Utfall av införandet av GDPR efter 1.5 år i siffror

Införandet av EU:s nya dataskyddsregler (GDPR) 2018 skedde framförallt för att stärka individers rätt till att i högre utsträckning veta och ha möjlighet att påverka hur företag hanterar deras personuppgifter. Införandet innebar avsevärt förberedande arbete för de som behandlar personuppgifter, vilket i princip inte uteslöt något företag eller organisation, förening eller branschsektor. För att visa efterlevnad behövdes exempelvis svar på frågor som: finns DPO utsedd, vilka personuppgifter hanteras och hur känsliga är de, vilka system sker behandling på, finns legal grund för den typ av behandling som bedrivs, har individer givit samtycke, finns avtal upprättade då behandling utförs av personuppgiftsbiträde. Veckans blogg undersöker hur utfallet av GDPR-införandet hittills ser ut på EU-nivå samt i Sverige.

Inom EU efter 1 år [1]

• 95 000 anmälningar om brott ifrån individer vars rättigheter genom GDPR eventuellt har överträtts. Detta handlar mestadels om videoövervakning, telemarketing samt e-postmarknadsföring.
• 65 000 personuppgiftsincidenter som rapporterats till tillsynsmyndigheter, uppgifter som olagligt eller av misstag distribuerats.
• 255 fall av överföring av uppgifter över landsgränser, eftersom exempelvis plattformar för sociala medier har sina tjänster i flera EU-länder. Dessa fall härstammar antingen ifrån individers anmälningar eller så har initierats ifrån tillsynsmyndigheter själva.

I Sverige efter 1 år [2]

• 4300 personuppgiftsincidenter inrapporterade till Datainspektionen (i Holland rapporteras 2000 i månaden) och i ökande takt
• Av dessa ligger den mänskliga faktorn (okunskap elle misstag) bakom ca 60 % av fallen, övriga omfattar dataintrång, tekniska eller processmässiga brister
• Finanssektorn samt näringslivet är mer förekommande i denna statistik jämfört med kommuner, myndigheter och skolor

En tolkning är att om en bransch rapporterar mer än andra finns i större utsträckning en implementerad process för att upptäcka, hantera och rapportera, det behöver alltså inte nödvändigtvis innebära att de har sämre säkerhetsarbete. Lagkravet på rapportering inom 72 timmar har förmodligen en förebyggande effekt och hjälper organisationer att förbättra sin hantering. Uppföljning av personuppgiftsincidenter från Datainspektionens sida kan variera i omfattning, alltifrån vägledning och stöd till att det skapas ett tillsynsärende som kan resultera i att behandlingen förbjuds, varning meddelas eller sanktionsavgift tilldelas.    

Axplock av sanktionsavgifter som utfärdats inom EU 2018-2019 [3]

Den stora skillnaden gentemot PUL är bötesbeloppen på 2 respektive 4% av global årsomsättning eller 20/ 40 M € som riskerar drabba de som bryter mot GDPR. Vilka böter har då utfärdats och vad har egentligen överträdelser bestått i? Några exempel:

• 20 000 € i Tyskland:  Social mediaplattform som läckte medlemmars personuppgifter och ej vidtagit tillräckliga säkerhetsåtgärder  
• 220 000 € i Polen: Bristande information vid scraping av 6 miljoner personuppgifter, enbart samtycke ifrån 20 000
• 400 000 € i Portugal: Sjukhus som inte skyddat känsliga personuppgifter med tillräckliga säkerhetsåtgärder, i.e. patientdata
• 50 M € i Frankrike: Sökmotor som har brustit i grundläggande principer: öppenhet, information och samtycke avseende hur användares personuppgifter hanteras
• 204 M € i Storbritannien: Flygbolag har vid säkerhetsincident läckt en halv miljon personuppgifter, e.g. kreditkortsuppgifter   
• 18 M € i Österrike: Posten har profilerat 3 miljoner användare bl.a. avseende preferenser och vanor samt sålt uppgifter vidare till tredje part
• 200 000 SEK i Sverige: Skola som på förssök tagt upp närvaro med hjälp av ansiktsigenkänning.  Otillräckligt samtycke då elever befunnits i beroendeställning till gymnasienämnden

Vissa av dessa fall är pågående och ska t.ex. prövas i högre instans. Intressant är att bötesbeloppen varierar en hel del under det första året som kan betraktas som ett övergångsår. 

Finansiell exponering då GDPR inte efterlevs

Artikel 83 [4] beskriver allmänna villkor som ligger till grund för hur sanktionsavgifter ska påföras. Som tidigare nämnt görs en uppdelning i de mest allvarliga samt mer lindriga överträdelser. Till den allvarliga kategorin räknas exempelvis brister gentemot de grundläggande principerna, rättigheter hos individer, samt överföring av uppgifter till tredje land. Dock är det upp till respektive tillsynsmyndighet att utfärda avgifter på en nivå som kan motiveras. De tio kriterier som behöver tas hänsyn till innehåller t.ex. hur känsliga uppgifter är, skadan som inträffat, avsiktlighet, åtgärder, historik och samarbetsvillighet. Ytterligare konkretisering finns t.ex. i Holland då en GDPR bötespolicy upprättats [5], vilket ger möjlighet för andra länder att följa deras exempel. Den kategoriserar belopp i fyra nivåer (200 000 – 1 M €) baserat på vad överträdelsen gäller, från att DPO uppgifter saknas till profilering av individer samt att det brister i hantering av känsliga personuppgifter. Datainspektionen i Sverige har satt maxbelopp till 5 miljoner SEK för lindrigare överträdelser samt 10 miljoner för de av allvarlig karaktär [6].  

Sanktionsavgifter kommer sannolikt att fortsätta påföras och trenden verkar vara att de riktigt höga sanktionsavgifterna ökar. Överträdelser som uppmärksammats ovan gäller också olika delar av GDPR (t.ex. Artikel 32 och Artikel 5.1, 6.1) utan att en röd tråd i bedömningsnivå kan utläsas. Detta visar att bedömning av allvarlighetsgrad väger in helheten i förberedelser, inte enbart enskilda paragrafer. Det innebär också att det är mycket riskabelt att dimensionera och prioritera sitt säkerhetsarbete utifrån de delar där brister i efterlevnad är mest kännbara.

[1]https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf

[2]https://www.datainspektionen.se/globalassets/dokument/rapporter/anmalda-personuppgiftsincidenter-2018.pdf

[3]http://www.enforcementtracker.com 

[4] https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/dataskyddsforordningen—fulltext/#83

[5] https://www.hldataprotection.com/2019/03/articles/international-eu-privacy/dutch-data-protection-authority-sets-gdpr-fines-structure/

[6] https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/sanktionsavgifter-och-varningar/