Advokat Jennie Nilssson

ORIGINAL- DOKUMENT

»

DLA Piper GDPR fines and Data Breach Survey 2023

VERKTYG

»

Tipsa en vän

E-postadress att skicka till
Ditt namn
Skicka

Den Europeiska tillsynsmyndigheter har utfärdat GDPR-sanktionsavgifter på totalt 1,64 miljarder euro sedan den 28 januari 2022. Vår rapport omfattar alla 27 EU-medlemsstater samt Storbritannien, Norge, Island och Liechtenstein.

Sociala medier i fokus

Sociala medier har varit i fokus, och höga sanktionsavgifter har utfärdats mot Meta Platforms Ireland Ltd. ("Meta"). Facebook och Instagrams profilering av användare och tillämpning av den rättsliga grunden "avtal" som stöd för att samla in stora mängder personuppgifter underkändes av den Europeiska dataskyddsstyrelsen ("EDPB"). Avgörandena väcker frågor om den datadrivna affärsmodellen mellan konsumenter och tjänsteleverantörer och hur "gratis" onlinetjänster ska finansieras framöver.

Trehundra anmälda personuppgiftsincidenter per dag

DLA Pipers rapport visar även att antalet personuppgiftsincidenter som har anmälts till tillsynsmyndigheterna har minskat något jämfört med föregående år. Den genomsnittliga dagliga rapporteringen sjönk från 328 anmälningar per dag till 300 per dag**. Detta skulle kunna bero på att organisationer blir mer försiktiga med att anmäla incidenter till tillsynsmyndigheter av rädsla för granskningar, sanktionsavgifter och skadeståndsanspråk.

AI och dataskydd

Samtidigt som dataskyddsfrågor kopplade till reklam och sociala medier har dominerat rubrikerna under året finns ett växande fokus på artificiell intelligens ("AI") och användning av personuppgifter för att träna AI. Mest framträdande från den aktuella perioden är flera utredningar av ansiktsigenkänningsföretaget Clearview AI som ägt rum till följd av klagomål från organisationer för digitala rättigheter, inklusive Max Schrems organisation My Privacy is None of your Business (NOYB) och som resulterat i att flera sanktionsavgifter utfärdats. I takt med att AI och maskininlärningsplattformar blir allt vanligare förutspår rapporten fler granskningar med fokus på både leverantörer och användare av AI under nästa år.

Det finns enligt vår bedömning fortfarande osäkerhet kring hur AI-tekniker ska användas. För att skapa bättre förutsättningar behövs mer klargörande avgöranden och vägledande uttalanden kring hur nuvarande regelverk ska tolkas i sammanhanget, inte minst i ljuset av nya regler om AI, som kommer att gälla tillsammans med GDPR.

Överföring av personuppgifter utanför EU

Rapporten tar även upp några anmärkningsvärda beslut som fattats av tillsynsmyndigheter under året gällande krav på tredjelandsöverföringar av personuppgifter, i enlighet med det så kallade Schrems II-målet samt kapitel V i GDPR. Tillsynsmyndigheter har hävdat att det inte är möjligt att anta ett riskbaserat tillvägagångssätt vid bedömningar av tillåtlighet av överföringar av personuppgifter till länder utanför EU/EES.

Att anta ett absolutistiskt synsätt för överföring av personuppgifter och helt förbjuda all överföring av personuppgifter, oavsett hur obetydlig risken för skada är, riskerar att skada konsumenterna. Dataöverföringar har många fördelar för konsumenter och för samhället, genom att ge tillgång till onlinetjänster som gynnar många människor. Vi hoppas att tillsynsmyndigheterna omprövar detta synsätt.

Jennie Nilsson, advokat och ansvarig delägare för dataskydd på DLA Piper i Sverige

........................................................................................................................

Rapporten i korthet:

- Europeiska tillsynsmyndigheter har utfärdat sanktionsavgifter på 1,64 miljarder euro sedan 28 januari 2022, en ökning med 50 % jämfört med föregående år.

- Betydande sanktionsavgifter som utfärdats mot Meta IE av den irländska dataskyddsmyndigheten (DPC) sätter fokus på den datadrivna affärsmodellen mellan konsumenter och leverantörer av onlinetjänster; "gratis" tjänster i utbyte mot konsumenternas personuppgifter som sedan kan användas för att skapa lönsamma profiler för reklam. Avgifterna utmanar grunden i denna modell.

- Årets högsta sanktionsavgift på 405 miljoner EUR ålades Meta Platforms Ireland Limited av DPC, kopplat till Instagram och olika påstådda brister avseende skydd för underårigas personuppgifter.

- Det genomsnittliga antalet anmälda personuppgiftsincidenter per dag sjönk något, från 328 anmälningar per dag till 300 anmälningar per dag**, vilket skulle kunna bero på att organisationer kan ha blivit mer försiktiga med att anmäla incidenter av rädsla för granskningar, sanktionsavgifter och skadeståndsanspråk. Nederländerna är även detta år det land med flest antal anmälningar om personuppgiftsincidenter per 100 000 invånare.

- Luxemburg ligger kvar i toppen för de högsta GDPR-sanktionsavgifterna som ålagts sedan 25 maj 2018 med en sanktionsavgift på 746 miljoner EUR. Men Irland är på väg att komma ikapp och intar 2:a, 3:e, 4:e, 5:e och 6:e platserna avseende länders utfärdade sanktionsavgifter, efter ett mycket hektiskt år för DPC.

- Med så många tech-bolag baserade i Irland eller Luxemburg och de europeiska tillsynsmyndigheternas fortsatta fokus på denna sektor förutspår DLA Piper att Irland och Luxemburg sannolikt kommer att ligga kvar i toppen många år framöver.

DLA Pipers rapport omfattar alla 27 EU-medlemsstater, plus Storbritannien, Norge, Island och Liechtenstein. Det är inte alla jurisdiktioner som publicerar information om utfärdade sanktionsavgifter. Det är möjligt att fler avgifter har utfärdats och inte publicerats. Storbritannien lämnade EU den 31 januari 2020. Storbritannien har implementerat GDPR i var och en av jurisdiktionerna inom Storbritannien (England, Nordirland, Skottland och Wales). Vid tidpunkten för denna rapport motsvarar Storbritanniens GDPR i allt väsentligt EU:s GDPR, men det finns förslag på att ändringar ska genomföras under 2023. Det återstår att se i vilken utsträckning dessa förändringar kommer att avvika från EU:s GDPR.

Det är inte alla länder som omfattas av denna rapport som offentliggör statistik om personuppgiftsincidenter, och många lämnade data för endast en del av den period som omfattas av denna rapport. Vi har därför behövt extrapolera uppgifterna för att täcka hela perioden. Det är möjligt att några av de rapporterade överträdelserna hänför sig till de regler som gällde före GDPR. Eftersom ett antal dataskyddstillsynsmyndigheter nu har lämnat årsrapporter för 2021 har vissa siffror i förra årets rapport som tidigare extrapolerats uppdaterats i denna rapport.