Selv om selskapene har tilpasset seg personvernforordningen i flere år nå, er håndheving av brudd på personvernforordningen fortsatt relativt nytt for tilsynsmyndighetene. Siden personvernforordningen er så ny, har tilsynsmyndighetene lite presedens å vise til, og mange tilsynsmyndigheter jobber fortsatt med å finne ut hvordan de best kan håndheve forordningen. I dette innlegget går vi gjennom reglene du trenger å kjenne til om hvordan brudd på personvernforordningen bøtelegges. Vi setter også søkelyset på noen av de største GDPR-bøtene fra 2023 og tilbake til 2020, med innsikt i hvordan du kan unngå å få en bot, og hvilke GDPR-brudd som prioriteres for håndheving.
Hvis du vil lære mer om hvordan du kan unngå brudd på GDPR, og lære opp teamet ditt i viktigheten av sikker datahåndtering, tilbyr vi et kurs om å ta ansvar for personopplysninger, som er gratis i 14 dager.
Innholdsfortegnelse
- Regler for GDPR-bøter
- GDPR-straffer kommer i to nivåer
- Maksimal GDPR-bot for mindre brudd: opptil 10millioner euro eller 2 % av den globale årsomsetningen for det foregående året - avhengig av hva som er høyest
- Maksimal GDPR-bot for alvorlige brudd: opptil 20millioner euro eller 4 % av den globale årsomsetningen for det foregående året - avhengig av hva som er høyest
- Kriterier som påvirker bøter for brudd på personvernforordningen
- Andre hensyn som bør tas i forbindelse med GDPR-bøter
- Hvordan GDPR-overholdelse håndheves i praksis
- Største GDPR-bøter fra 2022
- Største GDPR-bøter fra 2021
- Største GDPR-bøter fra 2020
- Trender innen GDPR-straff og etterlevelse
- Hvilke GDPR-brudd straffes mest?
- Forventninger til GDPR-straffer i 2024
- Slik unngår du å få en GDPR-bot
- Spotlight:Varsler om datainnbrudd per dag
- Hva betyr dette for en gjennomsnittlig bedrift?
Regler for GDPR-bøter
Bøter for brudd på GDPR administreres av det enkelte lands tilsynsmyndighet. Tilsynsmyndighetene er ansvarlige for å undersøke om GDPR overholdes innenfor sine grenser og ilegge bøter for brudd på GDPR. Alle tilsynsmyndigheter håndhever personvernforordningen, men det er noe variasjon i hvordan de ulike tilsynsmyndighetene prioriterer hvilke brudd på personvernforordningen som skal straffes.
Selv om hver tilsynsmyndighet bestemmer hvordan de håndhever personvernforordningen, følger alle de samme reglene for bøtelegging. Disse reglene sier at mindre alvorlige brudd kan koste en organisasjon opptil 10 millioner euro eller 2% av årsomsetningen, og den maksimale GDPR-boten for mer alvorlige brudd kan koste opptil 20 millioner euro eller 4% av årsomsetningen .
Tolkningene varierer blant tilsynsmyndighetene
Selv om tilsynsmyndighetene er bundet av de samme prinsippene i personvernforordningen, er det ikke alltid de håndhever forordningen konsekvent. Derfor er det viktig at du setter deg inn i hvordan din tilsynsmyndighet håndhever bøter - for eksempel hvilke brudd på personvernforordningen som oftest blir bøtelagt, og hvilke typer virksomheter som blir straffet. Hver tilsynsmyndighet har et begrenset antall ressurser til å undersøke etterlevelse og administrere bøter. Noen tilsynsmyndigheter kan bruke disse ressursene til å samle store saker mot store selskaper, noe som resulterer i færre, men høyere bøter. Andre tilsynsmyndigheter kan prioritere å etterforske overtredelser i mindre skala, noe som resulterer i flere bøter på mindre beløp som vanligvis rettes mot mindre selskaper.
Tilsynsmyndighetene i Storbritannia, Irland og Luxembourg skaper for eksempel nyheter ved å utstede store, høyprofilerte bøter. På den annen side ilegger myndighetene i Italia og Spania et større antall bøter, men for mindre beløp. Et godt utgangspunkt er å se hvordan din tilsynsmyndighet opptrer.
Størrelsen på virksomheten din har betydning
Alle organisasjoner er pålagt å overholde personvernforordningen, men størrelsen på bøtene for brudd på personvernforordningen varierer avhengig av bedriftens størrelse. Siden ordlyden i GDPR kun angir maksimale bøter for alvorlige og mindre alvorlige brudd, gir den stor fleksibilitet når det gjelder bøtenes størrelse. I tillegg til overtredelsens alvorlighetsgrad tar tilsynsmyndigheten hensyn til selskapets størrelse og omsetning når de fastsetter boten.
Fleksibiliteten i bøtebeløpene betyr at mange selskaper kan forhandle seg frem til lavere bøter. Denne fleksibiliteten bidrar også til å sikre at en mindre overtredelse ikke fører til at bedriften må legge ned virksomheten, men du bør likevel unngå bøter, siden bedriftens tidligere brudd på personvernforordningen kan påvirke bøtens størrelse. Vi har en veiledning om hvordan du kan sørge for at organisasjonen din er i samsvar med GDPR.
GDPR-straffer kommer i to nivåer
Hvordan fastsettes bøtene? Nå skal vi se nærmere på de juridiske retningslinjene som tilsynsmyndighetene bruker når de vurderer brudd på personvernforordningen og utmåler bøter.
Hovedretningslinjen er at alle GDPR-brudd vurderes og bøtelegges i to ulike kategorier, avhengig av hvor alvorlige de er. De mest alvorlige bruddene medfører selvfølgelig en høyere bot. Den maksimale GDPR-boten for mindre alvorlige brudd er 10 millioner euro eller 2% av omsetningen, mens bøter for mer alvorlige brudd ikke kan overstige 20 millioner euro eller 4% av omsetningen.
La oss gå nærmere inn på disse kategoriene med noen detaljer om hvilke typer GDPR-brudd som er knyttet til hvert nivå.
Maksimal GDPR-bot for mindre brudd: opptil 10 millioner euro eller 2 % av den globale årsomsetningen for det foregående året - avhengig av hva som er høyest
Mindre alvorlige brudd på GDPR faller inn under disse kategoriene, som primært er knyttet til databehandling og lovlig grunnlag:
-
Samtykke fra barn (artikkel 8 ).
-
Behandling som ikke krever identifikasjon (artikkel 11).
-
Forpliktelser for databehandlere og behandlingsansvarlige (artikkel 25-39).
-
Kontrollorganenes (artikkel 41) og sertifiseringsorganenes (artikkel 42-43)ansvar for å følge åpne og objektive evalueringsprosesser.
I 2020 utstedte for eksempel det ungarske datatilsynet en bot på 55 000 euro til et reisebyrå (Robinson-Tours) for ikke å ha iverksatt egnede tiltak for å sikre personvernet. Mangelen på egnede beskyttelsestiltak førte til at de registrertes personopplysninger ble eksponert på nettet i flere måneder. Robinson-Tours' databehandler var delvis ansvarlig for eksponeringen av personopplysningene, og de ble også ilagt en bot, om enn på et mindre beløp. Denne saken er et godt eksempel på hvorfor det er viktig for behandlingsansvarlige å sørge for at databehandlerne deres har tilstrekkelige sikkerhetstiltak på plass.
Hvis du kjenner til de juridiske kravene til behandling av personopplysninger, kan det hjelpe deg med å lære opp de ansatte i hvordan de kan behandle personopplysninger på en trygg og lovlig måte.
Maksimal GDPR-bot for alvorlige brudd: opptil 20 millioner euro eller 4% av den globale årsomsetningen for det foregående året - avhengig av hva som er høyest.
Alvorlige brudd er et resultat av handlinger som strider mot retten til personvern, som står sentralt i personvernforordningen. Overtredelser som kan resultere i disse høyere bøtene, er knyttet til brudd på:
-
GDPRs grunnleggende behandlingsprinsipper - behandling av personopplysninger, lovlighet og særlige kategorier av personopplysninger (artikkel 5, 6 og 9).
-
Vilkår for samtykke (artikkel 7).
-
De registrertes rettigheter (artikkel 12-22).
-
Overføring av opplysninger til en internasjonal organisasjon eller en mottaker i et tredjeland (artikkel 44-49).
-
Brudd på personvernlovgivningen i de enkelte medlemslandene.
-
Manglende etterlevelse av pålegg gitt av en tilsynsmyndighet.
Et eksempel på en overtredelse som faller inn under den mer alvorlige kategorien, er WhatsApps mangel på åpenhet i databehandlingen. WhatsApp ble i 2021 ilagt en bot på 225 millioner euro for å ha gjort håndteringen av brukerdata uklar og vanskelig å forstå. Siden dette bruddet strider mot ett av de syv prinsippene i personvernforordningen, kvalifiserer det som et alvorlig brudd og resulterte i en massiv bot.
Kriterier som påvirker bøter for brudd på personvernforordningen
Som allerede nevnt gir personvernforordningen stort rom for fleksibilitet ved at den kun angir de maksimale bøtene som kan ilegges. Når tilsynsmyndighetene har bestemt hvilket nivå bruddet faller inn under, må de bestemme hvor stor boten skal være. Boten kan ligge på alt mellom 0-10 millioner euro eller 0-20 millioner euro (eller mellom 0% og 4% av selskapets årlige omsetning). Det er et ganske stort spenn! Så hvordan bestemmer de hvor stor boten skal være?
For å veilede tilsynsmyndighetene lister GDPR opp følgende kriterier som skal tas i betraktning når de fastsetter bøter for brudd på GDPR:
-
Alvorlighetsgrad og art: Hva skjedde og hvordan? Hvor mange personer ble berørt, og hvor stor skade ble de påført? Hvor lang tid tok det å løse problemet?
-
Intensjon: Var det forsettlig eller et resultat av uaktsomhet?
-
Avbøtende tiltak: Firmaets forsøk på å redusere skaden som er påført de registrerte.
-
Forebyggende tiltak: Sikkerhetstiltak bedriften hadde iverksatt.
-
Historikk: Tidligere brudd på personvernforordningen og personverndirektivet.
-
Samarbeid: Grad av samarbeid med tilsynsmyndigheten for å avdekke og rette opp overtredelsen.
-
Datakategori: Type personopplysninger som er berørt.
-
Varsling: Varslet firmaet tilsynsmyndigheten proaktivt om overtredelsen?
-
Sertifisering: Var firmaet sertifisert eller fulgte det etiske retningslinjer?
-
Skjerpende/forebyggende faktorer: Andre forhold som oppsto som følge av overtredelsen, f.eks. om firmaet hadde økonomiske fordeler av overtredelsen.
Hvis en organisasjon har flere relaterte brudd på GDPR, vil selskapet bli straffet for det mest alvorlige av disse bruddene. Hvis bruddene ikke er knyttet til samme behandlingsaktivitet, kan de imidlertid bli bøtelagt hver for seg.
Når tilsynsmyndigheten vurderer disse kriteriene, vil den favorisere en større bot hvis selskapet kan vise til dårlige resultater i flere av kategoriene. Hvis selskapet derimot har gjort en stor innsats for å overholde personvernforordningen, vil en mindre bot være å foretrekke.
Ved å se på IBMs rapport Cost of a Data Breach 2023 er det mulig å estimere kostnadene ved noen vanlige datainnbrudd, samtidig som man tar hensyn til faktorer som selskapsstørrelse
Andre hensyn å ta når det gjelder GDPR-bøter
Som du nå har lest, er det mange ting som påvirker hvor stor en GDPR-bot kan bli. Her er noen andre ting du bør ta hensyn til.
Behandlingsansvarlige er ansvarlige for å sikre at databehandlerne deres overholder reglene
Det er viktig å merke seg at behandlingsansvarlige er ansvarlige for databehandlerne de bruker. Du bør alltid samarbeide med databehandlere som har gode sikkerhetstiltak og overholder personvernforordningen, siden behandlingsansvarlige kan bli straffet for brudd som er forårsaket av databehandlerne. Hvis du kontrollerer at databehandlerne dine overholder personvernreglene, kan det spare bedriften din for store bøter, særlig i tilfeller der det kan oppstå brudd på datasikkerheten. Å ha en databehandleravtale er et av de første stegene i dette forholdet.
Registrerte kan be om kompensasjon
I tillegg til bøtene som kan ilegges av datatilsynsmyndighetene, gir personvernforordningen de registrerte mulighet til å søke erstatning fra organisasjoner når de har opplevd skade som følge av organisasjonens brudd på personvernforordningen. Dette vilkåret er beskrevet i artikkel 82 i personvernforordningen. Dette betyr at de økonomiske konsekvensene av et brudd på personvernforordningen i noen tilfeller kan være større enn boten som ilegges, hvis de registrerte også krever erstatning. Kompensasjonsforespørsler fra mange registrerte kan øke den ressursmessige og økonomiske byrden ved brudd på personvernforordningen, siden det tar tid å gjennomgå og eventuelt anke kompensasjonsforespørslene.
Hvordan håndheves GDPR i praksis?
Nå som vi har gått gjennom alle reglene for hvordan brudd på personvernforordningen bøtelegges, skal vi se nærmere på hvordan håndhevingen av disse bøtene foregår i praksis. Vi starter med en oversikt over de største GDPR-bøtene fra de siste tre årene og hvordan de kunne vært unngått. Deretter tar vi for oss trender i GDPR-bøter og hva det betyr for en gjennomsnittlig bedrift.
De største GDPR-bøtene fra 2023
Den største GDPR-boten fra 2023 er nok en gang for Meta. De fikk en bot for ulovlig håndtering av personopplysninger da de overførte data fra EØS til USA. Dette er en følge av dommen fra Schrems II.
Den nest største boten gikk også til Meta. Den tredje største boten gikk til en ny aktør, TikTok, som behandlet opplysninger om barn på feil måte. Aldersverifiseringen og det faktum at videoene ble lagt ut automatisk og at kommentarer var aktivert som standard, var i strid med reglene i personvernforordningen.
Alle tre bøtene ble ilagt av det irske datatilsynet.
| 1. plass - Meta | |
| Tilsynsmyndighet | Den irske databeskyttelseskommisjonen (DPC) |
| Bøter (straff) | 1,2 millioner euro |
| Begrunnelse | Overføring av data fra EØS til USA - Ulovlig behandling av personopplysninger |
| Hvordan overtredelsen og boten kunne vært unngått | Hold kontoene og dataene til unge brukere private som standard. |
| 2. plass - Meta |
|
| Tilsynsmyndighet | Den irskekommisjonen fordatabeskyttelse(DPC) |
| Bøter (straff) | 390 millioner euro |
| Begrunnelse | Brudd på datasikkerheten + bruk av "informert samtykke" til persontilpassede og atferdsbaserte annonser. |
| Hvordan overtredelsen og boten kunne vært unngått | Beskytte systemer mot datainnbrudd + få samtykke fra alle brukere til å vise atferdsbaserte annonser. |
| 3. plass - TikTok | |
| Tilsynsmyndighet | Den irske databeskyttelseskommisjonen (DPC) |
| Bøter (straff) | 345 millioner euro |
| Begrunnelse | TikTok behandlet opplysninger om barn på feil måte. |
| Hvordan overtredelsen og boten kunne vært unngått | Følg retningslinjene i personvernforordningen for behandling av personopplysninger om barn |
De største GDPR-bøtene fra 2022 viser at det irske datatilsynet har vært hardhendte i sin utdeling av bøter. Alle de tre største GDPR-bøtene ble gitt av det irske datatilsynet, og de var alle rettet mot ett selskap - Meta. Meta ble ilagt en bot på mer enn 880 millioner euro i 2022 for brudd på GDPR på Facebook og Instagram. GDPR-bøtene fra 2022 forteller oss altså at store selskaper som Meta brukes til å statuere et eksempel for andre selskaper som behandler store mengder personopplysninger.
| 1. plass - Meta | |
| Tilsynsmyndighet | Den irske personvernkommisjonen (DPC) |
| Bøter (straff) | 405 millioner euro |
| Begrunnelse | Meta ble bøtelagt for å ha håndtert opplysninger om barn på Instagram på en feilaktig måte. |
| Hvordan overtredelsen og boten kunne vært unngått | Hold kontoene og dataene til unge brukere private som standard. |
| 2. plass - Meta |
|
| Tilsynsmyndighet | Den irske databeskyttelseskommisjonen(DPC) |
| Bøter (straff) | 265 millioner dollar |
| Begrunnelse | Et datainnbrudd førte til at personopplysningene til over 500 millioner Facebook-brukere ble publisert på nettet. |
| Hvordan overtredelsen og boten kunne vært unngått | Beskytt systemer mot uautorisert dataskraping. |
| 3. plass - Meta | |
| Tilsynsmyndighet | Den irske databeskyttelseskommisjonen (DPC) |
| Bøter (straff) | 210 millioner euro |
| Begrunnelse | Meta brukte tvungen samtykke for å få Facebook-brukernes godkjenning til å bruke dataene deres til målrettede annonser. Den fjerde høyeste boten (180 millioner euro) ble også gitt til Meta for det samme GDPR-bruddet på Instagram. |
| Slik kunne overtredelsen og boten vært unngått | Sørg for tilstrekkelig klarhet om databehandling for atferdsbaserte annonser, og ha et rettslig grunnlag. |
.png?width=610&height=863&name=Biggest%20GDPR%20fines%20of%202022%20(1).png)
Den hittil største GDPR-boten ble utstedt i 2021 av Luxembourgs nasjonale kommisjon for databeskyttelse, som ila den amerikanske nettbutikken Amazon en bot på 746 millioner euro.
| 1. plass - Amazon | |
| Tilsynsmyndighet | Luxembourgs datatilsynsmyndighet, CNPD |
| Bøter (straff) | 746 millioner euro |
| Begrunnelse | Amazon ble ilagt en bot for manglende overholdelse av regelverket knyttet til samtykke til informasjonskapsler. |
| Hvordan overtredelsen og boten kunne vært unngått | Ikke tving brukerne til å godta informasjonskapsler eller gjør det vanskelig å velge bort informasjonskapsler. |
| 2. plass - WhatsApp Irland |
|
| Tilsynsmyndighet | Den irske databeskyttelseskommisjonen(DPC) |
| Bøter (straff) | 225 millioner euro |
| Begrunnelse | WhatsApp Ireland Limited ble ilagt en bot for ikke å ha overholdt kravene til åpenhet. WhatsApp har anket saken Les hele historien for å finne ut hvorfor boten mot WhatsApp ble firedoblet, og hva organisasjonen din kan gjøre for å unngå å gjøre de samme feilene. |
| Slik kunne overtredelsen og boten vært unngått | Gi personverninformasjon i et format som er lett tilgjengelig og på riktig språk. Forklar hvilke legitime interesser dere har for hver databehandling. |
| 3. plass -Notebooksbilliger.de (NBB) | |
| Tilsynsmyndighet | Delstatskommissær for databeskyttelse i Niedersachsen |
| Bøter (straff) | 10,4 millioner euro |
| Begrunnelse | En tysk elektronikkforhandler, notebooksbilliger.de (NBB), ble bøtelagt for sin bruk av videoovervåkning for å overvåke ansatte og kunder. |
| Hvordan overtredelsen og boten kunne vært unngått | Hvis du bruker kameraovervåking, må du sørge for at du bruker det av en legitim grunn som står i forhold til et spesifikt problem. |
Før 2021 var den største GDPR-boten hittil Frankrikes bot på 50 millioner euro til Google.
| 1. plass - Google | |
| Tilsynsmyndighet | Frankrikes datatilsynsmyndighet, CNIL |
| Bøter (straff) | 50 millioner euro |
| Begrunnelse | Google ble bøtelagt for ikke å ha forklart hvordan de behandler data, og for ikke å ha rettslig grunnlag for å behandle data om persontilpasset reklame. |
| Hvordan overtredelsen og boten kunne vært unngått | Gi tilstrekkelig informasjon i retningslinjene for samtykke, og gi brukerne tilstrekkelig kontroll over hvordan opplysningene deres behandles. |
| 2. plass - H&M | |
| Tilsynsmyndighet | Tilsynsmyndigheten for databeskyttelse i Hamburg |
| Bøter (straff) | 35,26 millioner euro |
| Begrunnelse | H&M, en global detaljhandelskjede, ble bøtelagt for ikke å ha tilstrekkelig juridisk støtte for behandling av data. |
| Hvordan overtredelsen og boten kunne vært unngått | Praktiser dataminimering. Ikke behandle personopplysninger med mindre du trenger det, spesielt ikke sensitive opplysninger om helse eller religiøs overbevisning. Hvis du samler inn slike opplysninger, må du ha strenge tilgangskontroller og regler for bruk. |
| 3. plass - Telekom | |
| Tilsynsmyndighet | Italias datatilsynsmyndighet, Garante |
| Bøter (straff) | 27,8 millioner euro |
| Begrunnelse | En telekommunikasjonsoperatør ble bøtelagt for blant annet å ha unnlatt å forklare hvordan de behandler data, og for ikke å ha rettslig grunnlag for å behandle data. |
| Hvordan overtredelsen og boten kunne vært unngått | Administrer lister over registrerte personer nøye.Opprett og overhold opt-ins eller opt-outs for markedsføring. |
Trender innen GDPR-straff og etterlevelse
Nå skal vi gå gjennom hva vi kan lære av fjorårets GDPR-bøter.
2023 - Nok et rekordår for GDPR-bøter
2023 fortsatte trenden med økende bøter for brudd på GDPR. Ifølge DLA Pipers undersøkelse blant datatilsynsmyndighetene ble det utstedt GDPR-bøter på 1,78 milliarder euro i 2023 - noe som er litt mer enn de 1,64 milliardene som ble utstedt i 2022. Det irske datatilsynet har utstedt fem store GDPR-bøter til Meta i år, noe som gjør det til den myndigheten som har utstedt flest bøter siden GDPR trådte i kraft.
Samme antall varsler om datainnbrudd
Sammenlignet med 2022 har det vært like mange varsler om datainnbrudd i 2023. I gjennomsnitt er det 335 varsler om datainnbrudd per dag.
Landene med flest varsler er Tyskland, Nederland og Polen.
Hvilke brudd på GDPR straffes mest?
Et godt sted å begynne når du skal prøve å unngå GDPR-bøter, er å se på hvilke brudd som oftest blir bøtelagt.
2023 GDPR-bøter med fokus på annonseteknologi og målrettet reklame
Det irske datatilsynets bøter mot Meta for atferdsbasert annonsering på Facebook og Instagram viser at det er økende oppmerksomhet rundt forholdet mellom internettbrukere og teknologiselskaper. De økonomiske modellene til sosiale medieselskaper som Meta tillater "gratis" bruk av plattformene deres i bytte mot brukernes data, noe som gir mulighet for målrettet annonsering. Denne utvekslingen av personopplysninger mot bruk av en nettbasert tjeneste har eksistert i årevis og står nå i sentrum for GDPR-debattene. Personvernkommisjonen var delt i noen deler av avgjørelsen, så håndhevelsen av GDPR rundt målrettet annonsering vil være noe å følge med på i årene som kommer.
Fortsatt fokus på brudd på artikkel 5 i personvernforordningen - de grunnleggende personvernprinsippene
I likhet med i fjor ble brudd på artikkel 5 i personvernforordningen gjenstand for håndheving i 2023. Prinsippet om lovlighet, rettferdighet og åpenhet samt prinsippet om integritet og konfidensialitet ble ofte håndhevet. I tillegg prioriterte tilsynsmyndighetene brudd på innebygd personvern og manglende påvisning av et lovlig grunnlag for behandling av opplysninger.
De andre vanligste årsakene til GDPR-bøter siden 2020 er
-
Manglende tydelig og åpen kommunikasjon om databehandlingen.
-
Manglende implementering av egnede sikkerhetstiltak.
-
Manglende varsling ved brudd på personopplysningssikkerheten.
-
Manglende overholdelse av kravene til dataminimering og oppbevaring.
All denne informasjonen om GDPR-straffer og håndheving kan være overveldende. Men den gode nyheten er at de vanligste årsakene til GDPR-bøter er ganske enkle å håndtere for en gjennomsnittsbedrift. Med litt planlegging og en gjennomgang av kravene i personvernforordningen bør det ikke være så vanskelig å unngå bøter for disse vanlige bruddene på personvernforordningen.
Forventninger til GDPR-bøter i 2024
I rapporten 2023 GDPR Fines and Data Breach Report forutser DLA Piper hvilke GDPR-brudd som vil bli prioritert for håndhevelse i 2024.
Her er hva DLA Piper forventer å se i 2024:
-
Bøter (og klager) knyttet til atferdsbasert annonsering på nettet.
-
Bøter knyttet til urettmessige dataoverføringer til tredjeland og internasjonale organisasjoner - potensielt mer klarhet rundt utkastet til beslutning om tilstrekkelighet mellom EU og USA.
-
Veiledning om kunstig intelligens, personvern og dataetikk - etter den forventede ferdigstillelsen av EUs AI Act.
Vi kommer til å dekke noen andre spådommer for GDPR-straffer i 2024.
Store bøter fra Luxembourg og Irland
Historisk sett er Irland og Luxembourg de datatilsynsmyndighetene som har gitt de høyeste GDPR-bøtene (husker du Luxembourgs bot på 746 millioner euro til Amazon i 2021?)
Fremover kan vi forvente at disse to landene vil være hot spots for håndhevelse - og for store GDPR-bøter - fordi det er her mange teknologiselskaper etablerer sin europeiske virksomhet.
Slik unngår du å få en GDPR-bot
Den enkleste måten å unngå å få en GDPR-bot på, er å overholde GDPR. Dette er selvsagt lettere sagt enn gjort, og vi vet at det ikke er noen enkel oppgave å overholde GDPR. Når bedriften din opplever et datainnbrudd og rapporterer det til tilsynsmyndigheten, utløser dette en etterforskning av bedriftens datasikkerhet og etterlevelse, noe som kan resultere i at bedriften får en bot.
En måte å unngå å få en GDPR-bot på, er derfor å beskytte virksomheten mot brudd på datasikkerheten og den påfølgende etterforskningen. Med andre ord, ikke utsett deg selv for unødvendige etterforskninger.
Vi har skrevet en guide med alt du trenger å vite for å overholde GDPR, slik at du kan være sikker på at du oppfyller alle kravene.
En annen måte å unngå en GDPR-bot på er å sørge for at dataoverføringene dine er i samsvar med kravene, siden overføringer blir stadig mer prioritert av tilsynsmyndighetene. Våre anbefalinger om tilpasning til Schrems II-dommen kan gi deg litt veiledning.
I tillegg til å praktisere sikre dataoverføringer må organisasjoner ha en prosess for sikker sletting av data som de ikke lenger trenger eller har rett til å behandle.
Beskytt organisasjonen din mot datainnbrudd
Som nevnt er forebygging av datainnbrudd den beste måten å unngå GDPR-bøter på. Datainnbrudd skyldes som oftest menneskelige feil - for eksempel når en ansatt ved et uhell klikker på en ondsinnet e-post. Derfor er en av de beste strategiene for å forebygge datainnbrudd i organisasjonen din å gi teamet opplæring. Og siden opplæring er et krav for å overholde GDPR, er opplæring en vinn-vinn-situasjon. Du kan styrke opplæringsinnsatsen ved å innføre ulike typer opplæring, for eksempel phishing-testing, og ved å fokusere på å skape en sterk sikkerhetskultur i bedriften.
Vi i CyberPilot tilbyr bevissthetsopplæring for å hjelpe organisasjoner med å overholde GDPR og skape en sterkere motstandskraft mot IT-trusler. Vi har for øyeblikket en gratis prøveversjon av vårt opplæringsprogram.
Spotlight: Varsler om datainnbrudd per dag
En måte å forutsi GDPR-bøter for det kommende året på, er å se på antallet varsler om datainnbrudd som tilsynsmyndighetene mottar daglig.
Her kan du se en tabell som viser antall varsler om datainnbrudd per innbygger som tilsynsmyndighetene i noen få land mottar. For å gjøre det enklere å sammenligne, er varslene vist per 100 000 innbyggere.
|
Danmark |
203,82 |
|
Lichstenstein |
130,02 |
|
Irland |
129,83 |
|
Nederland |
115,87 |
|
Finland |
102,53 |
|
Lucembourg |
65,69 |
|
Norge |
49,05 |
Det er sannsynlig at de daglige varslene om datainnbrudd går ned på grunn av manglende rapportering, snarere enn en faktisk nedgang i antall datainnbrudd. I 2023 vil vi derfor holde øye med hvordan tilsynsmyndighetene straffer brudd på GDPR-kravet om å varsle myndighetene om brudd på personopplysningssikkerheten.
Hva betyr dette for en gjennomsnittsbedrift?
Selv om det er de største bøtene for brudd på personvernforordningen som skaper nyheter, blir også små og mellomstore selskaper holdt ansvarlige i henhold til forordningen. Selv om det er lite sannsynlig at et mindre selskap vil få en stor bot, vil en eventuell bot utvilsomt påvirke selskapets lønnsomhet og omdømme.
Mindre selskaper bør prioritere etterlevelse på de områdene som har vært fremtredende årsaker til bøter de siste årene. Et gjennomsnittlig selskap bør for eksempel opprettholde tilstrekkelige sikkerhetstiltak, overholde prinsippene om åpenhet og rettslig grunnlag, varsle de rette partene i tilfelle brudd og praktisere sikker dataminimering. Det bør legges særlig vekt på opplæring av ansatte, noe som reduserer sannsynligheten for brudd, og på internasjonale dataoverføringer.
Selv om bøtene for brudd på GDPR øker, er det ingen grunn til å få panikk på grunn av GDPR-bøtene. Vi er alle fortsatt i ferd med å lære hvordan bøter prioriteres, og tilsynsmyndighetene er fortsatt i ferd med å etablere sine egne prosesser. Så lenge du holder et øye med bøtene i ditt land og unngår samme type feil, bør bedriften din være trygg.
Noen ganger kan det lønne seg å bestride en GDPR-bot
Mange av de største bøtene som er ilagt for brudd på personvernforordningen, er under ankebehandling, og noen selskaper har lykkes med å anke eller redusere bøtene sine. I 2020 lyktes selskaper med å redusere bøtene de ble ilagt, delvis på grunn av de økonomiske vanskelighetene som covid-19-pandemien påførte dem. Selv i 2023 er GDPR-regelverket imidlertid fortsatt relativt nytt, noe som fører med seg en god del juridisk usikkerhet. Hvis du har et rimelig argument mot en bot du mottar, kan det være en fordel for deg å bestride den. Du bør imidlertid alltid veie kostnadene ved en anke opp mot den potensielle fordelen du vil få hvis boten blir redusert eller fjernet.
Avsluttende ord
Vi håper dette innlegget har fungert som en nyttig veiledning om GDPR-regler og bøter. Noe av det viktigste du kan gjøre for å unngå GDPR-bøter, er å se på hvordan tilsynsmyndigheten din opptrer. Ved å sjekke hvilke overtredelser tilsynsmyndigheten din prioriterer for bøter, kan du unngå lignende feil. Husk at vi alle fortsatt lærer om håndhevingen av GDPR, og at det er stor fleksibilitet i hvordan bøter fastsettes.
Ikke nøl med å ta kontakt med oss hvis CyberPilots opplæring i bevisstgjøring og phishing kan være et supplement til ditt arbeid med å overholde GDPR.
Folk spør også
Hva er et brudd på GDPR?
Et GDPR-brudd er enhver hendelse der personopplysninger som er underlagt personvernforordningen (GDPR), blir åpnet, utlevert, endret, slettet eller på annen måte behandlet på en uautorisert eller ulovlig måte, noe som potensielt kan føre til skade for de registrerte.
Hva er straffen for ikke å overholde personvernforordningen?
Manglende overholdelse av GDPR kan føre til bøter på opptil 20 millioner euro eller 4% av selskapets globale årsomsetning, avhengig av hva som er høyest. I tillegg kan de registrerte også ha rett til å søke erstatning for skader de har lidd som følge av manglende overholdelse.
Hvordan rapporterer jeg et datainnbrudd som privatperson?
Hvis du tror at personopplysningene dine har blitt kompromittert, bør du varsle organisasjonen som er ansvarlig for lagringen av opplysningene, så snart som mulig. Du kan også rapportere bruddet til Datatilsynet i Danmark, som er ansvarlig for å håndheve personvernlovgivningen.
