Artikel top billede

GDPR fylder tre år: Her er de virksomheder, der har været involveret i de største GDPR-sager

I denne uge har GDPR haft tre års fødselsdag. Her har du de største sager fra de seneste tre år.

Det er i disse dage tre år siden, at EU’s persondataforordning, GDPR, trådte i kraft, og med den i hånden har det været muligt at idømme virksomheder millionbøder, hvis de har misbrugt eller sjusket med kundernes persondata.

Helt konkret har loven betydet, at virksomheder kunne blive idømt bøder på til 20 millioner euro eller fire procent af deres globale omsætning.

I Danmark er der indtil videre kun ganske få virksomheder, der er blevet indstillet til GDPR-bøder, og de fleste har været af begrænset størrelse.

Men datatilsynene i andre europæiske lande har i nogle tilfælde haft det helt store bødehæfte fremme.

Herunder kan du fået et overblik over de største bøder i Danmark såvel som i udlandet.

De fem største danske GDPR-sager

1. Taxa 4x35. Bødestørrelse: 1,2 millioner kroner
Det danske taxaselskab 4x35 blev i juni 2020 indstillet til en GDPR-bøde på 1,2 millioner kroner.

Det skete efter, at Datatilsynet i forbindelse med et tilsyn i efteråret 2018 konstaterede, at selskabet i strid med GDPR opbevarede oplysninger om kunders telefonnumre og lokationsdata, der relaterede sig til opsamlings- og afleveringsadresse.

2. Arp Hansen Hotel Group. Bødestørrelse: 1,1 millioner kroner
Hotelkæden Arp-Hansen blev i juli 2020 indstillet til en GDPR-bøde på 1,1 millioner kroner.

Det skyldes, at Datatilsynet blev opmærksom på, at hotelkæden havde opbevaret 500.000 kundeprofiler, der burde have været slettet.

3. Privatbo a.m.b.a. Bødestørrelse: 150.000 kroner
Administrationsselskabet Privatbo blev i august 2020 indstillet til en bøde på 150.000.

Her var forklaringen, at selskabet havde uddelt usb-nøgler med lejekontrakter, hvor der også var tilknyttet dokumenter med personoplysninger af fortrolig karakter.

4. IDDesign: 100.000 kroner
Ejeren af møbelkæden Ilva, IDDesign, fik i februar en GDOR-bøde på 1000.000 kroner.

Bøden blev udstedt efter, at Datatilsynet under en kontrol i maj 2018 kostaterede, at virksomheden opbevarede data 385.000 kunder i et gammelt it-system

Datatilsynet havde dog oprindeligt indstillet virksomheden til en markant større bøde på 1,5 millioner kroner.

5. Gladsaxe Kommune. Bødestørrelse: 100.000
Hos Gladsaxe Kommune havde man forsømt at udstyre sine computere med kryptering, hvilket ifølge Datatilsynet har udsat borgerne for en unødig høj risiko, da en bærbar computer med oplysninger på 20.000 borgere blev stjålet.

Derfor indstillede Datatilsynet i marts til at Gladsaxe Kommune skulle have en bøde på 100.000 kroner.

De største GDPR-bøder internationalt

1. Google. Bødestørrelse: 50 millioner euro
I 2019 modtog Google verdens hidtil største GDPR-bøde på 50 millione euro, hvilket svarer til 372 millioner kroner.

Bøden blev udstedt af det franske datatilsyn, CNIL, der vurderede, at Google manglede gennemsigtighed og klarhed over de metoder, som selskabet bruger til at håndtere persondata.

2. H&M. Bødestørrelse. 35 millioner euro

Det svenske tøjgigant H&M fik i oktober 2020 en bøde på 35 millioner euro, hvilket svarer til 260 millioner kroner, af Datatilsynet i den tyske storby Hamburg.

Bøden blev udstedt, fordi selskabet havde gemt personlige oplysninger om flere hundrede medarbejdere.

Når en medarbejder vendte tilbage efter en ferie eller sygeorlov, skulle medarbejdere gennemføre en samtale med sin overordnede. I nogle tilfælde blev samtalerne optaget og gjort tilgængelige for mere end 50 H&M-chefer.

I samtalerne blev der blandt andet drøftet ting, der relaterede sig til medarbejdernes sundhed, familieliv og religiøse overbevisninger.

3. Telecom Italia. Bødestyrrelse: 27,8 millioner euro
I januar 2020 modtog det italienske teleselskab Telecom Italia en GDPR-bøde på 27,8 millioner euro eller 207 millioner kroner.

Telesleskabet havde blandt andet bombarderet millioner af kunder med telefonopkald og andre former kommunikation, selvom flere af kunderne havde skrevet sig på officielle markedsføringsbeskytteleses-lister.

4. British Airways. Bødestørrelse: 22 millioner euro
Det britiske flyselskab modtog i oktober 2020 en GDPR-bøde på 22 millioner euro – eller 164 millioner kroner - fra det britiske datatilsyn ICO.

Årsagen til bøden skal findes i et databrud, hvor hackere fik adgang til blandt andet betalingsoplysninger på 400.000 af flyselskabets kunder.

5. Marriot. Bødestørrelse. 20,4 millioner euro

Hotelkæden Marriot fik lækket data på 383 millioner gæster, hvor af de 30 millioner var EU-borgere. Det indbragte selskabet en bøde på intet mindre 152 millioner euro.



Premium
Sådan får du innovationen til at blomstre i din virksomhed: "Det bliver gjort forkert i 90 procent af tilfældene"
For at ramme plet med digitale løsninger er innovation afgørende, og det flyvske begreb er noget, der bør gribes systematisk an. "Innovation er ikke lig med post-its. Man skal både arbejde med kulturen, tankegangen og værktøjskassen," siger Thomas Ove Rasmussen, innovationsdirektør i Trifork.
Computerworld
Efter Windows 11-lækket: Her er de nye elementer - og lanceringsdatoen
Podcast: Hvad kan Windows 11 tilbyde? Hvad kræver det af dit hardware? Hvornår kommer det? Og hvorfor har NNIT indsat Pär Fors som ny topchef? Ham har vi mødt på hans kontor i Søborg. Få svarene i denne episode af Computerworlds nyhedspodcast.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
White paper
Whitepaper: Sådan kobler du kunstig intelligens på forskningen
Målrettet anvendelse af AI og High Performance Computing skyder genvej til indsigt i store mængder rå data og – i sidste ende – gennembrud i forskning og udviklingsarbejde.