Simovits

Utfall av införandet av GDPR efter 1.5 år i siffror

Införandet av EU:s nya dataskyddsregler (GDPR) 2018 skedde framförallt för att stärka individers rätt till att i högre utsträckning veta och ha möjlighet att påverka hur företag hanterar deras personuppgifter. Införandet innebar avsevärt förberedande arbete för de som behandlar personuppgifter, vilket i princip inte uteslöt något företag eller organisation, förening eller branschsektor. För att visa efterlevnad behövdes exempelvis svar på frågor som: finns DPO utsedd, vilka personuppgifter hanteras och hur känsliga är de, vilka system sker behandling på, finns legal grund för den typ av behandling som bedrivs, har individer givit samtycke, finns avtal upprättade då behandling utförs av personuppgiftsbiträde. Veckans blogg undersöker hur utfallet av GDPR-införandet hittills ser ut på EU-nivå samt i Sverige.

Inom EU efter 1 år [1]

I Sverige efter 1 år [2]

En tolkning är att om en bransch rapporterar mer än andra finns i större utsträckning en implementerad process för att upptäcka, hantera och rapportera, det behöver alltså inte nödvändigtvis innebära att de har sämre säkerhetsarbete. Lagkravet på rapportering inom 72 timmar har förmodligen en förebyggande effekt och hjälper organisationer att förbättra sin hantering. Uppföljning av personuppgiftsincidenter från Datainspektionens sida kan variera i omfattning, alltifrån vägledning och stöd till att det skapas ett tillsynsärende som kan resultera i att behandlingen förbjuds, varning meddelas eller sanktionsavgift tilldelas.    

Axplock av sanktionsavgifter som utfärdats inom EU 2018-2019 [3]

Den stora skillnaden gentemot PUL är bötesbeloppen på 2 respektive 4% av global årsomsättning eller 20/ 40 M € som riskerar drabba de som bryter mot GDPR. Vilka böter har då utfärdats och vad har egentligen överträdelser bestått i? Några exempel:

Vissa av dessa fall är pågående och ska t.ex. prövas i högre instans. Intressant är att bötesbeloppen varierar en hel del under det första året som kan betraktas som ett övergångsår. 

Finansiell exponering då GDPR inte efterlevs

Artikel 83 [4] beskriver allmänna villkor som ligger till grund för hur sanktionsavgifter ska påföras. Som tidigare nämnt görs en uppdelning i de mest allvarliga samt mer lindriga överträdelser. Till den allvarliga kategorin räknas exempelvis brister gentemot de grundläggande principerna, rättigheter hos individer, samt överföring av uppgifter till tredje land. Dock är det upp till respektive tillsynsmyndighet att utfärda avgifter på en nivå som kan motiveras. De tio kriterier som behöver tas hänsyn till innehåller t.ex. hur känsliga uppgifter är, skadan som inträffat, avsiktlighet, åtgärder, historik och samarbetsvillighet. Ytterligare konkretisering finns t.ex. i Holland då en GDPR bötespolicy upprättats [5], vilket ger möjlighet för andra länder att följa deras exempel. Den kategoriserar belopp i fyra nivåer (200 000 – 1 M €) baserat på vad överträdelsen gäller, från att DPO uppgifter saknas till profilering av individer samt att det brister i hantering av känsliga personuppgifter. Datainspektionen i Sverige har satt maxbelopp till 5 miljoner SEK för lindrigare överträdelser samt 10 miljoner för de av allvarlig karaktär [6].  

Sanktionsavgifter kommer sannolikt att fortsätta påföras och trenden verkar vara att de riktigt höga sanktionsavgifterna ökar. Överträdelser som uppmärksammats ovan gäller också olika delar av GDPR (t.ex. Artikel 32 och Artikel 5.1, 6.1) utan att en röd tråd i bedömningsnivå kan utläsas. Detta visar att bedömning av allvarlighetsgrad väger in helheten i förberedelser, inte enbart enskilda paragrafer. Det innebär också att det är mycket riskabelt att dimensionera och prioritera sitt säkerhetsarbete utifrån de delar där brister i efterlevnad är mest kännbara.

[1]https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf

[2]https://www.datainspektionen.se/globalassets/dokument/rapporter/anmalda-personuppgiftsincidenter-2018.pdf

[3]http://www.enforcementtracker.com 

[4] https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/dataskyddsforordningen—fulltext/#83

[5] https://www.hldataprotection.com/2019/03/articles/international-eu-privacy/dutch-data-protection-authority-sets-gdpr-fines-structure/

[6] https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/sanktionsavgifter-och-varningar/