Når Datatilsynet
kommer på besøg.
Datatilsynet er Danmarks uafhængige tilsynsmyndighed for GDPR. De vurderer bruddokumentationer, gennemfører tilsyn og udsteder bøder ved overtrædelser. Forskellen på et besøg der varer en time, og et der bliver til en sag, er hvad I har klar.
KORT SVAR
Datatilsynet håndhæver GDPR i Danmark og kan udstede bøder på op til 20 mio. euro eller 4% af global omsætning. De hyppigste årsager til bøder er manglende databehandleraftaler, utilstrækkelig sikkerhed og manglende anmeldelse af databrud inden for 72 timer.
Den uafhængige myndighed.
Med tænder.
Datatilsynet er den centrale, uafhængige myndighed der fører tilsyn med GDPR i Danmark. De rådgiver virksomheder, vurderer brudanmeldelser, gennemfører tilsyn, og kan udstede både påbud og bøder. De har ikke retsforfølgelseskompetence, men de kan anmelde sager til politiet.
Vejleder, tilser og sanktionerer
Vejledning til virksomheder, modtagelse af brudanmeldelser (Art. 33), klager fra borgere, tilsynsbesøg, vurdering af DPIA'er, internationale dataoverførsler. Beslutninger kan ankes til Østre Landsret.
Risikobaseret og reaktivt
Tilsynsbesøg sker primært baseret på borgerklager, medieomtale eller selvanmeldte brud. Datatilsynet udsender ca. 30-50 påbud og 5-15 politianmeldelser/bøder pr. år, så hvert besøg er målrettet og grundigt.
72 timer.
Det er hele tidsrummet.
Når et databrud opdages, har I 72 timer til at anmelde det til Datatilsynet (GDPR Art. 33). Forsinket anmeldelse uden god grund er i sig selv en overtrædelse, og udløser bøder selv hvis selve bruddet er mindre alvorligt.
Initial vurdering
Et brud opdages, ransomware, kompromitteret konto, fejl-sendt mail med persondata. Her starter uret. I skal vurdere: er der risiko for de registreredes rettigheder?
Omfang & foranstaltninger
Hvad skete der? Hvilke data? Hvor mange personer? Hvad har I gjort for at inddæmme det? Hvad gør I for at forhindre gentagelse? Dokumentation samles til anmeldelsen.
Anmeldelse til Datatilsynet
Anmeldelse via virk.dk med beskrivelse af bruddet, omfang, kategorier af berørte personer, sandsynlige konsekvenser og foranstaltninger. Sen anmeldelse kræver begrundelse.
Ikke alt er et brud.
Men mere end I tror.
Et brud på persondatasikkerheden inkluderer mere end hacking. Tabt USB-nøgle, fejl-sendt mail, midlertidigt utilgængelige systemer, alt der påvirker fortrolighed, integritet eller tilgængelighed af persondata kan kvalificere.
Ransomware & hacking
Uautoriseret adgang til systemer der indeholder persondata. Selv hvis data ikke synligt blev udtrukket, antages tab af fortrolighed indtil andet er bevist.
Fejl-sendt mail
Mail med persondata sendt til forkert modtager. En af de mest almindelige brud, og en der ofte glemmes anmeldt fordi virksomheder undervurderer alvoren.
Mistede enheder
Tabt eller stjålen laptop, telefon eller USB-nøgle med ukrypteret persondata. Krypterede enheder kan ofte undgå anmeldelse, ukrypterede kan ikke.
Utilgængelige systemer
Længere nedetid hvor persondata ikke kan tilgås (ransomware før genopretning, defekt backup). Påvirker tilgængelighed, også et brud på persondatasikkerheden.
Insider-misbrug
Medarbejder der tilgår persondata uden tjenstligt behov, eller kopierer data ved fratrædelse. Også selvom det er en intern hændelse, kan det kræve anmeldelse.
Phishing-fald
Medarbejder der falder for phishing og afgiver login-oplysninger. Hvis det giver angriberen adgang til persondata, er det et brud, også før den faktiske adgang sker.
Bøderne kommer,
og de bliver større.
Danmark har historisk haft lavere bøder end resten af EU, men det ændrer sig. Datatilsynet bruger oftere politianmeldelse som sanktionsvej, hvor domstolene udmåler bøder. Selv for SMV'er ses bøder på 100.000-1.000.000 DKK.
Bødens størrelse afhænger af alvor, varighed, om I selv anmeldte, og om I samarbejdede med tilsynet. At være velforberedt og dokumentere alt grundigt kan reducere bøden markant.
Skalaen afhænger af alvor og forsætlighed
Intervaller baseret på offentliggjorte afgørelser fra Datatilsynet. Konkrete sager kan findes på datatilsynet.dk under "Afgørelser".
Datatilsynet er Danmarks uafhængige tilsynsmyndighed for GDPR. De vejleder virksomheder, modtager brudanmeldelser, gennemfører tilsynsbesøg, vurderer DPIA'er og kan udstede både påbud og politianmeldelser der fører til bøder.
- Gennemføre uanmeldte tilsynsbesøg
- Kræve dokumentation udleveret
- Udstede påbud om ændringer
- Politianmelde med henblik på bøde
- Selv udstede direkte bøder (de politianmelder)
- Erstatte den almindelige domstol
- Tilbyde juridisk rådgivning i konkret sag
- Tildele erstatning til registrerede
- Anmelde brud inden for 72 timer
- Føre fortegnelse over behandlinger
- Have passende sikkerhedsforanstaltninger
OFTE STILLEDE SPØRGSMÅL
Hvornår skal et databrud anmeldes til Datatilsynet?
Inden for 72 timer fra opdagelsen, hvis bruddet udgør en risiko for de registreredes rettigheder og frihedsrettigheder. Er der tvivl, anbefales det altid at anmelde, manglende anmeldelse er i sig selv en overtrædelse.
Kan Datatilsynet give bøde direkte til en dansk virksomhed?
Ja. Datatilsynet kan indstille til politiet der rejser tiltale. Bøderne kan nå op til 20 mio. euro eller 4% af global omsætning for de alvorligste overtrædelser (GDPR artikel 83, stk. 5).
Hvad er de hyppigste årsager til Datatilsynets bøder i Danmark?
Manglende eller ufuldstændige databehandleraftaler, utilstrækkelige tekniske sikkerhedsforanstaltninger og manglende eller for sen anmeldelse af databrud. Disse tre kategorier udgør flertallet af alle sager.
Hvad reducerer risikoen for bøde mest?
Dokumenteret compliance-arbejde: behandlingsfortegnelse, DPA-aftaler med alle databehandlere, og en hændelsesplan der sikrer 72-timers fristen. Datatilsynet lægger stor vægt på om virksomheden arbejder aktivt med GDPR.
Vi gennemgår jeres GDPR-status.
Vi viser jer hvor I står hvis Datatilsynet ringede i dag. Bruddokumentation klar? Fortegnelse opdateret? DPA'er på plads? Helt uden binding.
Eller ring 82 82 82 95Datatilsynet er ikke fjenden. Manglende dokumentation er.
Datatilsynet har en pragmatisk tilgang: de vil hellere se en virksomhed der har styr på det grundlæggende, og gerne hjælpe med resten, end en der gemmer alt. Hvis I selv anmelder, samarbejder og dokumenterer foranstaltninger, ender de fleste sager med påbud, ikke bøde. Det er forskellen mellem en irriterende men håndterbar proces og en pressesag på 6 cifre.
Læs vores GDPR uden jura-guideKlar til at være
klar når de ringer?
15 minutter på Teams, vi viser hvad I bør have klar, og hvordan BestSecurity.IO automatiserer det meste. Helt uden binding.
Book demo