Rekordhøye GDPR-bøter i 2021

Europeiske tilsynsmyndigheter har det siste året utstedt bøter for 1,1 milliarder euro for brudd på EUs personvernsforordning (GDPR).

Publisert

Dette er en mangedobling sammenlignet med samme periode året før, skriver internasjonale advokatfirmaet DLA Piper i en pressemelding. Funnene kommer frem i en rapport selskapet akkurat har publisert.

Bøtene er ilagt virksomheter for et bredt spekter av GDPR-brudd. Økningen er på hele 585 prosent sammenlignet med tilsvarende periode i fjor. Da var samlede beløpet 158,5 millioner euro.

I Norge er det i samme periode utstedt bøter for i underkant av åtte millioner euro. DLA Pipers rapport EUs 27 medlemstater, samt Storbritannia, Norge, Island og Liechtenstein

Rekordhøye bøter

Luxembourg og Irland delte ut to rekordstore GDPR-bøter i 2021, noe som rammet henholdsvis en amerikansk e-handelsplattform (746 millioner euro) og WhatsApp Ireland Limited (225 millioner euro). Begge sakene er gjenstand for pågående klagebehandling.

Luxembourg og Irland klatrer dermed fra bunn til topps på listen over land som har delt ut de største individuelle bøtene.

Petter Bjerke, DLA Piper
Petter Bjerke, DLA Piper

– Personvernåret 2021 så en markant økning i antall bøter og størrelse. I Europa ble det gitt store bøter til nettgiganter som Google, mens her hjemme delte Datatilsynet ut Norges hittil største gebyr til datingappen Grindr på 65 millioner kroner. Mest fokus fikk imidlertid kanskje Datatilsynets avgjørelse om å slutte og bruke Facebook, sier Petter Bjerke som leder DLA Pipers norske faggruppe for personvern og datasikkerhet.

Også antall rapporterte brudd på personopplysningssikkerheten fortsetter ifølge DLA Piper å øke.

– Vi ser at veksten i antall rapporterte regelbrudd fortsetter. Mens det i 2020 var et gjennomsnitt på 331 varsler per dag, er 356 varsler per dag fasit for 2021, en økning på åtte prosent, sier Petter Bjerke.

Schrems II-dommen

Selv om økningen i bøter er betydelig, er den såkalte Schrems II-dommen fra EU-domstolen i 2020 den største utfordringen for overholdelse av personvernsreglene. Dommen legger strenge begrensninger på overføring av personopplysninger fra Europa og Storbritannia til "tredjeland".

Dommen innebærer at virksomheter som eksporterer personopplysninger fra Europa og Storbritannia til tredjeland må utføre omfattende kartlegging av disse overføringene og detaljerte vurderinger av de juridiske og praktiske risikoene for overvåkning fra offentlige myndigheter i landene der mottaker befinner seg.

Trusselen om å stoppe overføring av personopplysninger er potensielt mye mer skadelig og kostbar enn trusselen om bøter og erstatningskrav.

Her i Norge har blant annet bompengeselskapet Ferde fått bot på fem millioner kroner for ulovlig overføring av personopplysninger om norske bilister til Kina.

Ifølge funnene fra undersøkelsen skaper Schrems II-dommen ikke bare en risiko for bøter og erstatningskrav, den truer også med å stoppe overføringer av personopplysninger.

– Trusselen om å stoppe overføring av personopplysninger er potensielt mye mer skadelig og kostbar enn trusselen om bøter og erstatningskrav. Fokuset på overføringer og det betydelige arbeidet som kreves for å oppnå compliance betyr uunngåelig at organisasjoner har mindre tid, penger og ressurser til å fokusere på andre personvernrisikoer, sier Petter Bjerke.