Hvilke håndhævelsesmetoder kan databeskyttelsesmyndigheden tage i brug for at sikre, at forordningen overholdes?

Når GDPR, EU’s nye databeskyttelsesforordning, træder i kraft i maj 2018, får registrerede nye rettigheder, mens databeskyttelsesmyndigheden får en række nye håndhævelsesmetoder. Vi kigger nærmere på hvilke.

GDPR fastlægger, at medlemslandene er forpligtigede til at etablere tilsynsmyndigheder – de såkaldte databeskyttelsesmyndigheder. Disse nationale myndigheders opgave bliver at føre kontrol med, at forordningen overholdes således, at personers grundlæggende persondata-rettigheder overholdes.
Fra et håndhævelsessynspunkt kan databeskyttelsesmyndighedens forpligtigelser opdeles i to. De skal:

  1.  Overvåge, hvorvidt enkeltpersoner kan udøve deres rettigheder.
  2.  Evaluere, hvorvidt behandlingen af personoplysninger overholder de regler om databehandling, som er fastsat af GDPR.

Mistanke om overtrædelse

Databeskyttelsesmyndigheden vil have en række undersøgelsesbeføjelser, som gør det muligt at finde ud af, om der er sket en overtrædelse. I forbindelse med en undersøgelse af mulige overtrædelser:

  • Kan databeskyttelsesmyndigheden kræve, at den dataansvarlige og databehandleren fremlægger de oplysninger, der er nødvendige for at udføre undersøgelsen, som kan bestå af databeskyttelsesrevisioner.
  • Når det er nødvendigt, kan databeskyttelsesmyndigheden kræve at få adgang til alle den dataansvarliges og databehandlerens lokaler – inklusiv al deres databehandlingsudstyr.
  • Hvis en databehandlingsmetode ikke lever op til kravene i GDPR, kan databeskyttelses-myndigheden udstede advarsler til den dataansvarlige og databehandleren.

Bekræftede overtrædelser

Hvis databeskyttelsesmyndigheden slår fast, at der har fundet en overtrædelse sted, har de en række håndhævelsesmetoder til rådighed:

  • Den mindst indgribende foranstaltning er at udstede en tilrettevisning til en dataansvarlig eller en databehandler, hvor bestemmelserne i GDPR er blevet tilsidesat.
  • Hvis en tilrettevisning ikke er tilstrækkelig, kan databeskyttelsesmyndigheden også pålægge den dataansvarlige eller databehandleren at bringe databehandlingen i over¬ensstemmelse med GDPR.
  • Hvis en dataansvarlig eller en databehandler har ignoreret en registreret persons rettigheder, kan databeskyttelsesmyndigheden pålægge dem at leve op til reglerne.
  • Derudover kan databeskyttelses¬myndigheden pålægge en dataansvarlig eller en databehandler at berigtige, slette person¬oplysninger eller begrænse databehandlingen for at opfylde den registreredes rettigheder.
  • I tilfælde af et brud på persondatasikkerheden kan databeskyttelsesmyndigheden pålægge den dataansvarlige at informere de registrerede om bruddet.

Datadrevne organisationer eller organisationer, hvor behandling af data er en del af forretningsmodellen, kan blive alvorligt ramt, såfremt de tvinges til at slette deres data på grund af manglende overholdelse af forordningens bestemmelser. Mange organisationer betragter i højere og højere grad data som virksomhedens mest værdifulde aktiv.

Strenge foranstaltninger

Hvis mindre alvorlige foranstaltninger ikke har ført til det ønskede resultat, har databeskyttelsesmyndigheden også strengere foranstaltninger til deres rådighed:

  • Databeskyttelsesmyndigheden har blandt andet beføjelse til at fastsætte midlertidige eller definitive begrænsninger inklusiv et forbud mod databehandling.
  •  Databeskyttelsesmyndigheden kan også ophæve et certifikat, som bruges til at angive, at databehandlingen finder sted i overensstemmelse med GDPR.
  • Derudover kan databeskyttelsesmyndigheden suspendere overførslen af oplysninger til en modtager i et tredjeland eller til en international organisation.
  • Disse metoder kan have en betydelig påvirkning på en organisations virksomhedsdrift, forretningsmålsætning og evne til at betjene kunder.
    Opkrævning af bøder

De mest vidtrækkende håndhævelsesmetoder består i at pålægge administrative bøder:

  • Ved mindre alvorlige overtrædelser kan de administrative bøder beløbe sig til 10,000,000 Euro eller 2 % af virksomhedens samlede globale årlige omsætning i foregående regnskabsår – afhængigt af, hvad der er højest.
  • I tilfælde af mere alvorlige overtrædelser kan bøden beløbe sig til 20,000,000 Euro eller 4 % af den samlede globale årlige omsætning i foregående regnskabsår – afhængigt af, hvad der er højest.

Disse bøder er betragtelige og kan være så økonomisk ødelæggende for virksomheder, at de må lukke.