BØDER
Med indførelsen af Databeskyttelsesforordningen vil organisationer og virksomheder kunne risikere markante straffe og sanktioner, hvis de ikke lever op til de gældende regler.
I artikel 83 er der omtalt administrative bøder på op til 10.000.000 EUR, eller såfremt det drejer sig om en virksomhed, med op til 2 % af dens samlede globale årlige omsætning i det foregående regnskabsår såfremt overtrædelsen skyldes:
- den dataansvarliges og databehandlerens forpligtelser (herunder manglende databehandleraftaler)
- certificeringsorganets forpligtelser
- kontrolorganets forpligtelser
- børns samtykke
- fortegnelse over behandlingsaktiviteter
- opretholdelse af behandlingssikkerhed
- ikke anmeldte brud eller manglende underretning
- manglende DPO (såfremt virksomheden skal have en sådan)
såfremt dette op til 4 % af dens samlede globale årlige omsætning i det foregående regnskabsår
De administrative bøder er på op til 20.000.000 EUR, eller såfremt det drejer sig om en virksomhed, med op til 4 % af dennes samlede globale årlige omsætning i det foregående regnskabsår såfremt overtrædelsen skyldes:
- de grundlæggende principper for behandling, herunder betingelserne for samtykke
- de registreredes rettigheder
- overførsel af personoplysninger til en modtager i et tredjeland eller en international organisation
- eventuelle forpligtigelser i medfør af medlemsstaternes nationale ret
- manglende overholdelse af et påbud eller en midlertidig eller definitiv begrænsning af behandling eller tilsynsmyndighedens suspension af overførsel af oplysninger
SANKTIONER
Datatilsynet kan blandt andet:
- udtale kritik af den dataansvarlige eller databehandleren, hvis behandlingsaktiviteter er i strid Databeskyttelsesforordningen
- give den dataansvarlige eller databehandleren påbud om at skulle imødekomme de registreredes anmodninger om at udøve sine rettigheder i henhold til Databeskyttelsesforordningen
- give den dataansvarlige eller databehandleren et påbud om at skulle bringe behandlingsaktiviteter i overensstemmelse med bestemmelserne i Databeskyttelsesforordningen og, såfremt det er hensigtsmæssigt på en nærmere angivet måde og indenfor en nærmere angivet frist
- påbud om, at den dataansvarlige vil skulle underrette de registrerede om brud på persondatasikkerheden
- midlertidigt eller definitivt at blive begrænset – herunder forbyde behandling af personoplysninger.
GDPR-Ansvarlig påtager sig intet ansvar for direkte og /eller indirekte følgeskader, herunder driftstab og /eller mistet fortjeneste. GDPR-Ansvarligs information/rådgivning baseres udelukkende alene efter de enkelte domme og disses retskendelser, hvilket betyder at senere domme eventuelt kan ændre allerede givende domsafsigelser. Da der løbende sker ændringer i love og regler omkring Databeskyttelsesforordningens (GDPR) forhold, har GDPR-Ansvarligs konkrete information/rådgivning kun gyldighed på det tidspunkt den gives.