Overtredelsesgebyr etter GDPR – tre grep virksomheter kan gjøre for å redusere risikoen

Aldri før har tilsynsmyndighetene gitt så høye bøter til virksomheter for manglende etterlevelse av GDPR. Hittil i år har manglende personvern kostet europeiske virksomheter mer enn 10,4 milliarder kroner.

Vi gir deg tre konkrete anbefalinger for å redusere risikoen for gebyrer basert på europeisk tilsynspraksis. Aller først skal vi se nærmere på hva ulike datatilsyn har gitt av overtredelsesgebyr:

  • Virksomheter som ikke etterlever GDPR, kan få bøter på opptil 20 millioner euro eller opptil 4 prosent av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes, jf. GDPR artikkel 83 (5). Den hittil høyeste boten under GDPR er det luxembourgske datatilsynets gebyr på 7,46 milliarder kroner til Amazon Europe Core S.à.r.l som ble varslet i en kvartalsrapport fra Amazon. Brudd på de generelle personvernprinsippene etter GDPR artikkel 5 er den bestemmelsen som bøtelegges hyppigst av tilsynsmyndighetene.
  • Siden GDPR ikrafttredelse i 2018 har europeiske datatilsynfordelt på tre år – delt ut nærmere 12,8 milliarder kroner i bøter, og flere bøter er ventet. De høyeste bøtene dreier seg særlig om aggressiv markedsføring, ulovlig bruk av kundedata (profilering og informasjonskapsler (cookies)) og mangelfull informasjon til de registrerte.
  • I Norge har Datatilsynet hittil i år ilagt bøter for mer enn 6,7 millioner kroner fordelt på 19 saker. I tillegg har Datatilsynet varslet bøter til Grindr LLC og Disqus Inc. på henholdsvis 100 millioner kroner og 25 millioner kroner. For øvrig har Datatilsynet 20 saker til vurdering.

1 Behandlingsgrunnlag:

Sørg for å dokumentere rettslig grunnlag for all behandling av kundedata (herunder profilering og bruk av informasjonskapsler)

De fleste virksomheter ønsker å tilegne seg kunnskap om brukerne og kundene for å kunne tilby relevante tjenester og produkter. Vi ser for eksempel ofte at virksomheter analyserer kundedata for å kartlegge atferd, preferanser og behov, såkalt profilering. Nyere tilsynspraksis fra Spania, Østerrike og Frankrike viser at det er særlig risiko forbundet med slik profilering og bruk av informasjonskapsler i dette arbeidet.

En rekke bedrifter behandler kundedata basert på berettigede interesser. Tilsynspraksisen på dette området tilsier imidlertid at rettsgrunnlaget berettigede interesser ikke alltid holder som behandlingsgrunnlag for profilering (for eksempel ved lojalitetsprogrammer), og at virksomheter derfor bør innhente kundens uttrykkelige samtykke ved mer omfattende bruk av personopplysninger i profilering. Virksomheter bør være særlig oppmerksom dersom de beriker eksisterende kundedata med offentlig tilgjengelig informasjon og deler kundedata med andre selskaper, for eksempel mor- eller søsterselskaper i samme konsern. Bruk av informasjonskapsler (cookies) som plasseres på nettsider for analyse- eller markedsføringsformål, krever alltid brukerens uttrykkelige samtykke (brukeren kan ikke gi sitt samtykke gjennom bruk eller gjennom forhåndsutfylt cookiebanner).

2 Direkte markedsføring:

Sørg for å ha retningslinjer for virksomhetens direkte markedsføring – også overfor underleverandører

Tradisjonelt sett er direkte markedsføring – markedsføring som retter seg direkte mot potensielle eller eksisterende kunder via nyhetsbrev, telesalg, SMS, brevpost osv.  – regulert av egne regler om markedsføring. I Norge reguleres direkte markedsføring av markedsføringsloven, som håndheves av Forbrukertilsynet. Nyere tilsynspraksis fra særlig Spania og Italia indikerer imidlertid at omfattende og/eller aggressiv direkte markedsføring overfor forbrukere etter omstendighetene kan innebære et brudd også på GDPR.

Virksomheter bør derfor sørge for å dokumentere rettslig grunnlag for all direkte markedsføring og iverksette tiltak for å unngå unødvendig risiko. Slike tiltak kan inkludere skriftlige rutiner for direkte markedsføring som også pålegges eventuelle underleverandører (callsentre, markedsføringsfirmaer osv.) som markedsfører på vegne av virksomheten, og som inngår som en klar instruks og supplement til databehandleravtalen eller liknende. Virksomheter bør også etablere tiltak for å unngå at personer blir spammet eller oppringt i overdreven grad, og for å kontrollere at virksomheten ikke kontakter personer som har reservert seg mot visse typer markedsføring i offentlige registre. Videre bør virksomheten sørge for tilstrekkelig informasjonssikkerhet rundt kundedata og rutiner for å ivareta de registrertes rettigheter.

3 Personvernerklæring:

Enkel og tydelig informasjon til kundene

Et grunnleggende prinsipp i GDPR er at personopplysninger skal behandles på en rettferdig og åpen måte. For eksempel plikter virksomheter som behandler personopplysninger, å gi de registrerte kortfattet og enkel informasjon om behandlingen. I praksis kan dette imidlertid synes lettere sagt enn gjort sett i lys av at virksomheter har fått nærmere 2,35 milliarder kroner i bøter for mangelfull eller utilstrekkelig informasjon siden GDPR trådte i kraft.

Det tilsynsmyndigheter har reagert på, er for eksempel at personvernerklæringene har upresise begreper, inneholdt mangelfull og/eller utilstrekkelig informasjon eller ikke er komplett nok. Det har nemlig vært en gjenganger i sakene for tilsynsmyndighetene at virksomhetene ikke har gitt tilstrekkelig informasjon i forbindelse med profilering og markedsføring. I dette ligger også at personvernerklæringen må holdes løpende oppdatert og gi en riktig og forståelig beskrivelse av det virksomheten faktisk gjør knyttet til innsamling og bruk av personopplysninger. Kravet til at informasjonen skal være forståelig, er særlig viktig i relasjon til barn og unge, noe vi så i TikTok-avgjørelsen fra Nederland i juli 2021.

Wikborg Rein er et av Norges ledende advokatfirmaer innenfor personvern og har omfattende erfaring med å bistå klienter med å etterleve kravene i personopplysningsloven og personvernforordningen (GDPR). Dersom du trenger juridiske råd og anbefalinger for å redusere risikoen for gebyrer kan du gjerne ta kontakt med våre partnere Line Coll eller Gry Hvidsten for en uformell prat.

Les våre siste artikler om personvern

  • Personvern, Arbeidsrett

    2021

    Personvernrettslig: Kan arbeidsgiver spørre om den ansatte er vaksinert?

    Til tross for at Norge den 25. september 2021 gikk over til en normal hverdag med økt beredskap, kan arbeidsgivere av ulike grunner fortsatt ha et ønske om å kontrollere sine ansattes vaksinasjonsstatus. Kan arbeidsgiver lovlig gjøre dette fra et personvernrettslig perspektiv?

  • Personvern, Teknologi og digitalisering

    2021

    Overtredelsesgebyr etter GDPR – tre grep virksomheter kan gjøre for å redusere risikoen

    Aldri før har tilsynsmyndighetene gitt så høye bøter til virksomheter for manglende etterlevelse av GDPR. Hittil i år har manglende personvern kostet europeiske virksomheter mer enn 10,4 milliarder kroner.

  • Personvern, Teknologi og digitalisering, Kina

    2021

    Ny kinesisk personvernlov – PIPL

    Fire forhold du må være klar over hvis du driver forretninger i eller mot Kina.