Bøder for i alt EUR 272,5 mio. er blevet udstedt af de europæiske tilsynsmyndigheder for brud på GDPR

Der er udstedt bøder for i alt EUR 272,5 mio. for en lang række overtrædelser af Europas databeskyttelsesregler. Det viser en rapport fra DLA Piper. Tallet fremgår af den seneste årlige rapport om bøder og sikkerhedsbrud, der er anmeldt i henhold til databeskyttelsesforordningen (General Data Protection Regulation  eller ”GDPR”), der omfatter de 27 EU-lande samt Storbritannien, Norge, Island og Liechtenstein.

• Der er samlet udstedt bøder for EUR 158,5 mio. siden den 28. januar 2020, hvilket er en stigning på 39 % i forhold til det første 1½ år efter at GDPR trådte i kraft.

• Antallet af anmeldte sikkerhedsbrud er for andet år i træk steget væsentligt med 121.165 anmeldte databrud siden 28. januar 2020 mod 101.403 i det foregående år. Det er en stigning på 19 %.

• I Danmark blev der anmeldt 9.132 sikkerhedsbrud til Datatilsynet mod 6.706 sidste år

• Set i forhold til indbyggertallet ligger Danmark nr. 1 med flest anmeldte sikkerhedsbrud pr. indbygger.

• Italien er det land, hvor der er udstedt bøder for det største samlede beløb, mens der i Frankrig er udstedt den største enkelte bøde til dato.

Den italienske tilsynsmyndighed ligger øverst på listen over samlede bødebeløb, idet der i alt er udstedt bøder for over EUR 69,3 mio., siden GDPR trådte i kraft den 25. maj 2018. Tyskland og Frankrig indtager henholdsvis anden- og tredjepladsen med bøder for i alt EUR 69,1 mio. og EUR 54,4 mio. 

I alt er der anmeldt over 281.000 sikkerhedsbrud, siden GDPR trådte i kraft den 25. maj 2018, hvor Tyskland (77.747), Holland (66.527) og Storbritannien (30.536) ligger øverst på listen over antallet af sikkerhedsbrud, der er anmeldt til tilsynsmyndighederne. I Frankrig og Italien, der har en befolkning på over henholdsvis 67 mio. og 62 mio., blev der i samme periode kun anmeldt 5.389 og 3.460 sikkerhedsbrud, og det siger noget om kulturforskellene i tilgangen til anmeldelse af sikkerhedsbrud.  

Det samlede antal anmeldte sikkerhedsbrud pr. dag i Europa steg væsentligt for andet år i træk med 331 anmeldelser pr. dag siden 28. januar 2020, en stigning på 19 % set i forhold til 278 anmeldte sikkerhedsbrud pr. dag i det foregående år. 

I Danmark blev der anmeldt 9.132 sikkerhedsbrud til Datatilsynet, og Danmark lander således på en samlet 3. plads i oversigten over anmeldte sikkerhedsbrud det seneste år. Det samlede antal sikkerhedsbrud, der er blevet anmeldt i Danmark siden den 25. maj 2018 er 18.938, hvilket resulterer i en placering som nr. 4 i den samlede oversigt efter Tyskland, Holland og Storbritannien, der indtager top 3.

Set i forhold til befolkningstallet var der i Danmark 155,6 anmeldte sikkerhedsbrud pr. 100.000 indbyggere, hvilket rykker os op fra en tredjeplads til en førsteplads sammenlignet med året før. Hernæst følger Holland med 150 anmeldte sikkerhedsbrud. Irland ligger på tredjepladsen med 127,8 anmeldte sikkerhedsbrud pr. 100.000 indbyggere. Grækenland, Italien og Kroatien har færrest anmeldte sikkerhedsbrud pr. indbygger i perioden siden 28. januar 2020. 

Den største GDPR-bøde til dato er fortsat den bøde på EUR 50 mio. som det franske datatilsyn pålagde Google for virksomhedens påståede overtrædelse af princippet om gennemsigtighed og for manglende gyldigt samtykke.  Det britiske datatilsyn, Information Commissioner’s Office (ICO), havde ellers udstedt to forvarsler om bøder i juli 2019 på i alt GBP 282 mio, i kølvandet på to meget omtalte sikkerhedsbrud. Imidlertid trak den britiske myndighed voldsomt i land, og de endelige bøder, der blev udstedt i oktober 2020, var markant lavere, nemlig GBP 20 mio. (ca. EUR 22,2 mio.) og GBP 18,4 mio. (ca. EUR 20,4 mio.). Det østrigske datatilsyn led også et nederlag, da en bødemodtager i december 2020 blev frifundet for en bøde på EUR 18 mio. 

I en kommentar til rapporten siger Ross McKean, der er leder af DLA Pipers britiske afdeling for databeskyttelse og cybersikkerhed: ”Der ses fortsat en væsentlig stigning i bøder og anmeldte sikkerhedsbrud på årsbasis, og de europæiske myndigheder har vist, at de er villige til at udnytte deres håndhævelsesbeføjelser. De har også anlagt en meget streng fortolkning af GDPR, og banen er således kridtet op til heftige juridiske slagsmål i de kommende år. Vi har dog også set, at myndighederne til en vis grad har været lempelige i år som følge af pandemien og har nedsat adskillige meget omtalte bøder pga. økonomiske vanskeligheder. I løbet af det kommende år forventer vi at se de første håndhævelsessager vedrørende begrænsningerne i GDPR i forbindelse med overførsel af personoplysninger til USA og andre ”tredjelande”, idet efterdønningerne af Schrems II-dommen, der blev afsagt af EU-domstolen, fortsat kan mærkes.”

Partner i DLA Piper Denmark, Marlene Winther Plas, udtaler: ”Myndighederne i EU har i år afprøvet grænserne for deres beføjelser og har udstedt bøder for en lang række forskellige overtrædelser af Europas databeskyttelsesregler. Men de har ikke fået deres vilje alle steder, og der har været nogle bemærkelsesværdige frifindelser og store nedslag i bødeforlæggene. I betragtning af de store summer, der er på spil, og risikoen for, at der følger erstatningskrav i kølvandet, forventer vi, at tendensen med flere indbringelser af bøder for domstolene og indsigelser i håndhævelsessager vil fortsætte.”

Hent Data Breach rapporten nedenfor.