Tillbaka till bloggen
14 min read

De största GDPR böterna 2024 - Hur du undviker brott mot GDPR

Sarah Hofmann
By: Sarah Hofmann Cybersäkerhet | 20 mars

Även om företag har anpassat sig efter GDPR i flera år, är upprätthållandet av GDPR-överträdelser fortfarande relativt nytt för integritetsskyddsmyndigheten. Eftersom GDPR lagen endast har funnits en kortare tid, finns det inte många exempel att utgå från och tillsynsmyndigheterna arbetar fortfarande med att lista ut det bästa sättet att behandla brott mot GDPR. I det här blogginlägget går vi igenom reglerna för hur GDPR-böter utdöms för brott mot dataskyddsförordningen, så att du kan få ett hum om hur mycket GDPR-överträdelser kan kosta din organisation. Vi lyfter också fram några av de största GDPR-böterna under 2022 - 2020 och ger insikter om hur du undviker brott mot GDPR och vilka överträdelser som just nu prioriteras. 

Du kan även prova vår kurs om att ta ansvar för personuppgifter kostnadsfritt i 14 dagar.  

Innehållsförteckning 

 

Regler för GDPR-böter

Böter för GDPR-överträdelser överses av varje lands tillsynsmyndighet. I Sverige är det Integritetsskyddsmyndigheten (IMY) som utreder om företag behandlar peronsuppgifter enligt GDPR och utdömer böter. Alla tillsynsmyndigheter arbetar för att GDPR ska upprätthållas, men det finns en viss variation i hur olika tillsynsmyndigheter prioriterar brott mot dataskyddsförordningen.

Hur GDPR lagen tolkas varierar mellan olika tillsynsmyndigheter 

Även om alla tillsynsmyndigheter är bundna av samma GDPR-regler, tillämpar de inte alltid reglerna på samma sätt. Därför är det viktigt att du känner till hur din tillsynsmyndighet tenderar utdöma böter. Till exempel, vilken typ av böter tenderar de ge ut och vad för slags företag drabbas oftast. Varje tillsynsmyndighet har begränsade resurser för att utreda brott mot GDPR. En del tillsynsmyndigheter använder sina resurser för att förbereda stora ärenden mot stora företag, vilket innebär färre men större böter. Andra tillsynsmyndigheter prioriterar att utreda mindre överträdelser, vilket innebär fler böter av mindre belopp, som vanligtvis riktas mot mindre företag.

Till exempel hamnar tillsynsmyndigheter i Storbritannien, Irland och Luxemburg ofta i nyheterna för att de utfärdarar stora och högprofilerade böter. Å andra sidan utdömer myndigheterna i Italien och Spanien ett större antal böter men för mindre belopp. En bra utgångspunkt är att ta reda på hur tillsynsmyndigheten i ditt land brukar agera.

Storleken på ditt företag har betydelse

Alla organisationer är skyldiga att efterleva GDPR, men beloppet för GDPR-böter varierar beroende på företagets storlek. Eftersom dataskyddsförordningen endast uttrycker den maximala storleken på böter för allvarliga och mindre allvarliga överträdelser, ger det en stor flexibilitet vid beräkning av böter. Utöver överträdelsens grovhet tas även företagets storlek och intäkter i beaktande vid beslut om påföljden för en överträdelse. 
 
På grund av flexibiliteten i lagen lyckas företag ofta förhandla en sänkning av bötesbeloppet. Flexibiliteten bidrar även till att en mindre överträdelse inte försätter ett företag i konkurs. Men man bör ändå undvika böter eftersom ett företags överträdelsehistorik kan påverka storleken på utgivna böter. Läs mer i denna guide om hur du säkerställer att ditt företag följer GDPR.

Picture of the risk analysis template

GDPR-böter kommer i två nivåer

Här kommer vi att gå igenom de juridiska riktlinjerna som används av tillsynsmyndigheter när de utreder brott mot GDPR och utfärdar böter. 

Det vanligaste tillvägagångssättet är att alla GDPR-överträdelser utvärderas och bötfälls i två olika kategorier, beroende på ärendets allvar. De allvarligare överträdelserna ger givetvis högre straff. Det maximala beloppet för mindre allvarliga brott är begränsat till 10 miljoner euro eller 2 % av företagets omsättning, medan böter för allvarligare överträdelser inte får överstiga 20 miljoner euro eller 4 % av omsättningen. 

Låt oss gå djupare in i dessa kategorier med lite information om vilka typer av överträdelser som är associerade med varje nivå.

Största GDPR böter 2022

Mindre överträdelser: Upp till 10 miljoner euro eller 2 % av den globala årliga omsättningen

GDPR-överträdelser som anses vara mindre allvarliga faller främst inom dessa kategorier: 

  • Barns samtycke (Paragraf 8)

  • Behandling som inte kräver identifikation (Paragraf 11)

  • Databehandlare och ansvarigas förpliktelser (Paragraf 25-39)

  • Övervakningsorganens (Paragraf 41) och certifieringsorganens (Paragraf 42-43) ansvar för att genomföra transparenta och opartiska utvärderingsprocesser

Till exempel, 2020 bötfällde den ungerska dataskyddsmyndigheten 55 000 euro till en resebyrå (Robinson-Tours) för att ha underlåtit att vidta lämpliga åtgärder för att säkerställa dataskydd. Bristen på lämpliga skyddsåtgärder ledde till att personuppgifterna om deras registrerade försökspersoner var fritt tillgängliga på Internet i flera månader. Robinson-Tours databehandlare var delvis skyldig till exponeringen av personuppgifter och de fick också böter, om än i form av ett mindre belopp. Det här fallet är ett exempel på varför det är viktigt för personuppgiftsansvariga att se till att deras databehandlare har adekvata säkerhetsåtgärder på plats.

Allvarliga överträdelser: Upp till 20 miljoner euro eller 4 % av den globala årliga omsättningen

Allvarliga överträdelser skiljer sig från mindre allvarliga överträdelser eftersom de är resultatet av handlingar som strider mot rätten till integritet, vilket är det centrala fokuset i GDPR. Överträdelser som kan resultera i höga GDPR-böter är relaterade till: 

  • GDPRs grundläggande behandlingsprinciper – behandling av personuppgifter, laglighet och andra speciella kategorier för personuppgifter (Paragraf 5, 6, och 9)

  • Villkor för samtycke (Paragraf 7)

  • Dataregistrerade personers rättigheter (Paragraf 12-22), till exempel:

  • Överföring av data till en internationell organisation eller en mottagare i ett tredje land (Paragraf 44-49)

  • Brott mot dataskyddslagarna i de enskilda medlemsstaterna

  • Försummelse att följa ett föreläggande från en tillsynsmyndighet

Till exempel, ett intrång som faller i den allvarligare kategorin är WhatsApps bristande transparens i databehandling. WhatsApp bötfälldes 225 miljoner euro 2021 för att ha gjort deras hantering av användardata otydlig och svår att förstå. Eftersom denna överträdelse strider mot en av de sju principerna för hur GDPR bör följas, kategoriseras den som ett allvarligt brott och resulterade i massiva böter.

Vad avgör storleken GDPR-böter  

Som tidigare nämnts tillåter GDPR viss flexibilitet vid utförande av böter genom att endast fastställa det maximala antalet böter som kan utfärdas. När tillsynsmyndigheterna har fastställt nivån på överträdelsen ska de ta ställning till hur stora böterna ska vara. Böterna för mindre allvarliga brott kan dock ligga någonstans mellan 0-10 miljoner euro och för allvarliga brott mellan 0–20 miljoner euro. Detta är en ganska så bred skala.vad avgör egentligen storleken för GDPR-böter? 
 
För att vägleda tillsynsmyndigheter innehåller GDPR lagen följande kriterier som bör beaktas vid avgörandet av storleken på bötesbeloppet för brott mot GDPR.  

  • Allvarlighet och ärendets karaktär: Vad hände och hur? Hur många människor blev påverkade och hur stor var skadan? Hur lång tid tog det att åtgärda?

  • Avsikt: Var det avsiktligt eller ett resultat av oaktsamhet?

  • Förmildrande: Företagets försök att mildra den skada som har tillfogats de registrerade uppgifterna

  • Förebyggande åtgärder: Säkerhetsåtgärder som företaget hade på plats

  • Historia: Tidigare brott mot GDPR och  dataskyddslagen

  • Samarbete: Graden av samarbete med tillsynsmyndigheten för att identifiera och beriktiga överträdelsen

  • Datakategori: Typ av personuppgifter som drabbades

  • Anmälan: Har företaget proaktivt underrättat tillsynsmyndigheterna om GDPR-överträdelsen?

  • Certifiering: Var företaget certifierat eller följde uppförandekoder?

  • Försvårande/förmildrande faktorer: Ytterligare omständigheter som uppkommit till följd av intrånget – till exempel om företaget erhållit ekonomiska vinster från intrånget

Om ett företag har flera GDPR-överträdelser relaterade till varandra, kommer företaget att bli straffat för den mest allvarliga av dessa. Men om överträdelserna inte är relaterade till samma aktivitet, kan de bötfällas separat. 
 
Vid bedömning av dessa kriterier tenderar tillsynsmyndigheten att utföra högre böter om företaget visar dåliga resultat i flera av kategorierna. Om företaget däremot har ansträngt sig för att efterleva GDPR är en mindre bot mer sannolikt. 

IBM:s rapport över kostnaden för ett dataintrång gör det möjligt att uppskatta den verkliga kostnaden för flera vanliga dataintrång med hänsyn till faktorer som företagsstorlek. 

Andra påföljder vid brott mot GDPR 

Som du nu har läst finns det många saker som påverkar storleken för GDPR-böter. Här är några andra saker att tänka på. 

Personuppgiftsombud ansvarar för att databehandlare uppfyller alla krav 

Det är viktigt att bemärka att personuppgiftsombud ansvarar för den databehandling som de använder. Du bör alltid arbeta med databehandlare som har starka säkerhetsåtgärder och efterlever GDPR. Personuppgiftsansvariga kan straffas för överträdelser som är orsakade av deras behandlare. Det är alltså ditt ansvar att kontrollera att dina databehandlare följer reglerna. 

Privatpersoner har rätt att begära ersättning 

Utöver de administrativa böter som kan komma att tas ut av integritetsskyddsmyndigheten (IMY), har de privatpersoner som upplevt skada till följd av en organisations GDPR-brott rätt att söka ersättning. Enligt paragraf 82 i GDPR lagen. Om personerna begär ersättning innebär det att de ekonomiska konsekvenserna av ett GDPR-brott för ett företag kan bli större än de böter som utdöms av IMY. Skadeståndsanspråk från många privatpersoner kan även öka den ekonomiska bördan av GDPR-överträdelser eftersom det tar tid att granska och eventuellt överklaga skadeståndsanspråken

Hur GDPR-böter tillämpas i praktiken 

Nu när vi har sett över hur böter för GDPR-överträdelser utfärdas, kommer vi att igenom verkställandet av dessa böter i praktiken. Vi börjar med en översikt över de största GDPR-böterna som har utfärdats under de senaste tre åren och hur de hade kunnat undvikas. Vi går sedan igenom trender för GDPR-böter och vad dessa betyder för företag i praktiken. 

 

Största GDPR Böter 2024

Nu är vi igång. Låt oss ta en titt på de största GDPR-böterna från förra året. Efteråt dyker vi ner i 2020-2023 också. 

I år var böterna något mindre än 2023. Men vi såg fortfarande en ny omgång av massiva GDPR-böter, där stora teknikföretag fortfarande var de främsta måltavlorna. Ett växande antal böter drabbade också finansiella tjänster, energileverantörer och hälso- och sjukvårdsföretag, vilket signalerar ett bredare tillämpningsområde. Nedan beskriver vi de största GDPR-böterna under 2024 och de viktigaste trenderna som har format årets tillsynsåtgärder.

  1. plats - LinkedIn  
  Tillsynsmyndighet

Irländska dataskyddskommissionen (DPC) 

  
  Böter (straff) 310 milj. euro    
  Motivering  Olaglig beteendespårning och riktad reklam.  
  Hur överträdelsen och böterna kunde ha undvikits  De borde ha försäkrat sig om att de hade ett korrekt samtycke från användarna om hur de behandlar deras uppgifter för reklam.  
  2. plats - En välkänd samkørsel app
  
  Tillsynsmyndighet Holländska DPA  
  Böter (straff) 290 milj. dollar   
  Motivering  Olaglig dataöverföring till tredje land.  
  Hur boten och överträdelsen kunde ha undvikits Gamla goda Schrems. Du måste vara extremt medveten om att skicka data till tredje land och se till att du har rätt att göra det. Ofta är du inte det.

Förvara dina uppgifter i EU om du vill vara säker.

 

 

 3. plats - Meta  
  Tillsynsmyndighet Irländska dataskyddskommissionen (DPC  
  Böter (straff) 251 milj. euro   
  Motivering 

Bötfälld för ett storskaligt dataintrång som drabbade 3 miljoner EU-användare. Genom intrånget exponerades användarnas personuppgifter på grund av säkerhetsbrister.

  
  Hur boten och överträdelsen kunde ha undvikits Det här är svårt att bedöma. De behöver ordentlig säkerhet och för att undvika intrång. Vi vet inte hur det kunde ha undvikits, eftersom vi inte är djupt insatta i fallet.  

 

 

Storsta GDPR Böter 2023

De största GDPR-böterna från 2023 är återigen för Meta. De fick böter för olaglig hantering av personuppgifter när de överförde data från EES till USA. Detta följer domen från Schrems II.

Det näst största bötesbeloppet gick också till Meta. Det tredje största bötesbeloppet gick till en ny aktör, TikTok, som behandlade barns uppgifter på ett otillbörligt sätt. Åldersverifieringsaspekten och det faktum att videor publicerades automatiskt och kommentarer aktiverades som standard bröt mot reglerna i GDPR.

Alla tre böterna utdömdes av den irländska dataskyddskommissionen.

  1. plats - Meta  
  Tillsynsmyndighet

Irländska dataskyddskommissionen (DPC) 

  
  Böter (straff) 1,2 milj. euro    
  Motivering  Överföring av uppgifter från EES till USA - Olaglig behandling av personuppgifter  
  Hur överträdelsen och böterna kunde ha undvikits  Håll unga användares konton och data privata som standard.  
  2. plats - Meta
  
  Tillsynsmyndighet Irländska dataskyddskommissionen (DPC)  
  Böter (straff) 390 milj. dollar   
  Motivering  Ett dataintrång + användning av ”informerad samtycke” till personaliserade och beteendebaserade annonser.  
  Hur boten och överträdelsen kunde ha undvikits Skydda system från dataintrång + få samtycke från alla användare för att visa beteendeanpassade annonser.

 

 

 3. plats - TikTok  
  Tillsynsmyndighet Irländska dataskyddskommissionen (DPC)     
  Böter (straff) 345 milj. euro   
  Motivering 

TikTok behandlade barns uppgifter på ett felaktigt sätt.

  
  Hur boten och överträdelsen kunde ha undvikits Följa riktlinjer från GDPR om hur man behandlar personuppgifter som rör barn  

Största GDPR-böter från 2022  

En granskning av GDPR-böterna från  2022 visar att den irländska dataskyddskommissionen var de som delade ut de största böterna. Alla de tre största GDPR-böterna delades ut av dem, och de riktades alla mot ett företag - Meta. Facebook och Instagram fick böter över 880 miljoner euro 2022 för brott mot GDPR. Detta kan tolkas som att den irländska dataskyddskomissionen har aänvänt Meta som ett exempel för andra företag som behandlar stora mängder personuppgifter. 

 

  1. plats - Meta  
  Tillsynsmyndighet

Irländska dataskyddskommissionen (DPC) 

  
  Böter (straff) 405 milj. euro    
  Motivering  Meta bötfälldes för att ha hanterat uppgifter om barnanvändare Instagram ett felaktigt sätt.   
  Hur överträdelsen och böterna kunde ha undvikits  Håll unga användares konton och uppgifter privata som standard.   
  2. plats - Meta
  
  Tillsynsmyndighet Irländska dataskyddskommissionen (DPC)  
  Böter (straff) 265 milj. dollar   
  Motivering  Ett dataintrång resulterade i att personuppgifter för över 500 miljoner Facebook-användare publicerades nätet.   
  Hur boten och överträdelsen kunde ha undvikits Skydda systemen från unauthorized data scraping.   
  3. plats - Meta   
  Tillsynsmyndighet Irländska dataskyddskommissionen (DPC)     
  Böter (straff) 210 milj. euro   
  Motivering 

Meta använde sig av “forced consent” för att Facebook-användarnas godkännande för att använda deras uppgifter för riktade annonser.  

Det fjärde högsta bötesbeloppet (180 miljoner euro) gavs också till Meta för samma GDPR-överträdelse på Instagram.  

  
  Hur boten och överträdelsen kunde ha undvikits Ge tillräcklig klarhet om databehandling vid annonsering och ha en rättslig grund.   

 

Största GDPR-böter från 2021 

Den största GDPR-boten hittills utfärdades 2021 av Luxemburgs nationella dataskyddskommission, som bötfällde den amerikanska online återförsäljaren Amazon med 746 miljoner euro. 

  1. plats - Amazon  
  Tillsynsmyndighet Luxemburgs dataskyddsmyndighet (CNPD)  
  Böter (straff) 225 milj. euro   
  Motivering  Amazon fick böter för bristande efterlevnad av samtycke till cookies. De överklagade böterna och är nu i överklagandeprocess, vilket inte tillgängligt för allmänheten  
  Hur boten och överträdelsen kunde ha undvikits Tvinga inte användare att acceptera cookies eller gör det svårt att avmarkera dem.  
  2. plats - Whatsapp Irland
  
  Tillsynsmyndighet Irländska dataskyddskommissionen (DPC)  
  Böter (straff) 225 milj. euro  
  Motivering  WhatsApp Ireland Limited fick böter för att inte följa kraven på insyn. WhatsApp har överklagat  
  Hur boten och överträdelsen kunde ha undvikits

Tillhandahåll integritetsinformation i ett format som är lätt att komma åt och på rätt språk.

Förklara vilka dina legitima intressen är för varje databehandling.

  
  3. plats - Notebooksbilliger.de (NBB)  
  Tillsynsmyndighet Statskommissionen för dataskydd i Niedersachsen  
  Böter (straff) 10.4 milj. euro   
  Motivering  En tysk elektronikåterförsäljare, notebooksbilliger.de (NBB), fick böter för sin användning av videoövervakning för att hålla ögonen på med medarbetare och kunder.  
  Hur boten och överträdelsen kunde ha undvikits Om du använder videoövervakning, ska du se till att använda det av en legitim grund och i ett proportionellt utrymme för ett visst problem.
  
 

Största GDPR-böter från 2020

Före 2021 var den största GDPR-boten hittills Frankrikes böter på 50 miljoner euro som utfärdades till Google. 

1. plats - Google Inc
Tillsynsmyndighet Frankrikes dataskyddsmyndighet (CNIL)
Böter (straff) 50 milj. euro
Orsak Google LLC fick böter för att ha underlåtit att på ett tillfredsställande sätt förklara hur de behandlar data och för att inte ha rättslig grund att behandla data om personlig reklam
Hur boten och överträdelsen kunde ha undvikits Ge adekvat information i din samtyckespolicy och ge användarna tillräcklig kontroll över hur deras data behandlas.
2. plats - H&M
Tillsynsmyndighet Hamburgs dataskyddsmyndighet
Böter (straff) 35,26 milj. euro
Orsak Den svenska klädesjätten, H&M, bötfälldes för att inte ha tillräckligt juridiskt stöd för att behandla personuppgifter.
Hur boten och överträdelsen kunde ha undvikits

Utför dataminimering. Behandla inte personuppgifter om du inte behöver det, särskilt känsliga hälsouppgifter eller religiösa övertygelser. Om du samlar in denna information måste du ha strikt åtkomstkontroll och användningsregler.
3. plats - Telecom
Tillsynsmyndighet Italiens dataskyddsmyndighet (Garante)
Böter (straff) 27,8 milj. euro 
Orsak Den italienska teleoperatören Telecom Italia, fick böter för att inte ha förklarat tillräckligt hur de behandlar uppgifter, och för att inte ha en rättslig grund för att behandla uppgifter osv.
Hur boten och överträdelsen kunde ha undvikits Hantera noggrant listor över dataregistranter. Skapa och följ opt-in och opt-out marknadsföring.

Trender inom GDPR-straff de senaste åren 

Nu ska vi gå igenom vad vi kan lära oss av förra årets GDPR-böter.

2024 fortsatte trenden med ökande böter för GDPR-överträdelser. Enligt DLA Pipers undersökning finns det några vanliga orsaker till GDPR-böter 2024. Dessa skäl kan vara en prioritet för dig om du vill se till att du är säker framöver:

1. Olaglig databehandling och avsaknad av samtycke

  • Många böter riktades mot företag som behandlade personuppgifter utan giltigt samtycke eller med otillräcklig rättslig grund.
  • Exempel: LinkedIns böter på 310 miljoner euro för beteendespårning och riktad reklam utan giltigt samtycke från användaren.


2. Otillräckliga säkerhetsåtgärder och dataintrång

  • Flera företag bötfälldes för att de inte hade vidtagit tillräckliga säkerhetsåtgärder, vilket ledde till dataintrång.
  • Exempel: Metas böter på 251 miljoner euro i samband med ett Facebook-intrång som påverkade 3 miljoner EU-användare.

3. Olagliga dataöverföringar till tredje land

  • Företag straffades för att ha överfört personuppgifter till länder utanför EU utan lämpliga skyddsåtgärder.
  • Exempel: En stor app för samåkning fick böter på 290 miljoner euro av den nederländska dataskyddsmyndigheten för otillbörlig överföring av uppgifter till USA.


4. Underlåtenhet att skydda dataintegritet och överträdelser av öppenhetsprincipen

  • Många böter var kopplade till överträdelser av öppenhetsprincipen i GDPR (artikel 5.1 a).
  • Exempel: Clearview AI:s böter på 30,5 miljoner euro för olaglig insamling av biometriska uppgifter.


5. Brist på lämplig styrning och tillsyn

  • Dåliga styrningsstrukturer bidrog till flera verkställighetsåtgärder.
  • Exempel: Den nederländska datainspektionen överväger att hålla Clearview AI:s styrelseledamöter personligen ansvariga - vilket kan innebära en övergång till ansvar för ledningen vid GDPR-överträdelser.
Dessa trender tyder på att tillsynsmyndigheterna breddar sitt tillämpningsområde till att omfatta mer än bara Big Tech och förstärker kraven på efterlevnad av GDPR i alla branscher.

En kvinna testar gratis kurser i medvetenhet på sin dator

 

 

Förväntningar på GDPR-straff 2025 

I sin rapport 2024 GDPR Fines and Data Breach förutspår DLA Piper vilka GDPR-överträdelser som kommer att prioriteras för verkställighet 2025.  

Här är vad DLA Piper förväntar sig att se 2025:

  1. Lagligheten i ”samtycke eller betala”-modeller: Stora onlineplattformar som Meta och Google står inför en pågående granskning av huruvida de kan kräva att användarna betalar för en annonsfri upplevelse.
  2. Fler utredningar om AI-databehandling: Tillsynsmyndigheterna kommer att fortsätta att bedöma om AI-drivna verktyg överensstämmer med GDPR.
  3. Personligt ansvar för företagsledare: Om den nederländska datainspektionen lyckas hålla Clearview AI:s ledning personligen ansvarig kan vi komma att se liknande åtgärder mot företagsledare i andra branscher.
  4. Fortsatt tillämpning av lagar om dataöverföring: Företag som överför personuppgifter utanför EU kommer även fortsättningsvis att vara ett viktigt regleringsfokus.

Hur du undviker brott mot GDPR

Enkelt sagt är det lättaste sättet att undvika GDPR-böter genom att efterleva lagen. Vi vet att när det kommer till GDPR kan detta vara lättare sagt än gjort. Om din organisation drabbas av ett dataintrång och rapporterar det till IMY utlöser det en utredning om ditt företags datasäkerhet och efterlevnad, vilket kan resultera i att ditt företag får böter. 

En metod för att undvika att få en GDPR-böter är att skydda din organisation mot dataintrång och den utredning som följer. Med andra ord, undvik att utsätta din organisation för onödiga utredningar.

Ett annat sätt att undvika GDPR-böter är att säkerställa att dina dataöverföringar genomförs på korrekt sätt, eftersom dataöverföringar prioriteras bland tillsynsmyndigheter.  

Förutom att praktisera säkra dataöverföringar måste organisationer ha en process för att på ett säkert sätt radera uppgifter som de inte längre behöver eller har rätt att behandla. 

Skydda din organisation mot dataintrång

Som tidigare nämnts är förebyggande av dataintrång ett enkelt sätt att undvika GDPR-böter på. Dataintrång beror oftast på mänskliga misstag – till exempel kan en anställd klicka på ett nätfiskemejl. 

Att träna dina anställda i medvetenhetsträning är därför en av de bästa strategierna för att förhindra dataintrång i din organisation. Och eftersom utbildning är ett krav för efterlevnad av GDPR är träning en win-win. Du kan stärka dina utbildningsinsatser genom.

En kvinna testar gratis kurser i medvetenhet på sin dator

Spotlight: Meddelanden om dataintrång

Ett sätt att förutse GDPR-böter för det kommande året är att titta på antalet anmälningar om dataintrång som tillsynsmyndigheterna får in dagligen.

Här kan du se en tabell som visar antalet anmälningar om dataintrång per capita som tillsynsmyndigheter i några länder tar emot. För att underlätta jämförelsen visas anmälningarna per 100 000 personer. 

Siffrorna har sjunkit något under de senaste åren. Kanske är fokus på GDPR inte lika stort som det var när det precis hade börjat gälla.

Det är också värt att notera att många anmälningar inte är lika med många böter. Danmark har legat i topp 5 två år i rad när det gäller anmälningar av dataintrång, men de har inte utfärdat särskilt många böter.

Land

Per capita meddelande om intrång (mellan 28 januari 2021 och 27 januari 2022)

Nederländerna

188,33

Lictenstein

144,98

Finland

137,18

Danmark

119,95

Irland

109,49

Norge

67,69

 

Vad innebär det här för ditt företag? 

Även om de största böterna för GDPR-överträdelser är de som hamnar i nyheterna, hålls även små och medelstora företag ansvariga för GDPR. Trots att det är osannolikt att ett litet företag kommer att få en massiv böter, kommer en böter utan tvekan att påverka ett företags ekonomi och rykte.

Mindre företag bör prioritera efterlevnad inom de områden som var framträdande orsaker till böter under de senaste åren. Ett genomsnittligt företag bör till exempel upprätthålla lämpliga skyddsåtgärder, följa principerna om transparens och rättslig grund, underrätta berörda parter vid dataintrång och öva på dataminimering. Särskild uppmärksamhet bör ägnas åt utbildning av anställda som minskar sannolikheten för intrång, samt internationella dataöverföringar.

Även om böterna för GDPR-överträdelser ökar, finns det ingen anledning till att få panik. Vi lär oss alla fortfarande hur böter prioriteras och tillsynsmyndigheter håller fortfarande på att etablera sina egna processer. Så länge du håller ett öga på de böter som utfärdas i ditt land och undviker samma typ av misstag, bör ditt företag vara säkert.

Det kan löna sig att överklaga GDPR-böter 

Många av de största böterna som har utdömts för GDPR-överträdelser är i överklagandeprocessen, och vissa företag har lyckats överklaga eller få bötesbeloppet sänkt. År 2020 lyckades många företag minska böterna de fick – delvis på grund av de ekonomiska problemen som orsakades av covid-19-pandemin. Även 2022 är GDPR-regleringen fortfarande relativt ny, vilket leder till en hel del rättslig osäkerhet. Om du har ett rimligt argument mot giltigheten av en böter du får, kan det vara fördelaktigt för dig att ifrågasätta den. Du bör dock alltid väga kostnaden för ett överklagande mot den potentiella nytta du kan få om böterna sänktes eller helt hävs.

Sveriges första GDPR-böter: Gymnasienämnden i Skellefteå

Nu när vi har granskat den rättsliga grunden för att fastställa GDPR-böter och tillämpningstrender, låt oss lyfta fram ett intressant fall: Sveriges första GDPR-böter som utfärdades till gymnasienämnden i Skellefteå.

I augusti 2019 fick gymnasienämnden i Skellefteå den första domen i Sverige som krävde en organisation att betala en GDPR-böter för att ha brutit mot reglerna i dataskyddsförodningen. Gymnasienämnden i Skellefteå fick en böter på 200 000 kr för att ha hanterat känsliga personuppgifter i strid mot GDPR. Ärendet grundades i att en gymnasieskola i Skellefteå hade under tre veckor på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektioner.

Fallet med gymnasienämnden i Skellefteå är ett bra exempel på hur olika kriterier döms mot varandra när tillsynsmyndigheter beslutar om den ekonomiska påföljden för brott mot GDPR. Flera faktorer var till gymnasienämndens fördel och påverkade storleken av den utfärdade bötern. En sådan faktor var att ärendet gällde en myndighet och inte ett företag. En ytterligare faktor var att brottet handlade om ett försök under en begränsad period.

Att fallet däremot handlade om ansiktsigenkänning var däremot till gymnasienämndens nackdel. Utvecklingen av ansiktsigenkännings går snabbt och blir allt vanligare, därmed ansåg Integritetskyddsmyndigheten att tydlighet behövde skapas kring tekniken, vilket troligen ledde till att ärendet prioriterades.

Smart CTA IT-security-policy SE

Slutord

Vi hoppas att det här inlägget fungerar som en användbar guide till GDPR-regler och böter. När det gäller att undvika böter är en av de viktigaste sakerna du kan göra att titta på hur just din tillsynsmyndighet agerar. Genom att hålla ett öga på vilka överträdelser din tillsynsmyndighet prioriterar att utdöma böter för kan du undvika liknande misstag. Kom ihåg att vi alla fortfarande lär oss om GDPR-tillämpning och att det finns stor flexibilitet i hur beslut om dömande tas.

Tveka inte att kontakta oss om CyberPilots utbildning i medvetenhet och nätfiske kan komplettera ert arbete med att följa GDPR.
Back to blog
Recent articles
GDPR Vad är GDPR? En förklaring av de 7 principerna

Vad är GDPR och vilka är de sju principerna för efterlevnad? Vi tar dig igenom vad GDPR innebär i praktiken, för att hjälpa dig uppfylla kraven.

Ismail Özkan 8 min read - By Ismail Özkan
GDPR De vanligaste GDPR-incidenterna 2024

Den danska datainspektionen har publicerat statistik över GDPR-säkerhetsöverträdelser. Ta reda på de vanligaste säkerhetsbristerna och hur du undviker dem.

Anders Bryde Thornild 7 min read - By Anders Bryde Thornild
GDPR Vad IMY:s senaste tillsyner lär oss om att undvika GDPR-böter

Alla vill väl undvika GDPR böter? Därför har vi sammanställt de mest centrala lärdomarna från IMY:s senaste tillsyner, så att du bättre kan efterleva GDPR.

Mary-Ann Eriksson 6 min read - By Mary-Ann Eriksson