Stor ökning av GDPR-böter
Sverige ligger på nionde plats i Europa vad gäller summan av utfärdade GDPR-sanktionsavgifter sedan 25 maj 2018. Europeiska tillsynsmyndigheter har utfärdat GDPR-sanktionsavgifter på 1,78 miljarder euro sedan den 28 januari 2023.
Högsta beloppet någonsin
Den högsta sanktionsavgiften, 1,2 miljarder euro, har utfärdats gentemot Meta efter att den irländska tillsynsmyndigheten funnit att bolaget överförde personuppgifter till tredje land i strid med GDPR. Den sektor som har ålagts flest sanktioner är fortsatt teknikföretag, alla de tio största sanktionsavgifterna som har utfärdats sedan den 25 maj 2018 har ålagts företag inom tech-sektorn.
- Den rättsliga osäkerheten inom GDPR kommer att fortsätta. I synnerhet för sociala medier och stora teknikföretag är rekordhöga avgifter och tillrättavisningar ständigt närvarande. Det finns också många nya och föreslagna lagar och förordningar som gäller data och den digitala världen. Styrning och effektiv riskhantering är avgörande för att verksamheter ska kunna hantera denna komplexitet och efterlevnadsrisk, och för att säkerställa kontinuitet i verksamheten, förklarar Jennie Nilsson, Head of Digital, Data & Cyber på DLA Piper i Sverige.
Grundläggande principer
Brister i efterlevnaden av de grundläggande principerna i GDPR är fortfarande en vanlig grund för sanktionsavgifter i jurisdiktionerna som omfattas av rapporten. Även sanktionsavgifter till följd av bristande skydd för personuppgifter fortsätter att förekomma i alla jurisdiktioner enligt rapporten.
Hundratals anmälda personuppgiftsincidenter
Rapporten visar även att de senaste årens trend gällande personuppgiftsincidenter håller i sig. I genomsnitt inkom 335 anmälningar om överträdelser per dag under 2023 års period för undersökningen, jämfört med 328 under samma period föregående år.
Rapporten omfattar alla 27 medlemsstater i Europeiska unionen samt Storbritannien, Norge, Island och Liechtenstein. Det är dock inte alla länder som omfattas av DLA Pipers rapport som offentliggör statistik över och många har endast lämnat uppgifter för en del av den period som omfattas av denna rapport. DLA Piper har därför extrapolerat uppgifterna för att täcka hela perioden.
Det är också möjligt att vissa av de rapporterade överträdelserna hänför sig till lagstiftning som gällde före GDPR. Eftersom ett antal tillsynsmyndigheter för dataskydd nu har utfärdat årsrapporter för 2023 har vissa siffror i förra årets rapport som tidigare extrapolerades uppdaterats i denna rapport.
Rapporten åskådliggör viktiga GDPR-mätvärden för EES och Storbritannien sedan GDPR först tillämpades den 25 maj 2018 och för året som börjar den 28 januari 2023. EES omfattar alla 27 medlemsstater i Europeiska unionen samt Norge, Island och Liechtenstein. Storbritannien lämnade EU den 31 januari 2020. Storbritannien har infört GDPR i lag i var och en av jurisdiktionerna inom Storbritannien (England, Nordirland, Skottland och Wales).
Vid tidpunkten för denna undersökning motsvarar den brittiska dataskyddsförordningen i alla väsentliga avseenden EU:s dataskyddsförordning. Med det sagt har den brittiska regeringen föreslagit ändringar i den brittiska dataskyddslagstiftningen och har publicerat Data Protection and Digital Information Bill. Det återstår att se i vilken utsträckning dessa ändringar kommer att avvika från EU:s GDPR.
Jennie Nilsson, DLA Piper
UTBILDNING
» Till utbildningarCederquist får nya delägare
Cederquist har valt in två nya delägare inom verksamhetsgruppen för M&A.