Nå er kontrollene for GDPR i gang, og de første millionbøtene er delt ut.

– De straffer mye hardere enn hva jeg hadde forventet, sier Mette Blanner, Partner i PersondataSupport.

Hun forteller hvordan GDPR-kontrollene foregår, og hva din bedrift bør gjøre for å forberede seg.

GDPR ble innført i mai 2018 i EU, og i august i Norge. Nå er kontrollene og bøtene begynt å komme i flere europeiske land. I Norge har Datatilsynet allerede gitt en millionbot til Bergen Kommune etter at brukernavn og passord til 35.000 elever og ansatte i grunnskolen i Bergen lå åpent tilgjengelig for andre brukere.

I Frankrike ser vi at det franske Datatilsynet har delt ut en bot til Google på 50 millioner. Så bøtene som det ble varslet om er ingen tomme trusler. Også i våre naboland har Datatilsynene vært aktive.

– Det danske Datatilsynet har utført flere kontroller, og jeg er overrasket over at de har gått så hardt ut, sier Mette Blanner.

Hun har flere historier om hvordan bedrifter har blitt straffet i Danmark

– Under en kontroll hos en bedrift, noterte de seg hvor mange medarbeidere som forlot PC skjermen uten å låse den. For hver medarbeider de noterte seg fikk bedriften en bot på 5000 Danske Kroner. Det er også bedrifter som er blitt politianmeldt for ikke å ha ryddet opp, sier Blanner.

Risikerer man fengsel?

– Her i Danmark sier de at direktøren kan straffes med opptil 6 måneder fengsel. Hva som må ligge til grunn for en fengselsstraff, vet jeg ikke, sier Blanner.

Bøtene har ikke blitt fakturert enda, men politianmeldelser og bøteforslag er sendt videre i systemet.

 

Slik foregår kontrollene i Danmark

Hvordan foregår kontroller?

  • Det foregår slik at Datatilsynet sender et brev om når de kommer, for eksempel to uker frem i tid. Innen den tid skal bedriften fylle ut et spørreskjema, forklarer Blanner.

Dersom man får et brev om tilsyn to uker frem i tid, kan man da bruke disse to ukene til GDPR-skippertak?

  • Datatilsynet i Danmark har laget en regel om at arbeidet som blir gjort fra de mottar brevet frem til tilsynsbesøket, blir ignorert, sier Blanner.

Så man kan ikke forberede seg i siste liten?

  • Nei, og det var nok mange bedrifter her som hadde det som strategi. At de skulle avvente og se om det kom varsel om tilsyn. At dersom de fikk varsel om kontroll, så skulle de ta et skippertak. Men det går ikke, man må være GDPR compliant før man får vite at det kommer kontroll/tilsyn fra Datatilsynet, sier Blanner.


Slik ser spørreskjemaene som danske Datatilsynet sender ut

Ved å klikke på lenkene under kan du se hvilke spørreskjema det danske Datatilsynet sender til bedrifter før de kommer på kontroll. Det sier noe om hva de har fokus på. Vi vet ikke om det vil bli sendt ut tilsvarende spørreskjema, og om det norske Datatilsynet vil ha samme tilnærming som i Danmark, men det er ikke utenkelig.

https://www.datatilsynet.dk/media/6924/spoergeskema-sletning.pdf

https://www.datatilsynet.dk/media/6923/spoergeskema-retshaandhaevelse.pdf

https://www.datatilsynet.dk/media/6920/oplysningsskema-private-virksomheder-dpo-tilsyn.pdf

https://www.datatilsynet.dk/media/6919/oplysningsskema-offentlige-myndigheder-dpo-tilsyn.pdf

 

Hvordan bør du forberede deg?

Hvilken GDPR strategi du bør velge for 2019, kommer an på ditt utgangspunkt.

Det kan du lese mer om denne bloggen

Uavhengig av utgangspunkt trenger du gode verktøy, som hjelper deg å ha en ryddig og riktig tilnærming til GDPR. Vi anbefaler verktøyet fra PersondataSupport som du finner i ALSO Cloud Marketplace.