Det er nå fire år siden GDPR-lovgivningen ble innført i Europa, og siden den gang er det blitt delt ut bøter verdt milliarder av kroner til aktører som har begått ulike brudd på lovene. Nå viser det seg at størrelsen på disse bøtene bare fortsetter å vokse.
Atlas VPN utarbeidet nylig en rapport som viser at GDPR-bøtene har nådd en samlet sum på 100 millioner euro, rett over én milliard kroner, bare i løpet av den første halvdelen av inneværende år.
Nær dobling
Dette er en økning på 92 prosent, eller nesten det dobbelte av den samlede summen som EU delte ut bøter for i løpet av første halvdel av 2021.
Det var en svak nedgang i antallet GDPR-brudd som ble rapportert i årets første seks måneder. Grunnen til at bøtene likevel samlet sett har økt kraftig, er at bruddene har blitt langt mer alvorlige.
Atlas VPN peker på Clearview AI-saken som et av de mest alvorlige GDPR-bruddene som fant sted i år. Denne saken, som Digi.no også omtalte, handlet om det britiske selskapet Clearview AI, som hadde bygd en database med over 20 milliarder ansiktsbilder fra hele verden, innhentet via skraping av sosiale medier, nettvideoer og andre nettmedier.
Databasen ble brukt til ansiktsgjenkjenning uten å informere noen av brukerne om at bildene deres ble benyttet på denne måten. Boten lød på 7,5 millioner britiske pund, litt over 90 millioner norske kroner.
Atlas VPN mener slike eksempler demonstrerer at GDPR-lovgivningen trengs mer enn noensinne.
Ingen smertefri innføring
– GDPR var nødvendig fordi de gamle lovene ble skrevet før fremveksten av nye teknologier som smarttelefoner og nettbrett, som betyr at brukere ikke var beskyttet mot selskaper som utnytter den personlige informasjonen deres. Heldigvis har GDPR gitt individer mer klarhet rundt hvordan og hvorfor bedrifter bruker dataene deres, skriver Atlas VPN.
Da GDPR-lovgivningen ble innført var det imidlertid ikke uten en viss grad av forvirring og usikkerhet, kanskje særlig i Norge. Stortinget vedtok loven 22. mai 2018, men kunne av tekniske grunner ikke innføre den før 1. juli. Ikke engang Datatilsynet kunne svare på hvilken dato regelverket skulle innføres i mai 2018. EU satte startdato 25. mai.
Først 10. juli var svaret klart, 20. juli måtte også norske bedrifter følge regelverket. Det var tilløp til panikk, og bedrifter masse-sendte e-poster til kunder om samtykke.
Fire år senere har de fleste i bransjen blitt godt vant til å forholde seg til GDPR-reglene, men det er fortsatt stor usikkerhet om deler av regelverket, spesielt når det kommer til datautveksling til tredjeland.
Millionbot fra Datatilsynet til Trumf