Datatilsynet varsler store bøder for overtrædelse af GDPR-forpligtelser i ny vejledning

Datatilsynet har i samarbejde med Rigspolitiet og Rigsadvokaten offentliggjort en ny vejledning om udmåling af bøder til virksomheder, der overtræder forpligtelserne i databeskyttelsesforordningen.

Vejledningen skal bidrage til større gennemsigtighed om bødernes størrelse.  

I vejledningen inddeles overtrædelserne af databeskyttelsesreglerne i seks kategorier afhængig af overtrædelsens grovhed. For hver kategori er der fastlagt et grundbeløb for bøden.

Når bøden til den enkelte virksomhed udmåles, tages der udgangspunkt i det relevante grundbeløb, som bliver justeret efter følgende faktorer:

• Virksomhedens størrelse
• En konkret vurdering af overtrædelsens karakter, alvor og varighed
• Inddragelse af skærpende og formildende omstændigheder.
• Eventuel justering af beløbet efter databeskyttelsesforordningens maksimum og betalingsevne.

Virksomheder, der anvender cookies og derigennem behandler personoplysninger om hjemmesidebesøgende, har efter databeskyttelsesforordningen en række forskellige forpligtelser.  Virksomhederne skal f.eks. give hjemmesidebesøgende forskellige oplysninger, før der sættes cookies og behandles personoplysninger om vedkommende, ligesom virksomhederne skal sikre sig, at behandlingen er lovlig, f.eks. ved at der indhentes et gyldigt samtykke til behandlingen.

Overtrædelse af disse forpligtelser vil i mange tilfælde falde ind under den nye vejlednings bødekategori 5.

For en mellemstor virksomhed vil bødeniveauet i kategori 5 ligge på 1,5 mio. kr. og opefter.

Datatilsynet har fokus på cookies og behandling af personoplysninger om hjemmesidebesøgende

Datatilsynet offentliggjorde i starten af året, at tilsynet vil have fokus på behandling af personoplysninger om hjemmesidebesøgende (cookies) i 2021.

Datatilsynet fortsætter dermed dette fokus fra sidste år, hvor tilsynet af egen drift indledte en undersøgelse af Den Blå Avis' behandling af personoplysninger om besøgende på hjemmesiden. Datatilsynet behandlede også en sag om www.golf.dk’s cookieløsning efter en konkret klage. Det gav anledning til alvorlig kritik fra Datatilsynet.

I januar 2021 har Datatilsynet af egen drift iværksat en undersøgelse af Roskilde Kommunes og Næstved Kommunes behandling af oplysninger om besøgende på deres hjemmeside.

Opfylder I kravene?

Hvis jeres cookie- og privatlivssetup ikke allerede overholder de persondataretlige krav, er der i lyset af den nye bødevejledning og Datatilsynets fokus på området god grund til at få kigget det efter i sømmene.

I skal bl.a. være opmærksomme på følgende:

• Der må ikke registreres oplysninger om hjemmesidebesøgende, før I har sikret jer, at I lovligt kan behandle oplysningerne. Det kan f.eks. ske gennem et frivilligt og informeret samtykke til brug af cookies og behandling af vedkommendes personoplysning.
• For at et samtykke kan anses for at være frivilligt, skal det være muligt at afslå. Det skal være lige så nemt at afslå, som at give samtykke.
• For at et samtykke kan anses for at være informeret, skal det bl.a. være klart, hvilke oplysninger I registrerer, og hvad I bruger oplysningerne til.
• I skal kunne dokumentere, hvad en besøgende har givet samtykke til, og hvordan samtykket er indhentet.

Brug for hjælp?

Vores advokater har bred erfaring med at rådgive om cookies og brug af persondata om hjemmesidebesøgende.

Vi hjælper kunder med at sikre, at deres markedsføring og hjemmesider lever op til de omfattende juridiske krav.

Vi tilbyder en service – e-Compliance – som kan hjælpe jer med at sikre, at I løbende overholder de juridiske krav til hjemmesider og apps.

Sagen blev varetaget af [Indsæt link til advokater

Læs mere om vores rådgivning inden for [Indsæt link til serviceside].