Sverige hade sjunde flest personuppgiftsincidenter i Europa, enligt ny rapport från DLA Piper

Nyhet
21 jan 2020
Nyhetsrum

Antalet personuppgiftsincidenter uppgick till 160 000 i Europa sedan GDPR infördes, enligt en undersökning från DLA Piper. Totalt har 114 miljoner euro i sanktionsavgifter dömts ut under GDPR. I Sverige har 7 333 incidenter rapporterats in, sjunde flest i Europa.

Fler än 160 000 personuppgiftsincidenter har rapporterats till tillsynsmyndigheter i EU:s 28 medlemsländer plus Norge, Island och Lichtenstein sedan GDPR började gälla den 25 maj 2018. Enligt DLA Pipers senaste GDPR Data Breach Survey har dataskyddsmyndigheter utdömt 114 miljoner euro i sanktionsavgifter för en rad olika GDPR-överträdelser, inte bara personuppgiftsincidenter.

I Sverige har 7 333 personuppgiftsincidenter rapporterats in till Datainspektionen, vilket är sjunde flest i undersökningen. Det har i Sverige dömts ut sanktionsavgifter till ett totalt värde av 53 630 euro, vilket var tredje lägst bland de länder där sanktionsavgifter utdömts. Frankrike, Tyskland och Österrike ligger i topp vad gäller värdet på utdömda sanktionsavgifter, med 51 miljoner, 24,5 miljoner, respektive 18 miljoner euro. Nederländerna, Tyskland och Storbritannien toppade tabellen över antalet rapporterade incidenter med 40,647, 37,636 och 22,181 incidenter vardera.

Antalet inrapporterade incidenter per dag har ökat med 12,6%, från 247 fall per dag i genomsnitt under de första åtta månaderna under GDPR mellan 25 maj 2018 och 27 januari 2019, till 278 inrapporterade överträdelser per dag det senaste året.

I förhållande till befolkningen har Sverige åttonde flest inrapporterade personuppgiftsincidenter med 48,14 incidenter per 100 000 invånare. Detta innebär en oförändrad plats i rankingen, trots en ökning från 24,9 fall per 100 000 invånare under de första åtta månaderna efter den 25 maj 2018. Nederländerna toppar listan med 147,2 inrapporterade fall per 100 000 invånare, följt av Irland och Danmark, med 132,52 respektive 115,43 fall per 100 000 invånare. Italien, Rumänien och Grekland rapporterade lägst antal personuppgiftsincidenter per capita. Italien, ett land med över 62 miljoner invånare, rapporterade endast in 1 886 personuppgiftsincidenter, en möjlig illustration över kulturella skillnader i synen på inrapportering av incidenter.

Den högsta sanktionsavgiften enligt GDPR så här långt är de 50 miljoner euro som den franska tillsynsmyndigheten ålade Google för påstådda överträdelser av reglerna om information och transparens och brist på giltigt samtycke.  Efter två uppmärksammade personuppgiftsincidenter, meddelande Storbritannien i juli 2019 sin avsikt att ålägga sanktionsavgifter till ett belopp om 282 miljoner pund, ungefär 329 miljoner euro. Inget slutligt beslut har dock meddelats vid rapportens publicering.

– GDPR har helt klart bidragit till att lyfta frågan om personuppgiftsincidenter till ytan. Vi hanterar frågor om personuppgiftsincidenter i princip på daglig basis. Antalet rapporterade incidenter har ökat under det senaste året, och från myndigheternas håll försöker man nu hitta praxis för nivåerna på sanktionsavgifter. Det är tydligt att tillsynsmyndigheterna i olika länder har olika tolkningar kring hur sanktionsavgifter ska beräknas, med stora skillnader mellan olika länder. Summan av de sanktionsavgifter som ålagts runt om i Europa är fortfarande låg i förhållande till vad som är möjligt enligt regelverket. Jag tror att vi kan räkna med att se fler mångmiljonsanktioner de närmsta åren, säger Johan Sundberg, partner och ansvarig för DLA Piper Swedens Dataskyddsgrupp. 

- Reglerna om rapportering av personuppgiftsincidenter är bara en liten del av GDPR:s regelverk – i likhet med fallet avseende Google kan vi nog förvänta oss ett antal beslut från tillsynsmyndigheterna som exempelvis rör frågan om samtycke och transparens säger Johan Thörn, Advokat i DLA Piper Swedens Dataskyddsgrupp.