De første bøder er allerede kommet
Offentligt portugisisk hospital
En bøde på EUR 400.000 for brud på databeskyttelsesforordningen er hvad et offentligt portugisisk hospital, hvor både læger og personer uden medicinsk baggrund havde adgang til patienters kliniske data, har fået.
Det portugisiske datatilsyn fandt, at der var tale om følgende brud:
- Overtrædelse af principperne om fortrolighed og integritet.
- Overtrædelse af princippet om dataminimering.
- Manglende evne til at sikre fortrolighed og integritet af den behandlede data.
En stikprøve foretaget af tilsynet på hospitalets IT-system viste, at der bla. var registreret 985 brugere som læger, selvom der kun var ansat 296 læger på hospitalet, da tilsynet fandt sted.
Yderligere havde alle lægerne fuld adgang til alle patienters kliniske data uanset deres medicinske speciale.
Første bøde efter databeskyttelsesforordningen udstedt i Tyskland
En større tysk datingsite blev her til sommer 2018 udsat for et hackerangreb, hvor der blev stjålet adgangskoder og email adresser fra 330.000 brugere.
Bruddet førte til at virksomheden modtog en bøde på EUR 20.000, som er den første bøde udstedt i Tyskland efter databeskyttelsesforordningens regler.
Ved ikke at opbevare adgangskoderne i krypteret format foretages der et brud på databeskyttelsesforordningens artikel 32, stk. 1, om tilstrækkelig behandlingssikkerhed.
Grunden til den ”relativt lave bøde” skyldes at den tyske delstat Baden Württembergs Datatilsynet lagde vægt på, at virksomheden havde været meget samarbejdsvillig efter bruddet var blevet opdaget.
Bødens størrelse skal derfor ses i lyset af virksomhedens store samarbejdsvillighed, samt at det lokale datatilsyn har udtalt, at de ikke agter at “deltage i en konkurrence om at udstede de højest mulige bøder”. Om hvorvidt denne del kan ses som en torn i øjet på forordningen, der udtrykkelig oplyser, at sanktioner/bøder på tværs af EU skal være de selvsamme for de enkelte brud – det lader vi stå uvis hen på nuværende tidspunkt.
Det østrigske datatilsyn udsteder sin første bøde på EUR 4.800
Til en iværksættervirksomhed, der havde installeret et overvågningskamera foran sin bygning.
Kameraet foretog optagelser af både privat område, som tilhørte virksomheden, samt en stor del af fortovet (hvilket defineres som værende et offentligt område), hvilket ikke er tilladt efter TV-overvågningsloven.
Virksomheden havde ikke tilstrækkeligt angivet, at kameraet foretog videoovervågning – hvorved kravet om gennemsigtighed ikke var opfyldt.
Grunden til at bøden til iværksættervirksomheden kun lød på EUR 4.800 skyldes at bøden blev udmålt under hensyntagen til proportionalitetsprincippet, hvorved virksomhedens indtjening på ca. EUR 40.000 om året blev inddraget i vurderingen.
Datatilsynet – Danmark
Har gentagende gange oplyst, at de inden udgangen af 2018 ville offentliggøre de første sanktioner/bøder til virksomheder og /eller offentlige instanser for overtrædelse af Databeskyttelsesforordningen (GDPR).
Tilsynschef Jesper Vang fra Datatilsynet oplyser, at mulige politianmeldelser falder i januar 2019, da en række jyske kommuner, to regioner samt seks navngivne virksomheder har fået foretaget tilsyn i oktober og november 2018.
Få styr på jeres databehandlerede!
Det er den dataansvarlige, der skal sikre at databehandleren overholder sikkerhedskravene, da denne ellers kan komme i store økonomiske vanskeligheder som ovenstående dom viser.
Uforpligtende samtale:
Kontakt os allerede i dag uforpligtende på 9310 2032 og hør hvad du som virksomhed, skal have styr på for, at undgå sanktioner og /eller bøder.
GDPR-Ansvarlig påtager sig intet ansvar for direkte og /eller indirekte følgeskader, herunder driftstab og /eller mistet fortjeneste. GDPR-Ansvarligs information/rådgivning baseres udelukkende alene efter de enkelte domme og disses retskendelser, hvilket betyder at senere domme eventuelt kan ændre allerede givende domsafsigelser. Da der løbende sker ændringer i love og regler omkring Databeskyttelsesforordningens (GDPR) forhold, har GDPR-Ansvarligs konkrete information/rådgivning kun gyldighed på det tidspunkt den gives.