När den allmänna dataskyddsförordningen (GDPR) trädde i kraft 2018 inleddes en ny era för dataskyddet i EU. Åtminstone på papperet. Konsumenterna fick verktyg att stå upp för sina grundläggande rättigheter, samtidigt som myndigheterna fick omfattande utredningsbefogenheter och möjlighet att sanktionera överträdelser med höga böter. Nästan 7 år senare är verkligheten mycket dystrare. Med anledning av årets dataskyddsdag den 28 januari, noyb analyserat aktuell statistik från EDPB om de nationella dataskyddsmyndigheternas (in)aktivitet. Uppgifterna visar att i genomsnitt endast 1,3 % av ärendena hos dataskyddsmyndigheterna leder till böter. Detta är dock inte fallet, yrkesverksamma inom dataskydd säger att böter är det mest effektiva sättet att se till att företagen följer lagen.
Strikt efterlevnad av GDPR bara på papperet. När den allmänna dataskyddsförordningen (GDPR) trädde i kraft i maj 2018 utlovades en övergång till ett seriöst förhållningssätt till dataskydd. Europeiska konsumenter som drabbats av integritetskränkningar fick de nödvändiga verktygen för att klaga hos sina nationella dataskyddsmyndigheter - som utrustades med nödvändiga befogenheter för att utreda alla typer av överträdelser och utfärda administrativa böter för att förhindra liknande brott i framtiden. Tyvärr har de senaste sju åren visat att detta mest har varit ett önsketänkande. Detta bekräftas av en ny noyb analys av EDPB:s statistik över myndigheternas verksamhet mellan 2018 och 2023: I genomsnitt leder endast 1,3 % av ärendena hos dataskyddsmyndigheterna till böter. Detta stämmer överens med våra egna praktiska erfarenheter: De flesta ärenden drar ut på tiden i flera år innan de avslutas med en förlikning eller avskrivs helt och hållet.
Max Schrems: "Europeiska dataskyddsmyndigheter har alla nödvändiga medel för att på ett adekvat sätt sanktionera GDPR-överträdelser och utfärda böter som skulle förhindra liknande överträdelser i framtiden. Istället drar de ofta ut på förhandlingarna i åratal - bara för att alltför ofta fatta beslut som går emot den klagandes intressen."
Inget verkligt positivt exempel. Även om vissa dataskyddsmyndigheter verkar utdöma betydligt fler böter än andra, ligger alla siffror på ensiffriga procenttal - eller till och med lägre. Med böter i 6,84% av alla ärenden (både klagomål och utredningar på eget initiativ) mellan 2018 och 2023 leder den slovakiska dataskyddsmyndigheten statistiken. Därefter följer Bulgarien (4,19 %), Cypern (3,12 %), Grekland (2,65 %) och Kroatien (2,54 %). I andra änden av spektrumet har den nederländska myndigheten utfärdat böter i 0,03% (!) av alla fall, tätt följt av Frankrike (0,10%), Polen (0,18%), Finland (0,21%), Sverige (0,25%) och naturligtvis Irland (0,26%). De återstående länderna ligger någonstans däremellan.
Klicka här för att se den fullt interaktiva versionen av kartan nedan.
Klicka här för att se den fullt interaktiva versionen av kartan ovan.
Ett fenomen som är specifikt för dataskydd. Denna uppenbara brist på allvarliga konsekvenser för lagöverträdelser verkar vara mycket specifik för dataskydd. Låt oss ta Spanien som exempel: År 2022 tog den spanska dataskyddsmyndigheten ta emot 15 128 klagomålmen utfärdade endast 378 böter. Detta innebär att statistiskt sett ledde endast 2,5 % av alla klagomål till böter. Detta inkluderar uppenbara överträdelser som obesvarade förfrågningar om tillgång eller olagliga cookie-banners, som - i teorin - skulle kunna hanteras snabbt och på ett standardiserat sätt. Som jämförelse kan nämnas att 3.7 miljoner fortkörningsböter utfärdades i Spanien år 2022 (exklusive Baskien och Katalonien). En liknande jämförelse kan göras för i princip alla andra EU-medlemsstater.
Max Schrems: "På något sätt är det bara dataskyddsmyndigheter som inte kan motiveras att faktiskt tillämpa den lag de är anförtrodda. På alla andra områden leder lagöverträdelser regelbundet till böter och sanktioner. För närvarande verkar dataskyddsmyndigheterna ofta agera i företagens intresse snarare än i de berörda personernas."
Uppgifterna visar: fler böter = bättre efterlevnad. Även om dessa siffror knappast är överraskande är de ändå alarmerande. A noyb undersökning bland yrkesverksamma inom dataskydd visar att det är just bötesbelopp som motiverar företag att följa lagen. På frågan om vilka åtgärder som är mest effektiva svarade 67,4% av de tillfrågade att dataskyddsmyndighetens beslut mot deras eget företag som inkluderar böter kommer att påverka beslutsfattarna att välja mer efterlevnad. Intressant nog svarade 61,5% av de svarande att även böter från Datainspektionen mot andra organisationer skulle påverka det egna företagets efterlevnad av GDPR.
Klicka här för att se den fullt interaktiva grafen ovan.
Påförda böter är ett skämt. Om man tittar närmare på de bötesbelopp som de nationella myndigheterna utdömer varje år blir frågan ännu tydligare. Irland (475 902 000 euro i genomsnittligt bötesbelopp/år) och Luxemburg (124 395 729 euro i genomsnittligt bötesbelopp/år) leder statistiken mellan 2018 och 2023 överlägset. Vid första anblicken kan det låta som mycket pengar. Men det är det verkligen inte. Nästan alla stora teknikföretag som Apple, Google, Meta och Microsoft är belägna på Irland, vilket gör den irländska DPC till den ledande myndigheten för några av de största fallen någonsin. Luxemburg, å andra sidan, ansvarar för företag som Amazon. I själva verket måste DPC tvingas till sin egen lycka. noyb's två största ärenden mot Meta fick ta en omväg till EDPB innan DPC slutligen dömde företaget till böter på totalt nästan 1,6 miljarder euro. Om du tar bort denna summa finns det inte mycket kvar.
Mer budget, fler beslut? Vissa myndigheter hävdar upprepade gånger att de bara skulle behöva mer budget och resurser för att kunna fatta snabbare beslut med större genomslagskraft. Om man tittar på eDPB-statistikenökade myndigheternas budget med upp till 130 % mellan 2020 och 2024. Den nederländska myndigheten noterade t.ex. en budgetökning på 62 % på fyra år - utan en betydande ökning av utdömda böter. För att sätta detta i perspektiv: År 2023 hade den nederländska datainspektionen en budget på nästan 37 miljoner euro, men utdömde endast 1,98 miljoner euro i böter. Detta är en skillnad på nästan 35 miljoner euro, vilket kommer att lämna ett stort hål i statsbudgeten. Detta underskott kan dock kompenseras genom ett kraftfullt genomförande. GDPR-böter går till den stat där den ledande myndigheten är belägen.
Klicka här för att se den fullt interaktiva grafen ovan.
Nästan 40% av alla böter tack vare noyb. Det här mönstret kan ses i hela EU: Mellan 2018 och 2023 utdömde alla EU:s dataskyddsmyndigheter sammanlagt 4,29 miljarder euro i böter - varav 1,69 miljarder euro berodde på noyb rättstvister. Med andra ord: Nästan 40% av alla GDPR-böter kan spåras tillbaka till noyb. Detta innebär att det i själva verket snarare verkar saknas politisk vilja att stå upp mot teknikjättarna än möjligheter att agera.
