Nok et rekordår for GDPR-bøter

Europeiske tilsynsmyndigheter har det siste året utstedt bøter for 2,9 milliarder euro for brudd på EUs personvernsforordning (GDPR). Dette er tilsvarer mer enn en dobling sammenlignet med samme periode året før, viser en ny rapport fra det internasjonale advokatfirmaet DLA Piper.

Bøtene er ilagt virksomheter for et bredt spekter av brudd på EUs personvernsregler, og representerer en økning på 50 prosent sammenlignet med tilsvarende periode i fjor, da summen var 1,1 milliarder euro. I Norge er det i samme periode utstedt bøter for i underkant av 105 millioner kroner, mens summen for tilsvarende periode i 2021 var 85 millioner kroner.

Tallene er hentet fra en den årlige "GDPR fines and data breach survey" som  utarbeides av det globale advokatfirmaet DLA Piper. Rapporten inkluderer EUs 27 medlemstater, samt Storbritannia, Norge, Island og Liechtenstein

Store bøter til Meta
Luxembourg og Irland var landene som delte ut de største GDPR-bøtene i 2022. Spesielt hardt gikk det utover Meta Platforms Ireland Ltd. (Meta), noe som understreker at sosiale medier og deres omfattende behandling av personopplysninger har vært et spesielt viktig fokusområde for tilsynsmyndighetene i 2022. Flere av bøtene som er ilagt Meta i år er knyttet til Facebook og Instagrams profilering av brukeradferd og hvorvidt Meta kunne benytte avtale med den registrerte som det lovlige behandlingsgrunnlaget for å begrunne masseinnsamling av personopplysninger for å begrunne tilpasset markedsføring. 

Mens de irske tilsynsmyndighetene i utgangspunktet konkluderte med at dette var innenfor regelverket, var det innflytelsesrike europeiske personvernrådet (EDPB) uenig i en slik tilnærming. Sakene ble behandlet i EDPB blant annet etter aktiv deltakelse fra det norske Datatilsynet. De ilagte bøtene knyttes til spørsmål om den omfattende «byttehandelen» som finner sted mellom forbrukere og tjenesteleverandører (personopplysninger herunder profilering og tilpasset markedsføring) «byttes» mot en «gratis» plattformtjeneste. Dette reiser sentrale spørsmål om hvordan "gratis" nettjenester vil finansieres i fremtiden dersom eksempelvis Meta og andre plattformtilbydere må basere seg på samtykke og ikke avtalegrunnlag for å levere tilpasset markedsføring. Gitt hva som står på spill, forventes det at disse avgjørelsene vi bli anket med påfølgende rettssaker de neste årene.

Samtidig som problemer med personopplysninger knyttet til reklame og sosiale medier har dominert overskriftene i år, ser man også et økende fokus på kunstig intelligens, og hvordan personopplysninger brukes til å trene opp AI. Mest fremtredende er undersøkelsene som ble iverksatt ovenfor ansiktsgjenkjenningsselskapet Clearview AI etter klager fra digitale rettighetsorganisasjoner med påfølgende bøter fra flere europeiske tilsynsmyndigheter.

Færre varsler
Undersøkelsen viser at volumet av rapporterte avvik synker noe sammenlignet med året før, fra 328 varsler per dag til 300 varsler per dag i 2022. Dette kan være et tegn på at selskaper og organisasjoner har blitt mer forsiktige med å varsle avvik til tilsynsmyndighetene i frykt for at det skal igangsettes undersøkelser, bøtelegging og erstatningskrav.

Med hensyn til folketall er det Nederland, Danmark og Liechtenstein som hyppigst melder uregelmessigheter til tilsynsmyndighetene. Med 37,53 rapporterte avvik per 100 000 innbygger er Norge nummer åtte på listen. Dette er to plasser høyere enn i 2021, men likevel en nedgang på omkring 15 prosent sammenlignet med fjoråret.

- Personvernåret 2022 viser at antall bøter og størrelsene på disse fortsetter å vokse. I Europa ble det gitt store bøter til nettgiganter som Meta, mens her hjemme opprettholdt Datatilsynet gebyret ilagt Grindr på MNOK 65. Denne skal nå opp i Personvernnemda. Ellers preges Datatilsynets gebyrer i 2022 av noen «gjengangere» som ulovlige kredittvurderinger og ulovlig innsyn i ansattes e-post samt utilstrekkelig IT-sikkerhet eller innebygget personvern med tilhørende konsekvenser for personvernet både i offentlig og privat sektor. Overtredelsesgebyr til Stortinget (2 millioner kroner), NAV (5 millioner kroner) og Trumf (5 millioner kroner) er eksempler på dette. Vi hadde også trodd at Datatilsynet skulle fatte endelig vedtak etter det varslede gebyret på MNOK 25 mot Disqus i mai 2021, men den kommer vel da trolig i år,  sier Petter Bjerke som leder DLA Pipers norske faggruppe for personvern og datasikkerhet.