1515
Annons

Kraftig ökning av GDPR-böter

Överträdelserna av GDPR blir färre men bötesbeloppen blir värre. Det är slutsatsen när det första halvåret 2022 sammanfattas. 

Foto:Yves Logghe

Den totala bötessumman för överträdträdelser av EU:s dataskyddsförordning GDPR uppgick till totalt 97,3 miljoner euro, runt 970 miljoner kronor, under det första halvåret 2022. 

Det är en ökning med 92 procent jämfört med samma period 2021, då bötessumman låg på 50,6 miljoner euro, över 500 miljoner kronor, enligt nätverkstjänsten Atlas VPN:s analys.

Samtidigt visar analysen att antalet rättsfall minskat från 215 till 205 mellan år 2021 och 2022. Med andra ord innebär det att antalet GDPR-överträdelserna minskat något, men att allvarlighetsgraden på fallen ökat. 

Den mest märkbara skillnaden mellan 2021 och 2022 ser man i februari, där det totala straffbeloppet skiljer sig med nästan 300 miljoner kronor. 

Ett av de dömda företagen är den amerikanska ansiktsigenkänningsappen Clearview AI som bötfällts med 7,5 miljoner pund, runt 93 miljoner kronor, för att ha samlat in bilder på webben till en databas utan att informera personerna på bilderna. 

Bolaget har även skapat kontrovers i Sverige, då den svenska polisen bötfällts av Integritetsskyddsmyndigheten efter att enskilda anställda använt appen på eget bevåg. 

Bland andra uppmärksammade fall sedan dataskyddsförordningen trädde i kraft finns det tyska elektronikföretaget Notebooksbilliger.de som 2021 tvingades betala 10,4 miljoner euro, runt 108 miljoner kronor, till tyska myndigheter. Detta efter att ha videoövervakat sina anställda i minst två år utan laglig grund. 

Läs mer: https://www.di.se/digital/rekord-i-gdpr-boter-under-tredje-kvartalet-ett-land-sticker-ut/ 

Expert varnar: Se upp efter norska GDPR-besluten – ”en väckarklocka för alla”

Flera norska GDPR-beslut nyligen innebär att styrelseledamöter och vd:ar är personligen ansvariga för bolags bristfälliga hantering av personuppgifter – och själva kan behöva betala miljonböter.

Besluten innebär att även svenska företagsledare kan hamna i skottgluggen, bedömer en GDPR-expert.

Karl-Oskar Brännström, vd för GDPR-företaget Aigine, bedömer att färska norska GDPR-beslut där bolagsledare och styrelseledamöter pekas ut som ansvariga kan innebära att även svenska bolagsledare kan hållas skadeståndsansvariga.
Karl-Oskar Brännström, vd för GDPR-företaget Aigine, bedömer att färska norska GDPR-beslut där bolagsledare och styrelseledamöter pekas ut som ansvariga kan innebära att även svenska bolagsledare kan hållas skadeståndsansvariga.Foto:Pressbild, TT

I slutet av september dömdes norska Ferde, ett statligt bolag som hanterar vägtulllar, till 5 miljoner norska kronor i böter för bristande hantering av personuppgifter. Detta efter att ha överfört ostrukturerad data med personuppgifter från sin databas om vägpassager till ett databehandlingsbolag i Kina.

Enligt vad Norges datainspektion Datatilsynet särskilt påpekar i sitt beslut ligger ansvaret för regelbrottet på styrelsen och ledningen för bolaget.

Skadeståndsrättsligt ligger vägen därför nu öppen för ägarna av Ferde, tre norska kommuner, att kräva kompensation från styrelseordförande och ledning, enligt vad Karl-Oskar Brännström, vd vid GDPR-bolaget Aigine, uppger till Di.

”Beslutet borde vara en väckarklocka för alla styrelseledamöter, även i Sverige, då det norska beslutet ligger till grund för bedömningar i hela Europa”, säger han och drar paralleller till miljö- och arbetsmiljöbrott där företagsledare fått öppna den egna plånboken.

Han nämner sedan två andra färska norska beslut med samma innebörd, utpekat personligt ansvar vid dataskyddsbrott för styrelse och ledning. Dels gäller det ett sjukhus där personuppgifter läckt ut i samband med en registeruppdatering, dels en kommun där ett hackerangrepp av så kallad ransomwaretyp ledde till att tusentals dokument med personuppgifter läckte ut på nätet.

I det sistnämnda fallet har Datatilsynet tydligt pekat ut kommundirektören som personligt ansvarig för bristfälligt it-säkerhetsskydd – även it-säkerhetsbrister kan alltså styrelser och bolagsledningar hållas personligt ansvariga för, påpekar Karl-Oskar Brännström.

Den typ av brister som uppdagats i Norge är ”väldigt vanliga” även i Sverige, både i privat och i offentlig sektor, enligt Karl-Oskar Brännström, vars bolag Aigine säljer ett AI-baserat system som automatiskt hittar personuppgifter samt bedömer och dokumenterar dem.

Att den norska dataskyddsmyndigheten betonar det personliga ansvaret betecknar Karl-Oskar Brännström som något förvånande, och möjligen ett uttryck för frustration över skral GDPR-regelefterlevnad sedan reglerna infördes häromåret.

Hans bedömning är att denna frustration är utbredd bland myndigheter även i andra länder, men huruvida svenska Integritetsskyddsmyndigheten är på väg att peka ut individer i beslut saknar han insyn i.

Sådana utpekanden är dock, menar han, inte en förutsättning för att ägare ska kunna utkräva personligt ansvar för eventuella böter: alla styrelseledamöter har redan sedan tidigare ett ansvar för att sköta aktiebolaget enligt lagar och regler.

”Den svenska tillsynsmyndigheten har ett väldigt stort antal tillsynsärenden öppna, och myndigheterna börjar göra gryningsräder för att granska hur den faktiska informationshanteringen ser ut”, säger Karl-Oskar Brännström.

Vad bör svenska företag göra för att undvika att åka dit?
”Ledningen behöver vara medveten om sitt ansvar, som inte går att delegera nedåt i organisationen utan, vilket Norgebesluten visar, ligger på högsta förvaltningsnivå”, säger han, och fortsätter:

”Dataskyddsförordningen har en väldigt stor påverkan med höga vitesnivåer och det kan bli stora skadestånd. Det finns dessutom inte minst risk för badwill: nio av tio svenskar är oroliga för hur deras personuppgifter hanteras, så det kan bli en ödesfråga för bolaget om man inte visar att man klarar av det här.”

Det verkar som att du använder en annonsblockerare

Om du är prenumerant behöver du logga in för att fortsätta. Vill bli prenumerant kan du läsa Di Digitalt för 197 kr inkl. moms de första 3 månaderna.

spara
1090kr
Prenumerera