Forside · Compliance · Datatilsynet
Datatilsynet, Guide

Når Datatilsynet
kommer på besøg.

Datatilsynet er Danmarks uafhængige tilsynsmyndighed for GDPR. De vurderer bruddokumentationer, gennemfører tilsyn og udsteder bøder ved overtrædelser. Forskellen på et besøg der varer en time, og et der bliver til en sag, er hvad I har klar.

72t
Anmeldelsesfrist
20M €
Maks. bøde
4%
Af global omsætning

KORT SVAR

Datatilsynet håndhæver GDPR i Danmark og kan udstede bøder på op til 20 mio. euro eller 4% af global omsætning. De hyppigste årsager til bøder er manglende databehandleraftaler, utilstrækkelig sikkerhed og manglende anmeldelse af databrud inden for 72 timer.

HVEM ER DATATILSYNET

Den uafhængige myndighed.
Med tænder.

Datatilsynet er den centrale, uafhængige myndighed der fører tilsyn med GDPR i Danmark. De rådgiver virksomheder, vurderer brudanmeldelser, gennemfører tilsyn, og kan udstede både påbud og bøder. De har ikke retsforfølgelseskompetence, men de kan anmelde sager til politiet.

HVAD DE GØR

Vejleder, tilser og sanktionerer

Vejledning til virksomheder, modtagelse af brudanmeldelser (Art. 33), klager fra borgere, tilsynsbesøg, vurdering af DPIA'er, internationale dataoverførsler. Beslutninger kan ankes til Østre Landsret.

HVORDAN DE ARBEJDER

Risikobaseret og reaktivt

Tilsynsbesøg sker primært baseret på borgerklager, medieomtale eller selvanmeldte brud. Datatilsynet udsender ca. 30-50 påbud og 5-15 politianmeldelser/bøder pr. år, så hvert besøg er målrettet og grundigt.

DEN KRITISKE TIDSLINJE

72 timer.
Det er hele tidsrummet.

Når et databrud opdages, har I 72 timer til at anmelde det til Datatilsynet (GDPR Art. 33). Forsinket anmeldelse uden god grund er i sig selv en overtrædelse, og udløser bøder selv hvis selve bruddet er mindre alvorligt.

0t
BRUDDET OPDAGES

Initial vurdering

Et brud opdages, ransomware, kompromitteret konto, fejl-sendt mail med persondata. Her starter uret. I skal vurdere: er der risiko for de registreredes rettigheder?

24-48t
UNDERSØGELSE

Omfang & foranstaltninger

Hvad skete der? Hvilke data? Hvor mange personer? Hvad har I gjort for at inddæmme det? Hvad gør I for at forhindre gentagelse? Dokumentation samles til anmeldelsen.

72t
FRIST FOR ANMELDELSE

Anmeldelse til Datatilsynet

Anmeldelse via virk.dk med beskrivelse af bruddet, omfang, kategorier af berørte personer, sandsynlige konsekvenser og foranstaltninger. Sen anmeldelse kræver begrundelse.

HVAD SKAL ANMELDES

Ikke alt er et brud.
Men mere end I tror.

Et brud på persondatasikkerheden inkluderer mere end hacking. Tabt USB-nøgle, fejl-sendt mail, midlertidigt utilgængelige systemer, alt der påvirker fortrolighed, integritet eller tilgængelighed af persondata kan kvalificere.

Ransomware & hacking

Uautoriseret adgang til systemer der indeholder persondata. Selv hvis data ikke synligt blev udtrukket, antages tab af fortrolighed indtil andet er bevist.

Fejl-sendt mail

Mail med persondata sendt til forkert modtager. En af de mest almindelige brud, og en der ofte glemmes anmeldt fordi virksomheder undervurderer alvoren.

Mistede enheder

Tabt eller stjålen laptop, telefon eller USB-nøgle med ukrypteret persondata. Krypterede enheder kan ofte undgå anmeldelse, ukrypterede kan ikke.

Utilgængelige systemer

Længere nedetid hvor persondata ikke kan tilgås (ransomware før genopretning, defekt backup). Påvirker tilgængelighed, også et brud på persondatasikkerheden.

Insider-misbrug

Medarbejder der tilgår persondata uden tjenstligt behov, eller kopierer data ved fratrædelse. Også selvom det er en intern hændelse, kan det kræve anmeldelse.

Phishing-fald

Medarbejder der falder for phishing og afgiver login-oplysninger. Hvis det giver angriberen adgang til persondata, er det et brud, også før den faktiske adgang sker.

REELLE BØDER I DANMARK

Bøderne kommer,
og de bliver større.

Danmark har historisk haft lavere bøder end resten af EU, men det ændrer sig. Datatilsynet bruger oftere politianmeldelse som sanktionsvej, hvor domstolene udmåler bøder. Selv for SMV'er ses bøder på 100.000-1.000.000 DKK.

Bødens størrelse afhænger af alvor, varighed, om I selv anmeldte, og om I samarbejdede med tilsynet. At være velforberedt og dokumentere alt grundigt kan reducere bøden markant.

⚠ TYPISKE BØDESTØRRELSER I DANMARK

Skalaen afhænger af alvor og forsætlighed

Manglende eller sen anmeldelse
Brud opdaget men anmeldt for sent uden god grund
100-500k DKK
Manglende DPA eller fortegnelse
Persondata delt uden retsgrundlag eller dokumentation
100-300k DKK
Utilstrækkelig sikkerhed
Manglende kryptering, MFA eller adgangskontrol
500k-2 mio. DKK
For lang opbevaring af data
Persondata gemt ud over lovligt formål
500k-10 mio. DKK
Grov eller forsætlig overtrædelse
Ulovlig profilering, manglende samtykke, stort omfang
1-20 mio. €

Intervaller baseret på offentliggjorte afgørelser fra Datatilsynet. Konkrete sager kan findes på datatilsynet.dk under "Afgørelser".

Datatilsynet, faktaboks
VÆR INFORMERET
HVAD DET ER

Datatilsynet er Danmarks uafhængige tilsynsmyndighed for GDPR. De vejleder virksomheder, modtager brudanmeldelser, gennemfører tilsynsbesøg, vurderer DPIA'er og kan udstede både påbud og politianmeldelser der fører til bøder.

HVAD DE KAN GØRE
  • Gennemføre uanmeldte tilsynsbesøg
  • Kræve dokumentation udleveret
  • Udstede påbud om ændringer
  • Politianmelde med henblik på bøde
HVAD DE IKKE KAN
  • Selv udstede direkte bøder (de politianmelder)
  • Erstatte den almindelige domstol
  • Tilbyde juridisk rådgivning i konkret sag
  • Tildele erstatning til registrerede
JERES PLIGTER
  • Anmelde brud inden for 72 timer
  • Føre fortegnelse over behandlinger
  • Have passende sikkerhedsforanstaltninger

OFTE STILLEDE SPØRGSMÅL

Hvornår skal et databrud anmeldes til Datatilsynet?

Inden for 72 timer fra opdagelsen, hvis bruddet udgør en risiko for de registreredes rettigheder og frihedsrettigheder. Er der tvivl, anbefales det altid at anmelde, manglende anmeldelse er i sig selv en overtrædelse.

Kan Datatilsynet give bøde direkte til en dansk virksomhed?

Ja. Datatilsynet kan indstille til politiet der rejser tiltale. Bøderne kan nå op til 20 mio. euro eller 4% af global omsætning for de alvorligste overtrædelser (GDPR artikel 83, stk. 5).

Hvad er de hyppigste årsager til Datatilsynets bøder i Danmark?

Manglende eller ufuldstændige databehandleraftaler, utilstrækkelige tekniske sikkerhedsforanstaltninger og manglende eller for sen anmeldelse af databrud. Disse tre kategorier udgør flertallet af alle sager.

Hvad reducerer risikoen for bøde mest?

Dokumenteret compliance-arbejde: behandlingsfortegnelse, DPA-aftaler med alle databehandlere, og en hændelsesplan der sikrer 72-timers fristen. Datatilsynet lægger stor vægt på om virksomheden arbejder aktivt med GDPR.

VÆR FORBEREDT, IKKE OVERRASKET

Vi gennemgår jeres GDPR-status.

Vi viser jer hvor I står hvis Datatilsynet ringede i dag. Bruddokumentation klar? Fortegnelse opdateret? DPA'er på plads? Helt uden binding.

Eller ring 82 82 82 95
VI RINGER TILBAGE
Vi gemmer kun jeres oplysninger til at ringe tilbage.
EN ÆRLIG SNAK

Datatilsynet er ikke fjenden. Manglende dokumentation er.

Datatilsynet har en pragmatisk tilgang: de vil hellere se en virksomhed der har styr på det grundlæggende, og gerne hjælpe med resten, end en der gemmer alt. Hvis I selv anmelder, samarbejder og dokumenterer foranstaltninger, ender de fleste sager med påbud, ikke bøde. Det er forskellen mellem en irriterende men håndterbar proces og en pressesag på 6 cifre.

Læs vores GDPR uden jura-guide

Klar til at være
klar når de ringer?

15 minutter på Teams, vi viser hvad I bør have klar, og hvordan BestSecurity.IO automatiserer det meste. Helt uden binding.

Book demo