Potensielle store økonomiske konsekvenser for virksomheter
Den nylige avgjørelsen fra EU-domstolen (CJEU) om å beregne GDPR-bøter basert på den globale omsetningen til en bedriftsgruppe markerer et betydelig skifte i håndhevelsen av databeskyttelse. Denne bloggposten fremhever de viktigste aspektene ved denne utviklingen og hva det betyr for selskaper over hele verden.
Viktige punkter fra CJEU-avgjørelsen
-
Global omsetning som grunnlag for bøter
CJEU har bekreftet at maksimumsgrensene for GDPR-bøter skal beregnes ved bruk av den globale omsetningen til hele gruppen av foretak, ikke bare den aktuelle enheten. Dette betyr at bøtene kan bli betydelig høyere, noe som gjenspeiler den økonomiske kapasiteten til den bredere økonomiske enheten.
-
Implikasjoner for konsern grupperinger
Avgjørelsen understreker at et "foretak" ved beregning av bøter inkluderer hele den økonomiske enheten, i tråd med EU-konkurranselovgivningen. Denne tolkningen gjelder uavhengig av involveringen eller ansvaret til andre enheter innen gruppen i GDPR-bruddet.
-
Maksimumsgrenser for bøter
GDPR setter maksimumsgrenser for bøter til det høyeste av €10 millioner eller 2 % av den totale verdensomspennende årlige omsetningen, eller €20 millioner eller 4 % av den totale verdensomspennende årlige omsetningen, avhengig av de spesifikke bruddene. CJEUs avgjørelse sikrer at disse grensene anvendes på den globale omsetningen til en gruppe av virksomheter.
-
Virksomhetens sansvar
Denne avgjørelsen understreker viktigheten av virksomhetens ansvar som helhet. Virksomheten må sikre at alle enheter overholder GDPR-kravene, da de økonomiske straffene nå kan gjenspeile den samlede økonomiske styrken til hele gruppen.
Praktiske trinn for overholdelse
-
Gjennomfør omfattende risikovurderinger
Gjennomfør regelmessige risikovurderinger for å identifisere og redusere cyberrisikoer på tvers av alle enheter i virksomheten.
-
Implementer policyer som omfatter hele virksomheten
Utvikle og håndhev overordnede policyer som gjelder for alle enheter innen virksomheten. Sørg for at disse policyene er i samsvar med GDPR-kravene og anvendes konsekvent.
-
Tren på hendelser og øk kompetansen og bevistheten blant ansatte
Gi kontinuerlig trening og informasjon for ansatte på alle nivåer innen virksomheten for å øke generell bevisthet og fokus. Sørg for at de ansatte er klar over sitt ansvar og de potensielle konsekvensene av manglende overholdelse.
Sjekk ut våre praktiske og interaktive øvelser. -
Styrk planer for hendelseshåndtering
Utvikle robuste planer for hendelseshåndterings, som dekker alle enheter i virksomheten. Sørg for at enhetene er godt kjent med disse planene, samt at de regelmessig testes og oppdateres for å gjenspeile de nyeste truslene og regulatoriske kravene.
-
Overvåk og revider overholdelse
Overvåk og revider regelmessig overholdelsen av GDPR-kravene på tvers av bedriftsgruppen. Bruk disse revisjonene til å identifisere forbedringsområder og sikre at korrigerende tiltak iverksettes raskt.
Konklusjon
CJEUs avgjørelse om å basere GDPR-bøter på den globale omsetningen til konsern/hele virksomheten, fremhever behovet for omfattende og konsekvente praksiser på tvers av alle enheter i virksomheten.
Ved å forstå implikasjonene av denne avgjørelsen og ta proaktive skritt for å forbedre overholdelsen, kan selskaper bedre beskytte seg mot betydelige økonomiske straffer og sikre personvernet og sikkerheten til personopplysninger.
Lurer du på hvor stor bot din virksomhet kan få?
