Nytt rekordår for GDPR-bøter

Nyhet
18 jan 2024
Category
Innsikt

Europeiske tilsynsmyndigheter har det siste året utstedt bøter for nesten 1,8 milliarder euro for brudd på EUs personvernsforordning (GDPR). Dette er en økning på mer enn 14 prosent sammenlignet med tilsvarende periode året før. Økningen skyldes i stor grad en rekordbot på 1,2 milliarder euro til Meta, selskapet bak Facebook og Instagram.

Det globale advokatfirmaet DLA Piper har i dag publisert funnene fra sin årlige  "GDPR fines and data breach survey». Rapporten avdekker at bøtenivået for brudd på EUs personvernsforordning (GDPR) fortsetter å stige. Undersøkelsen dekker alle 27 medlemsstater i EU, samt Storbritannia, Norge, Island og Liechtenstein. Siden GDPR-regelverket trådte i kraft i 2018, nærmer nå samlede bøter seg 4,7 milliarder euro. 

Historisk rekordbot til Meta
Restriksjonene på overføring av personopplysninger til tredjeland har vært et sentralt fokusområde for europeiske tilsynsmyndigheter de siste årene, noe som i 2023 gikk spesielt hardt utover Meta. Selskapet mottok en rekordstor bot på hele 1,2 milliarder euro (omkring 14 milliarder kroner) etter at det irske datatilsynet (DPC) konkluderte med at selskapets overføring av data om europeiske Facebook-brukere til USA er ulovlig. Irland, som er et populært hovedsete for teknologiselskaper, har utstedt syv av de ti største bøtene i perioden. Landet topper også listen for samlede GDPR-bøter med en totalverdi på 2,86 milliarder euro siden 2018.

I løpet av det siste året har tilsynsmyndighetene i Europa utstedt totalt 1,78 milliarder euro i bøter, en økning på 14,10% fra totalt 1,56 milliarder euro året før. Denne økningen er betydelig mindre enn veksten fra 2022 til 2023 (50 prosent), noe som delvis kan tilskrives en rekke vellykkede ankeprosesser i ulike jurisdiksjoner, som har ført til reduksjon eller i noen tilfeller opphevelse av bøter.

Stabil mengde varsler – danskene rapporterer hyppigst
Det har ikke vært noen signifikant økning i antall varslede regelbrudd i perioden. Gjennomsnittlig ble det rapportert om 335 avvik per dag, sammenlignet med 328 i samme periode året før. Tyskland, Nederland og Polen rapporterte flest ganger i antall, mens Danmark toppet listen sett i forhold til innbyggertall med 204 rapporterte avvik. Til sammenligning ble det i Norge rapportert om 49 overtredelser, noe som gir en syvende plass på listen i denne kategorien. 

Færre og større bøter i Norge
Det norske Datatilsynet har siden 2018 utstedt gebyrer på 12,2 millioner euro for brudd på GDPR. Personvernåret 2023 viser at tilsynsmyndighetene her til lands fortsatt er aktive, men at gebyrene er færre og større. 

- Dette har antakelig sammenheng med at kredittopplysningsloven trådte i kraft i 2022, noe som har gitt mindre kredittvurderingssaker, sier partner og advokat i DLA Piper Norway, Ketil Sellæg Ramberg.

Ramberg har omfattende erfaring med personvernjuss, og har rådgitt norske og internasjonale klienter med personvernrettslige spørsmål siden 2009.

Av de større sakene i Norge i 2023, er det særlig verdt å nevne gebyret på 65 millioner kroner til Grindr som ble opprettholdt av Personvernnemnda. Videre ila Datatilsynet NAV et gebyr på 20 millioner kroner grunnet mangelfulle IT-systemer, og Sats ble bøtelagt med 10 millioner kroner for å ha brukt for lang tid på å svare en kundes forespørsel om innsyn og sletting. Datatilsynet har varslet at de følger med på bruken av kunstig intelligens (KI), men enda har det ikke kommet noen større saker om KI. Det blir interessant å se om 2024 blir året hvor Datatilsynet gir bøter for ulovlig bruk av KI, sier Ramberg.

Trykk her for å få tilgang til rapporten.