Företag inom finansiella tjänster och energi granskas allt oftare för överträdelser av GDPR
DLA Piper har nyligen publicerat sin årliga rapport om administrativa sanktionsavgifter enligt GDPR och anmälda personuppgiftsincidenter. Rapporten visar en minskning av de totala utfärdade sanktionsavgifterna med 33 % jämfört med föregående år. Trots att teknik- och sociala medieföretag fortfarande står för majoriteten av bötesbeloppen, ser vi en tydlig trend där företag inom finansiella tjänster och energi hamnar allt oftare under tillsyn.
Enligt Anna Jussil Broms, Head of Intellectual Property and Technology på DLA Piper Sverige, har minskningen av de totala sanktionsavgifterna under 2024 delvis förklarats av avsaknaden av några rekordböter under året. "Efter en ökning av administrativa sanktionsavgifter sedan GDPR trädde i kraft 2018, ser vi nu en minskning, men antalet anmälningar om personuppgiftsincidenter har fortsatt att stiga", säger hon.
Rapporten visar också att antalet anmälningar om personuppgiftsincidenter har ökat något, från 335 per dag under 2023 till 363 per dag under 2024. Nederländerna, Tyskland och Polen rapporterar de högsta nivåerna av personuppgiftsincidenter.
Irland, som fortfarande är den tillsynsmyndighet som har utdömt de största administrativa sanktionsavgifterna, har sedan maj 2018 utfärdat böter motsvarande 3,5 miljarder euro. Luxemburg följer efter med 746,38 miljoner euro under samma period.
Gustav Lundin, partner på DLA Piper i Sverige, kommenterar den ökande tillsynen inom nya sektorer: "Vi ser att GDPR-tillsynen utvecklas och anpassas, och nu omfattar den även sektorer bortom de stora teknikföretagen. Ett exempel på detta är den nederländska dataskyddsmyndighetens pågående undersökning av Clearview AI:s ledningsgrupps eventuella personliga ansvar för företagets GDPR-överträdelser."
Under 2024 har även den svenska Integritetsskyddsmyndigheten utfärdat sanktionsavgifter mot flera apotekskedjor, där den största uppgick till 37 miljoner SEK, samt en bank som fick en böter på 15 miljoner SEK för bristande säkerhetsåtgärder vid användning av tredjepartsleverantörer.
Trender för 2024:
- Minskning av sanktionsavgifter: Ingen rekordböter under 2024, till skillnad från 2023.
- Stora teknikföretag och sociala medie-jättar fortsätter vara de största målen för sanktioner.
- Ökad tillsyn inom finansiella tjänster och energi.
Exempel på sanktioner utfärdade 2024:
- Irland: 310 miljoner euro mot LinkedIn och 251 miljoner euro mot Meta.
- Nederländerna: 290 miljoner euro mot en taxiapptjänst.
- Spanien: 6,2 miljoner euro mot en stor bank.
- Italien: 5 miljoner euro mot ett energibolag.
- Sverige: Ca 3,2 miljoner euro mot ett apoteksbolag.
Totalt har de administrativa sanktionsavgifterna enligt GDPR sedan den började tillämpas 2018 uppgått till 5,88 miljarder euro. Den största sanktionsavgiften som någonsin utfärdats var 1,2 miljarder euro, som den irländska dataskyddsmyndigheten utdömde mot Meta Platforms Ireland Limited under 2023.
