Tager virksomheder stadig GDPR seriøst?
Indholdsfortegnelse:
Da vi markerer fem år siden GDPR trådte i kraft, har mangel på betydelige bøder fået nogle administrerende direktører til ikke at tage det så alvorligt? Dan Raywood ser på, om GDPR ikke formåede at leve op til hypen.
I tiden op til maj 2018 var forventningen til GDPR, at dette ville være en væsentlig game changer i håndhævelsen af compliance. Fra de første samtaler omkring databeskyttelsesreformen var det klart, at håndhævelsesniveauet ville blive mere betydeligt end den maksimale bøde på £500,000, som Information Commissioner's Office (ICO) var begyndt at udstede i 2011.
Faktisk den GDPR fastslog, at for "særligt alvorlige overtrædelser kan bøderammen være op til 20 millioner euro, eller i tilfælde af en virksomhed op til fire procent af den samlede globale omsætning i det foregående regnskabsår, alt efter hvad der er højest." Selv for mindre alvorlige overtrædelser fastsætter artikel 83, stk. 4, bøder på op til 10 millioner euro eller, i tilfælde af en virksomhed, op til to procent af den samlede globale omsætning i det foregående regnskabsår, alt efter hvad der er højere.
Temmelig skræmmende ting, ikke? Disse potentielle tal fik stor omtale i tiden op til maj 2018. A Varonis undersøgelse fra 2017 fandt, at 75 % af 500 adspurgte beslutningstagere var enige i, at de pålagte bøder kunne lamme nogle organisationer, og 44 % mente, at virksomheder kunne hæve priserne for at isolere sig mod bøder.
GDPR-bøder – ikke hvad der var forventet
Imidlertid største ICO bøder viser, at million-pund-tallene kun er blevet toppet et par gange, hvor £12.7 millioner for TikTok fra april 2023 nu er blandt de udstedte topbøder.
Er vi blevet svigtet, hvis vi havde forventet GDPR bøder at være så alvorlig og virksomheder at frygte dem? Den største bøde blev trods alt givet til British Airways i 2019 med i alt £ 183 millioner fastlagt, hvornår 500,000 kunders personlige data blev stjålet fra deres hjemmeside og mobilapp. Men godt et år senere og efter en anke, var det beløb blev reduceret til £20 millioner. Ikke en ubetydelig mængde, men en som ville have skadet ICO's bid som regulator.
Tager virksomhederne GDPR seriøst i betragtning af, at de forventede høje bøder ikke er blevet til virkelighed og betydelige bøder er blevet reduceret? Jonathan Armstrong, partner hos Cordery, mener, at administrerende direktører ikke tager GDPR seriøst af disse grunde. "Jeg tror, at problemet var, at GDPR blev hypet op i 2018 med mange ikke-kvalificerede rådgivere, der fortalte organisationer, at sluserne ville åbne, og at de ville blive udsat for enorme bøder," siger han.
"Da det ikke skete i 2018, slappede ledelsen i mange organisationer af, troede, at det hele var hype og holdt op med at være opmærksom på databeskyttelsesspørgsmål. Jeg ved, at nogle organisationer definansierede GDPR-projekter som et resultat."
Armstrong siger ved indførelsen af GDPR; han mente, at det var sandsynligt, at der ikke ville blive tale om væsentlige bøder i starten, "delvis fordi nogle databeskyttelsesmyndigheder gav en længere tid til, at den nye lov faldt på plads, og dels fordi store undersøgelser tager noget tid at arbejde op til komme til den position, hvor DPA kan opkræve en bøde."
Hvad mener eksperterne egentlig om GDPR-implementering
For at få en idé om virkningen af GDPR har vi undersøgt National Association of Data Protection Officers (NADPO) medlemmer for deres tanker om disse påstande. Da de blev spurgt, om de følte, at GDPR havde levet op til sin hype fra før 2018, svarede 58 procent af de indsamlede 62 svar, at det ikke havde gjort det.
NADPO formand og DPO hos Mishcon de Reya, Jon Baines, er enig i, at hypen helt sikkert hævede profilen for databeskyttelse, men sagde, at den også førte til en overreaktion på nogle områder, med en vis tilbageslag.
"Nogle ledende medarbejdere og bestyrelsesmedlemmer har forståeligt nok stillet spørgsmålstegn ved, om indsatsen for at opnå overholdelse var (eller fortsat er) nødvendig," siger han. "Det bedste svar på den slags udfordring er, at god compliance næsten altid er i overensstemmelse med god forretningspraksis - det burde resultere i en win-win i langt de fleste tilfælde."
Baines kommenterer også, at mens på hinanden følgende kommissærer har fortalt os, at håndhævelse ikke kun handler om bøder, og nuværende kommissær John Edwards har vist sig særligt opsat på "påtale", som er en slags "blød håndhævelse", føler han, at der kunne være meget mere brug for dem. lavet af håndhævelsesmeddelelser - som er formelle juridiske meddelelser, der kræver, at organisationer tager bestemte skridt (eller undlader at tage dem), og hvor manglende overholdelse potentielt er en strafbar handling.
"Jeg tror, at mere brug af disse beføjelser ville have en tendens til at få bestyrelseslokalets opmærksomhed, samtidig med at man undgår behovet for straffende (eller værdiløse) bøder."
Vi ser frem til, at vi spurgte NADPO-medlemmerne, hvad ICO skal gøre for at gøre GDPR til den frygtindgydende udsigt, den engang var. NADPO-medlemmerne efterlod en række kommentarer og sagde, at ICO "skal støtte sin ansøgning og håndhæve brud", tilbyde "klar, konsekvent, sektorspecifik vejledning" og "udstede sanktioner til organisationer, der har ressourcer til sine databeskyttelsesfunktioner."
Der var også kommentarer, der opfordrede ICO til at være mere aktiv i håndhævelsen, da uddannelse af virksomheder er afgørende, "men når håndhævelse ville have en større indvirkning på lang sigt, mangler de i øjeblikket troværdighed." En anden kommentar opfordrede ICO til at behandle klager over alt "og ikke kun store databrud" og håndhæve brug af beføjelser (ikke nødvendigvis bøder, såsom at stoppe virksomheder i at behandle data overhovedet.
Også der har længe været overvejet, hvor pengene bliver af, når der betales en bøde. En person efterlyste en erklæring om, hvor mange penge en bøde ville have været, men insisterer derefter på, at organisationen skal bruge pengene på at rette fejlene "så organisationen forventes ikke at foretage forbedringer, mens den også lider under færre ressourcer, men truslen af nogen vil komme ind og 'tage dine penge væk' (så du ikke kan bruge dem, som du vil) er der."
ICOs rolle
I en nylige tale på IAPP Data Protection Intensive UK sagde informationskommissær John Edwards, at det er afgørende for regulatoren at vise, at manglende overholdelse af databeskyttelse ikke er rentabel. "Misbrug af dine kunders oplysninger til at opnå en kommerciel fordel i forhold til andre vil altid blive set negativt af mit kontor, og vi vil søge at pålægge bøder svarende til de dårligt opnåede gevinster opnået ved manglende overholdelse."
Den 2021-22 årsrapport fra ICO sagde, at dets fokus er på at støtte organisationer til at opfylde deres lovkrav. "Vi målretter vores reguleringsindsats mod områder, hvor dårlig databeskyttelsespraksis har den største indvirkning på mennesker. Vi bruger kun vores håndhævelsesbeføjelser, hvor det er påkrævet og altid på en forholdsmæssig måde."
Vi kontaktede ICO for et direkte svar, men havde ikke modtaget et svar på tidspunktet for offentliggørelsen.
Ser frem til de næste 5 år med GDPR
Armstrong siger, at der har været en betydelig stigning i GDPR-bøder i det sidste år, "så der nu er mere end 2000 bøder med mere end 2.6 mia. EUR i bøder, der pålægges." Han siger også, at vi ser DPA'er bruge deres beføjelser mere kreativt - for eksempel med suspension af behandling for Replika AI og ChatGPT.
"Så det handler ikke kun om bøden, og disse suspensioner kan også være forretningskritiske - du vil se, hvordan CEO'en for OpenAI droppede alt for at tale med den italienske databeskyttelsesmyndighed efter suspensionen. Så jeg tror, at vanskeligheden for mange organisationer er, at de ser på fortiden snarere end nutiden."
Udrulningen af GDPR var langvarig og gjorde det muligt for virksomheder at få deres hus i orden til denne databeskyttelsesforordning. Hvis administrerende direktører skal tage dette seriøst, ville færre opsigtsvækkende overskrifter måske være en god ting, ligesom mere vægt på at støtte og aktivere de virksomheder, der fejler.
