablerer et todelt system for bøter, avhengig av alvorlighetsgraden av overtredelsen:
For mindre alvorlige overtredelser kan bøter være opptil €10 millioner eller 2% av organisasjonens globale årlige omsetning, avhengig av hva som er høyest. Øvre nivå: For mer alvorlige overtredelser kan bøter nå opptil €20 millioner eller 4% av organisasjonens globale årlige omsetning, avhengig av hva som er høyest. Eksempler på brudd på lavere nivå inkluderer utilstrekkelig journalføring eller unnlatelse av å gjennomføre en databeskyttelseskonsekvensvurdering (DPIA) når det er nødvendig. Krenkelser på øvre nivå inkluderer brudd på registrertes rettigheter eller ulovlig behandling av personopplysninger.
Faktorer som påvirker finbestemmelse
Databeskyttelsesmyndigheter (DPAer) vurderer flere faktorer når de fastsetter den passende boten for brudd på GDPR, inkludert:
Overtredelsens art, alvor og varighet
Forsett eller uaktsomhet fra organisasjonen
Tiltak iverksatt for å redusere skaden
Organisasjonens historie med samsvar
Nivået på samarbeidet med DPA
Hvilke typer personopplysninger som berøres
Organisasjonens etterlevelse av godkjente etiske
retningslinjer eller sertifiseringsmekanismer
Ytterligere straffer og konsekvenser
Source: https://www.debet.no/gdpr/gdpr-boter-og-straffer
I tillegg til bøter tillater GDPR ytterligere straffer og konsekvenser, som:
Reprimander eller advarsler fra datatilsynsmyndigheter
Pålegg om å bringe behandlingsaktiviteter i samsvar
Midlertidige eller permanente forbud mot databehandling
Suspensjon av dataoverføringer til tredjeland
Omdømmeskade som følge av offentlig avsløring av manglende overholdelse
Eksempler på GDPR-bøter og håndhevingshandlinger
Siden GDPRs implementering har flere høyprofilerte saker resultert i betydelige bøter og håndhevingstiltak. Disse sakene fungerer som viktige lærdommer for organisasjoner:
British Airways: Bøtlagt 20 millioner pund for et datainnbrudd som følge av utilstrekkelige sikkerhetstiltak.
Google: Bøtlagt €50 millioner for manglende åpenhet og gyldig samtykke angående personlig tilpasset annonsering.
Marriott International: Bøtlagt 18,4 millioner pund for et datainnbrudd på grunn av utilstrekkelig due diligence og sikkerhetstiltak under en fusjon.
Source: https://www.debet.no/gdpr/gdpr-boter-og-straffer
Hvordan unngå GDPR-bøter og straffer?
For å minimere risikoen for GDPR-bøter og straffer, bør organisasjoner implementere følgende beste praksis:
Utvikle og vedlikeholde et omfattende databeskyttelsesprogram, inkludert retningslinjer, prosedyrer og opplæring av ansatte.
Sikre åpenhet og forsvarlig samtykkebehandling ved behandling av personopplysninger.
Gjennomfør regelmessige risikovurderinger og implementer passende sikkerhetstiltak.
Etablere prosesser for håndtering av forespørsler fra registrerte og håndtering av datainnbrudd. Engasjere seg i løpende overvåking og forbedring av databeskyttelsespraksis.