Summan av GDPR-sanktionsavgifter har ökat med 50 procent jämfört med föregående år

Den globala advokatbyrån DLA Piper publicerar idag sin årliga rapport om GDPR-sanktionsavgifter och personuppgiftsincidenter. Rapporten visar på ytterligare ett rekordår för sanktionsavgifter med en ökning på 50 procent i Europa.

* Europeiska tillsynsmyndigheter har utfärdat GDPR-sanktionsavgifter på totalt 1,64 miljarder euro sedan den 28 januari 2022. DLA Pipers rapport omfattar alla 27 EU-medlemsstater samt Storbritannien, Norge, Island och Liechtenstein.

Sociala medier i fokus
Sociala medier har varit i fokus, och höga sanktionsavgifter har utfärdats mot Meta Platforms Ireland Ltd. ("Meta"). Facebook och Instagrams profilering av användare och tillämpning av den rättsliga grunden "avtal" som stöd för att samla in stora mängder personuppgifter underkändes av den Europeiska dataskyddsstyrelsen ("EDPB"). Avgörandena väcker frågor om den datadrivna affärsmodellen mellan konsumenter och tjänsteleverantörer och hur "gratis" onlinetjänster ska finansieras framöver.

Trehundra anmälda personuppgiftsincidenter per dag
DLA Pipers rapport visar även att antalet personuppgiftsincidenter som har anmälts till tillsynsmyndigheterna har minskat något jämfört med föregående år. Den genomsnittliga dagliga rapporteringen sjönk från 328 anmälningar per dag till 300 per dag**. Detta skulle kunna bero på att organisationer blir mer försiktiga med att anmäla incidenter till tillsynsmyndigheter av rädsla för granskningar, sanktionsavgifter och skadeståndsanspråk.

AI och dataskydd
Samtidigt som dataskyddsfrågor kopplade till reklam och sociala medier har dominerat rubrikerna under året finns ett växande fokus på artificiell intelligens ("AI") och användning av personuppgifter för att träna AI. Mest framträdande från den aktuella perioden är flera utredningar av ansiktsigenkänningsföretaget Clearview AI som ägt rum till följd av klagomål från organisationer för digitala rättigheter, inklusive Max Schrems organisation My Privacy is None of your Business (NOYB) och som resulterat i att flera sanktionsavgifter utfärdats. I takt med att AI och maskininlärningsplattformar blir allt vanligare förutspår rapporten fler granskningar med fokus på både leverantörer och användare av AI under nästa år.

─ Det finns fortfarande osäkerhet kring hur AI-tekniker ska användas. För att skapa bättre förutsättningar behövs mer klargörande avgöranden och vägledande uttalanden kring hur nuvarande regelverk ska tolkas i sammanhanget, inte minst i ljuset av nya regler om AI, som kommer att gälla tillsammans med GDPR, säger Jennie Nilsson, advokat och ansvarig delägare för dataskydd på DLA Piper i Sverige.  

Överföring av personuppgifter utanför EU
Rapporten tar även upp några anmärkningsvärda beslut som fattats av tillsynsmyndigheter under året gällande krav på tredjelandsöverföringar av personuppgifter, i enlighet med det så kallade Schrems II-målet samt kapitel V i GDPR. Tillsynsmyndigheter har hävdat att det inte är möjligt att anta ett riskbaserat tillvägagångssätt vid bedömningar av tillåtlighet av överföringar av personuppgifter till länder utanför EU/EES. 

─ Att anta ett absolutistiskt synsätt för överföring av personuppgifter och helt förbjuda all överföring av personuppgifter, oavsett hur obetydlig risken för skada är, riskerar att skada konsumenterna. Dataöverföringar har många fördelar för konsumenter och för samhället, genom att ge tillgång till onlinetjänster som gynnar många människor. Vi hoppas att tillsynsmyndigheterna omprövar detta synsätt, säger Jennie Nilsson.

* DLA Pipers rapport omfattar alla 27 EU-medlemsstater, plus Storbritannien, Norge, Island och Liechtenstein. Det är inte alla jurisdiktioner som publicerar information om utfärdade sanktionsavgifter. Det är möjligt att fler avgifter har utfärdats och inte publicerats. Storbritannien lämnade EU den 31 januari 2020. Storbritannien har implementerat GDPR i var och en av jurisdiktionerna inom Storbritannien (England, Nordirland, Skottland och Wales). Vid tidpunkten för denna rapport motsvarar Storbritanniens GDPR i allt väsentligt  EU:s GDPR, men det finns förslag på att ändringar ska genomföras under 2023. Det återstår att se i vilken utsträckning dessa förändringar kommer att avvika från EU:s GDPR.

** Det är inte alla länder som omfattas av denna rapport som offentliggör statistik om personuppgiftsincidenter, och många lämnade data för endast en del av den period som omfattas av denna rapport. Vi har därför behövt extrapolera uppgifterna för att täcka hela perioden. Det är möjligt att några av de rapporterade överträdelserna hänför sig till de regler som gällde före GDPR. Eftersom ett antal dataskyddstillsynsmyndigheter nu har lämnat årsrapporter för 2021 har vissa siffror i förra årets rapport som tidigare extrapolerats uppdaterats i denna rapport.