Rapport: Rekordhøye GDPR-bøter i 2021

18. JANUAR 2022: Bøtene er ilagt virksomheter for et bredt spekter av brudd på EUs personvernsregler, og representerer en økning på hele 585 prosent sammenlignet med tilsvarende periode i fjor, da tallet var 158,5 millioner euro. I Norge er det i samme periode utstedt bøter for i underkant av 8 millioner euro. Tallene er hentet fra en ny rapport utarbeidet av advokatfirmaet DLA Piper. Rapporten inkluderer EUs 27 medlemstater, samt Storbritannia, Norge, Island og Liechtenstein

Rekordhøye bøter
Luxembourg og Irland delte ut to rekordstore GDPR-bøter i 2021, noe som rammet henholdsvis en amerikansk e-handelsplattform (746 millioner euro) og WhatsApp Ireland Limited (225 millioner euro). Begge sakene er gjenstand for pågående klagebehandling.

Luxembourg og Irland klatrer dermed fra bunn til topps på listen over land som har delt ut de største individuelle bøtene. 

- Personvernåret 2021 så en markant økning i antall bøter og størrelse. I Europa ble det gitt store bøter til nettgiganter som Google, mens her hjemme delte Datatilsynet ut Norges hittil største gebyr til datingappen Grindr på 65 millioner kroner. Mest fokus fikk imidlertid kanskje Datatilsynets avgjørelse om å slutte og bruke Facebook, sier Petter Bjerke som leder DLA Pipers norske faggruppe for personvern og datasikkerhet.

Økning i antall rapportere regelbrudd
Også antall rapporterte brudd på personopplysningssikkerheten fortsetter å øke.

- Vi ser at veksten i antall rapporterte regelbrudd fortsetter. Mens det i 2020 var et  gjennomsnitt på 331 varsler per dag, er 356 varsler per dag fasit for 2021, en økning på 8 prosent, sier Petter Bjerke.

Med hensyn til folketall er det Nederland, Liechtenstein og Danmark som hyppigst melder uregelmessigheter til tilsynsmyndighetene. Med 44,12 rapporterte avvik per innbygger er Norge nummer ti på listen. Sammenlignet med tilsvarende periode i fjor, hvor tallet var 37,9, innebærer dette en økning på 16 prosent i rapporterte avvik per innbygger.

Totalt ble det varslet om mer enn 130 000 regelbrudd.

Schrems II-dommen byr på utfordringer
Selv om økningen i bøter er betydelig, er den såkalte Schrems II-dommen fra EU-domstolen i 2020 den største utfordringen for overholdelse av personvernsreglene for mange virksomheter som er omfattet av GDPR. Dommen legger strenge begrensninger på overføring av personopplysninger fra Europa og Storbritannia til "tredjeland".

Dommen innebærer at virksomheter som eksporterer personopplysninger fra Europa og Storbritannia til tredjeland må utføre omfattende kartlegging av disse overføringene og detaljerte vurderinger av de juridiske og praktiske risikoene for overvåkning fra offentlige myndigheter i landene der mottaker befinner seg.

Her i Norge har blant annet bompengeselskapet Ferde fått bot på 5 millioner kroner for ulovlig overføring av personopplysninger om norske bilister til Kina.

Ifølge funnene fra undersøkelsen skaper Schrems II-dommen ikke bare en risiko for bøter og erstatningskrav, den truer også med å stoppe overføringer av personopplysninger.

- Trusselen om å stoppe overføring av personopplysninger er potensielt mye mer skadelig og kostbar enn trusselen om bøter og erstatningskrav. Fokuset på overføringer og det betydelige arbeidet som kreves for å oppnå compliance betyr uunngåelig at organisasjoner har mindre tid, penger og ressurser til å fokusere på andre personvernrisikoer, sier Petter Bjerke.

Nøkkelfunn

• Luxembourg, Irland og Frankrike topper tabellen over de største individuelle bøtene som er utstedt (henholdsvis EUR746m, EUR225m og EUR50m).
• Mer enn 130 000 sikkerhetsbrudd ble rapportert i 2021, noe som er en økning på 8 % sammenlignet med 2020.
• Nederland er landet hvor det er varslet om flest avvik per innbygger.
• Økningen i bøter er betydelig, men Schrems II-dommen fra EU-domstolen som begrenser internasjonale overføringer av personopplysninger, er den største utfordringen for mange virksomheter som er omfattet av GDPR.