Det er i disse dage tre år siden, at EU’s persondataforordning, GDPR, trådte i kraft, og med den i hånden har det været muligt at idømme virksomheder millionbøder, hvis de har misbrugt eller sjusket med kundernes persondata.
Helt konkret har loven betydet, at virksomheder kunne blive idømt bøder på til 20 millioner euro eller fire procent af deres globale omsætning.
I Danmark er der indtil videre kun ganske få virksomheder, der er blevet indstillet til GDPR-bøder, og de fleste har været af begrænset størrelse.
Men datatilsynene i andre europæiske lande har i nogle tilfælde haft det helt store bødehæfte fremme.
Herunder kan du fået et overblik over de største bøder i Danmark såvel som i udlandet.
De fem største danske GDPR-sager
1. Taxa 4x35. Bødestørrelse: 1,2 millioner kroner
Det danske taxaselskab 4x35 blev i juni 2020 indstillet til en GDPR-bøde på 1,2 millioner kroner.
Det skete efter, at Datatilsynet i forbindelse med et tilsyn i efteråret 2018 konstaterede, at selskabet i strid med GDPR opbevarede oplysninger om kunders telefonnumre og lokationsdata, der relaterede sig til opsamlings- og afleveringsadresse.
2. Arp Hansen Hotel Group. Bødestørrelse: 1,1 millioner kroner
Hotelkæden Arp-Hansen blev i juli 2020 indstillet til en GDPR-bøde på 1,1 millioner kroner.
Det skyldes, at Datatilsynet blev opmærksom på, at hotelkæden havde opbevaret 500.000 kundeprofiler, der burde have været slettet.
3. Privatbo a.m.b.a. Bødestørrelse: 150.000 kroner
Administrationsselskabet Privatbo blev i august 2020 indstillet til en bøde på 150.000.
Her var forklaringen, at selskabet havde uddelt usb-nøgler med lejekontrakter, hvor der også var tilknyttet dokumenter med personoplysninger af fortrolig karakter.
4. IDDesign: 100.000 kroner
Ejeren af møbelkæden Ilva, IDDesign, fik i februar en GDOR-bøde på 1000.000 kroner.
Bøden blev udstedt efter, at Datatilsynet under en kontrol i maj 2018 kostaterede, at virksomheden opbevarede data 385.000 kunder i et gammelt it-system
Datatilsynet havde dog oprindeligt indstillet virksomheden til en markant større bøde på 1,5 millioner kroner.
5. Gladsaxe Kommune. Bødestørrelse: 100.000
Hos Gladsaxe Kommune havde man forsømt at udstyre sine computere med kryptering, hvilket ifølge Datatilsynet har udsat borgerne for en unødig høj risiko, da en bærbar computer med oplysninger på 20.000 borgere blev stjålet.
Derfor indstillede Datatilsynet i marts til at Gladsaxe Kommune skulle have en bøde på 100.000 kroner.
De største GDPR-bøder internationalt
1. Google. Bødestørrelse: 50 millioner euro
I 2019 modtog Google verdens hidtil største GDPR-bøde på 50 millione euro, hvilket svarer til 372 millioner kroner.
Bøden blev udstedt af det franske datatilsyn, CNIL, der vurderede, at Google manglede gennemsigtighed og klarhed over de metoder, som selskabet bruger til at håndtere persondata.
2. H&M. Bødestørrelse. 35 millioner euro
Det svenske tøjgigant H&M fik i oktober 2020 en bøde på 35 millioner euro, hvilket svarer til 260 millioner kroner, af Datatilsynet i den tyske storby Hamburg.
Bøden blev udstedt, fordi selskabet havde gemt personlige oplysninger om flere hundrede medarbejdere.
Når en medarbejder vendte tilbage efter en ferie eller sygeorlov, skulle medarbejdere gennemføre en samtale med sin overordnede. I nogle tilfælde blev samtalerne optaget og gjort tilgængelige for mere end 50 H&M-chefer.
I samtalerne blev der blandt andet drøftet ting, der relaterede sig til medarbejdernes sundhed, familieliv og religiøse overbevisninger.
3. Telecom Italia. Bødestyrrelse: 27,8 millioner euro
I januar 2020 modtog det italienske teleselskab Telecom Italia en GDPR-bøde på 27,8 millioner euro eller 207 millioner kroner.
Telesleskabet havde blandt andet bombarderet millioner af kunder med telefonopkald og andre former kommunikation, selvom flere af kunderne havde skrevet sig på officielle markedsføringsbeskytteleses-lister.
4. British Airways. Bødestørrelse: 22 millioner euro
Det britiske flyselskab modtog i oktober 2020 en GDPR-bøde på 22 millioner euro – eller 164 millioner kroner - fra det britiske datatilsyn ICO.
Årsagen til bøden skal findes i et databrud, hvor hackere fik adgang til blandt andet betalingsoplysninger på 400.000 af flyselskabets kunder.
5. Marriot. Bødestørrelse. 20,4 millioner euro
Hotelkæden Marriot fik lækket data på 383 millioner gæster, hvor af de 30 millioner var EU-borgere. Det indbragte selskabet en bøde på intet mindre 152 millioner euro.