GDPR-gebyrer

Etter tre år med GDPR: Disse har måttet betale aller mest

Mange mottok store overtredelsesgebyrer i 2020.

De europeiske datatilsynene utsteder stadig oftere gebyr for overtredelser av personvernforordningen GDPR.
De europeiske datatilsynene utsteder stadig oftere gebyr for overtredelser av personvernforordningen GDPR. (Illustrasjonsfoto: Shutterstock/AVN Photo Lab)

Mange mottok store overtredelsesgebyrer i 2020.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

25. mai 2018 trådte personvernforordningen GDPR (General Data Protection Regulation) i kraft i EU. I Norge skjedde dette først 20. juli samme år. 

Folk flest opplever kanskje at ulike nettsteders varsler om samtykke til bruk av cookies er den største konsekvensen av GDPR. Men det er liten tvil om at personvern i langt større grad enn tidligere har kommet på dagsordenen til mange, blant annet fordi de nasjonale datatilsynenes håndhevelse av personvern er blitt mer synlig. Ikke minst får overtredelsesgebyrene mye oppmerksomhet. 

Etter hvert er det mange som er blitt ilagt slik gebyrer. GDPR Enforcement Tracker er den mest omfattende oversikten Digi.no kjenner til. Den har 689 oppføringer, men i noen tilfeller handler flere av oppføringene om samme sak. 

Ifølge oversikten har det til nå vært 25 brudd på GDPR som har resultert i at datatilsynene i EU/EØS + Storbritannia har utstedt gebyr på 1 million euro eller mer. Det finnes andre oversikter som oppgir enda flere så store gebyrer – blant annet hos nettstedet Privacyaffairs. I noen tilfeller gjelder dette vedtak som ikke er blitt akseptert av den berørte aktøren. Det har vært flere slike saker hvor gebyret er blitt redusert etter ny behandling i eller utenfor rettsvesenet. 

Les også

De største gebyrene – så langt

Dette er de ti aller største gebyrene som trolig er endelig vedtatt: 

  1. Google ble ilagt gebyr på 50 millioner euro i 2019 av datatilsynet i Frankrike for manglende juridisk grunnlag for prosessering av personopplysninger, blant annet knyttet til transparens og brukersamtykke. 
  2. I 2020 ble H&M-gruppen ilagt et gebyr på 35 millioner euro i Tyskland for å ha samlet inn følsomme opplysninger om ansatte.
  3.  Det italienske telekomselskapet TIM ble i 2020 ilagt et gebyr på 27,8 millioner euro fra det italienske datatilsynet for ulovlig prosessering av personopplysninger i forbindelse med blant annet markedsføring og annonsering. Flere millioner personer var berørt av dette. 
  4. I 2019 ble British Airways ilagt et gebyr tilsvarende 201,7 millioner euro av det britiske datatilsynet etter å ha blitt frastjålet personopplysninger om mer enn 400.000 kunder og ansatte. Det rekordstore gebyret ble høsten 2020 redusert til et beløp tilsvarende 22 millioner euro for ikke å knekke ryggen på flyselskapet midt under koronapandemien. 
  5. Hotellkjeden Marriott International ble i 2019 ilagt et gebyr tilsvarende 110,3 millioner euro fra det britiske datatilsynet, etter at kjeden ble frastjålet opplysninger om nærmere en halv milliard kunder. Høsten 2020 ble gebyret redusert til 18,4 millioner pund, tilsvarende 20,5 millioner euro. 
  6. Sommeren 2020 ble Wind Tre, en italienske mobiloperatør, ilagt et gebyr på 16,7 millioner euro av det italienske datatilsynet for ulovlig prosessering av personopplysninger og uønsket markedsføring gjennom e-post, SMS og telefonsamtaler. I tillegg ble kunders kontaktopplysninger offentliggjort uten samtykke, og kundene skal ha hatt svært begrensede muligheter til å få trekke tilbake samtykke om prosessering av data.
  7. Høsten 2020 ble Vodafone Italia ilagt et gebyr på 12,3 millioner euro av det italienske datatilsynet på grunn av ulovlig prosessering av personopplysninger om millioner av kunder i forbindelse med salgsvirksomhet via telefon. Blant annet ble det oppdaget brudd på forpliktelser rundt innhenting av samtykke og at innleide callsentre brukte falske telefonnumre.
  8. Den tyske PC-forhandleren Notebooksbilliger.de ble i januar i år ilagt et gebyr på 10,4 millioner euro av datatilsynet i delstaten Niedersachsen etter å ha videoovervåket de ansatte uten juridisk grunnlag. Hensikten med overvåkingen skal delvis ha vært å forhindre kriminell aktivitet, men datatilsynet i delstaten mente at overvåkingen var et massivt brudd på de ansattes rettigheter og at generell mistanke ikke er tilstrekkelig grunnlag for slik overvåking. 
  9. Den italienske strøm- og gassleverandøren Eni Gas e Luce ble i 2020 ilagt et gebyr på 8,5 millioner euro av det italienske datatilsynet for ulovlig prosessering av personopplysninger i forbindelse med salgsvirksomhet og aktivering av uoppfordrede kontrakter.
  10. Også i Spania er Vodafone blitt ilagt et stort GDPR-gebyr. Dette skjedde i mars i år. Gebyret ble utstedt av det spanske datatilsynet og var på knapt 8,2 millioner euro. Selskapet hadde tatt kontakt med en rekke personer via blant annet telefon og meldinger for å markedsføre tjenester og produkter, til tross for at mange av personene hadde reservert seg mot telefonsalg. Størrelsen på gebyret ble begrunnet med at det var blitt mottatt så mange som 191 klager på denne virksomheten. 
Les også

Fraværende i listen

I desember i fjor kunngjorde det franske datatilsynet – CNIL – at både Google og Amazon er blitt ilagt gebyr for ulovlig sporing med cookies. To ulike Google-selskaper er ilagt gebyr på henholdsvis 60 og 40 millioner euro, mens Amazon ble ilagt et gebyr på 35 millioner euro. 

Alle de tre gebyrene er store nok til å gi en topp 10-plassering, men de er ikke nevnt på de to topplistene som er nevnt tidligere i saken. Årsaken skal være at CNIL har ombestemt seg i ettertid.

GDPR Enforcement Tracker tilbyr også en god del statistikk om gebyrene. Totalt er det til nå utstedt gebyrer på drøyt 283 millioner euro fordelt 636 saker – i gjennomsnitt er gebyrene dermed på omtrent 445.000 euro. 

Italia på topp, Norge på bunn

Enkelte av EU/EØS-landenes datatilsyn er mer ivrige etter å utstede store gebyrer enn andre. Italias datatilsyn rangeres høyest med en samlet gebyrsum på nesten 76,3 millioner euro, fordelt på 76 gebyrer. Frankrikes CNIL ligger på andre plass på grunn av 50 millioner-gebyret til Google. CNIL har ifølge oversikten bare utstedt 13 andre GDPR-gebyrer, som totalt er på 4,7 millioner euro.

Tyskland følger på tredjeplass med 49,2 millioner euro fordelt på 30 gebyrer. 

Norge ligger aller nederst når det gjelder gebyrsum med 1,32 millioner euro totalt. Dette inkluderer ikke det gebyret på 25 millioner kroner (omtrent 2,5 millioner euro) som Disqus nylig har fått varsel om at selskapet vil bli ilagt for skjult sporing og profilering av brukere. 

Ellers er det Bergen kommune som ligger på gebyrtoppen hos Datatilsynet. Kommunen ble i fjor ilagt et overtredelsesgebyr på 3 millioner kroner etter en sikkerhetsbrist i skoleappen Vigilo.

Saken ble oppdatert 26. mai 2021 med en forklaring på hvorfor de nyeste overtredelsesgebyrene fra CNIL ikke er med i listen.

Les også

Kommentarer (2)

Kommentarer (2)
Til toppen