Firma globală de avocatură DLA Piper publică ediția din 2023 a raportului său anual GDPR and Data Breach, care analizează amenzile totale emise pentru o gamă largă de încălcări ale regulamentului protecţiei datelor cu caracter personal (GDPR) și topul amenzilor emise în fiecare țară începând cu 28 ianuarie 2022. Sondajul acoperă toate cele 27 de state membre din Uniunea Europeană, plus Regatul Unit, Norvegia, Islanda și Liechtenstein.
· Autoritățile europene de supraveghere a protecţiei datelor cu caracter personal au aplicat amenzi în valoare cumulată de 1,64 miliarde Euro începând cu 28 ianuarie 2022, o creștere cu 50% față de anul precedent.
· Cea mai mare amendă, în valoare de 405 milioane Euro, a fost impusă de Autoritatea de Supraveghere din Irlanda împotriva Instagram, în legătură cu presupuse încălcări ale regulilor privind protecția datelor copiilor.
· Numărul mediu de încălcări ale securității datelor notificate zilnic a scăzut ușor de la 328 de notificări pe zi la 300 de notificări pe zi, ceea ce sugerează că organizațiile ar putea deveni mai precaute în a notifica astfel de incidente, de teama investigațiilor, amenzilor sau a cererilor de despăgubire. Țările de Jos rămân în fruntea clasamentului cu privire la numărul de notificări privind încălcări ale regulamentului la 100.000 de locuitori.
· Cea mai mare amendă aplicată după 25 mai 2018 este în continuare cea dispusă de autoritatea din Luxemburg: 746 milioane Euro. Irlanda ocupă locurile 2, 3, 4, 5 și 6 în acest top, după un an cu o activitate intense a autoritaţii locale.
Firma globală de avocatură DLA Piper a publicat astăzi concluziile raportului său anual GDPR and Data Breach. Studiul realizat la nivel european a dezvăluit un alt an al recordurilor, cu o creștere anuală de 50% a valorii totale a amenzilor aplicate în Europa.
Printre cele mai mari amenzi aplicate s-au numărat cele împotriva Meta Platforms Ireland Ltd. (Meta), care demonstrează că rețelele de socializare și dependența acestora de prelucrarea extinsă a datelor cu caracter personal au prezentat un interes special pentru autorităţile de reglementare. Câteva dintre cele mai mari amenzi impuse Meta în acest an de către autoritatea irlandeză se referă la profilarea utilizatorilor de către Facebook și Instagram și la folosirea temeiului contractual ca bază legală pentru a legitima colectarea în masă a datelor cu caracter personal. În timp ce autoritatea irlandeză a concluzionat inițial că acest lucru este posibil, influentul Comitet European pentru Protecția Datelor nu a fost de acord. Amenzile rezultate ridică întrebări serioase cu privire la acordul încheiat între consumatori și furnizorii de servicii și la modul cum vor fi finanțate serviciile online „gratuite” în viitor. Având în vedere aceste aspecte, DLA Piper se așteaptă ca aceste decizii să fie atacate în instanță, generând litigii care se vor întinde pe o perioadă de mai mulţi ani.
Studiul arată, de asemenea, un an în care volumul încălcărilor privind securitatea datelor notificate autorităților de supraveghere a scăzut ușor față anul precedent. Totalul mediu zilnic a scăzut de la 328 de notificări pe zi la 300 pe zi în acest an. Acest lucru poate fi un indiciu că organizațiile devin din ce în ce mai precaute în a notifica încălcările către autoritățile de reglementare de teama investigațiilor, amenzilor sau a cererilor de despăgubire.
În timp ce problemele legate protecția datelor în contextul publicității online și rețelelor de socializare au dominat titlurile acestui an, trebuie remarcată și utilizarea din ce în ce mai extinsă a datelor cu caracter personal pentru a antrena inteligența artificială. Relevant pentru acest an este faptul că au avut loc o serie de investigații asupra companiei de recunoaștere facială Clearview AI, în urma cărora au fost aplicate amenzi substanțiale. Pe măsură ce platformele de inteligență artificială și de învățare automată vor deveni tot mai prezente, este de așteptat o intensificare a activității autorităților de supraveghere şi în acest domeniu.
Studiul prezintă, de asemenea, unele decizii notabile dispuse de autorități în aplicarea hotărârii CJUE Schrems II și a prevederilor Capitolului V GDPR referitoare la transferurile internaționale de date cu caracter personal. Anumite autorități de supraveghere au considerat că nu este posibilă adoptarea unei abordări bazate pe risc atunci când se evaluează transferurile de date cu caracter personal către “țări terțe”, în esență argumentând că transferurile sunt interzise dacă simpla posibilitate de acces a unui guvern străin la date dă naștere unui risc pentru drepturile și libertățile unor persoane vizate - oricât de nesemnificativ și de puțin probabil ar fi acesta.
Irina Macovei, Counsel în cadrul DLA Piper: “Studiul anual al DLA Piper este un instrument cheie pentru profesioniștii în protectia datelor cu caracter personal în a înțelege tendinţele în această materie – oricât de dezamăgitoare sau surprinzătoare ar putea fi aceste tendinţe, şi un suport extraordinar în transmiterea mai departe a acestor tendinţe către cei interesaţi. Studiul este o imagine de ansamblu care confirmă, constant, că particularitățile naționale trebuie întotdeauna luate în considerare, deși ne referim la un regulament UE”.
“Mă îngrijorează în mod special interpretarea absolutistă a regulilor de transfer de date prevăzute în GDPR de către anumite autorități de supraveghere, pe parcursul anului trecut”, a adăugat Andrei Stoica, Senior Associate. “Nu numai că această abordare intră în coliziune cu principiul proporționalității statuat în legislatia UE, dar poate, de asemenea, să împiedice fluxul legitim de informații dinspre și către Europa, să descurajeze inovaţia și, în cele din urmă, să încetinească progresul. Sper că în 2023 vom asista la o schimbare de atitudine față de astfel de transferuri.
Despre DLA Piper
Cu peste 90 de birouri complet integrate, în peste 40 de țări din întreaga lume, DLA Piper este o firmă globală de business law care îşi propune să vină în întȃmpinarea nevoilor de asistență juridică de calitate ale clienților din întreaga lume. Biroul DLA Piper din București oferă sprijin clienților săi prin intermediul unei echipe de peste 50 de avocați și consultanți fiscali cu experienţă internațională, capabili să abordeze probleme juridice și economice complexe, atât trasnsfrontaliere cât și locale, acoperind 10 sectoare de afaceri, printr-o abordare integrată a practicilor. dlapiper.com.
Contact
Daniel Secărea, Marketing & Business Development Coordinator, DLA Piper, +40 721 283 414, daniel.secarea@dlapiper.com
Titus Percea, Senior Marketing Manager, DLA Piper, +40 722 535 253, titus.percea@dlapiper.com
Global law firm DLA Piper publishes the 2023 edition of its annual GDPR and Data Breach survey revealing total fines issued for a wide range of GDPR infringements and the league table of fines issued by country since January 28th 2022. The survey covers all 27 Member States of the European Union, plus the UK, Norway, Iceland and Liechtenstein.
· European data protection supervisory authorities have issued EUR1.64 billion since 28 January 2022, a 50% increase against the previous year
· This year’s highest fine of EUR 405 million was imposed by the Irish Data Protection Commissioner against Meta Platforms Ireland Limited relating to Instagram for various alleged failures to protect children’s personal data.
· The average number of notified data breaches per day fell slightly from 328 notifications per day to 300 notifications per day suggesting that organisations might be becoming warier of notifying breaches for fear of investigations, fines and compensation claims. The Netherlands remains at the top of the table for the number of breach notifications made per 100,000 capita.
· Luxembourg remains at the top of the country league table for the highest GDPR fine imposed since 25 May 2018: a fine of EUR 746 million. But Ireland is catching up, taking the 2nd, 3rd, 4th, 5th and 6th places in the country fines league table after a very busy year for the DPC.
Global law firm DLA Piper has today published the findings of its annual GDPR and Data Breach Survey. The Europe-wide survey has revealed another record year with a 50% year on year increase in the total value of fines issued across Europe.
Among the largest fines levied were those against Meta Platforms Ireland Ltd. (Meta) demonstrating that social media, and its reliance on extensive processing of personal data, have been a particular focus of regulatory action. Several of the largest fines imposed against Meta this year by the Irish DPC relate to Facebook and Instagram’s behavioral profiling of users and whether the lawful basis of “contract necessity” can be used to legitimise the mass harvesting of personal data. While the Irish DPC originally concluded that this was possible, the influential European Data Protection Board disagreed. The resulting fines raise serious questions about the grand bargain struck between consumers and service providers, and how “free” online services will be funded going forward. Given what is at stake, DLA Piper expects these decisions to be appealed and years of subsequent litigation.
The survey also reveals a year which saw the volume of data breaches notified to supervisory authorities decrease slightly against the previous year’s total. The average daily total dropped from 328 notifications per day to 300 per day this year. This may in part be a sign that organisations are becoming more wary of notifying data breaches to regulators for fear of investigations, fines and compensation claims.
While personal data issues around advertising and social media have dominated headlines this year, there is a growing focus on Artificial Intelligence, and the role of personal data used to train AI. Most prominently this year multiple investigations into facial recognition company Clearview AI took place following complaints by digital rights organisations, including Max Schrems’s organisation My Privacy is None of your Business (NOYB) with several fines issued. As AI and machine learning platforms continue to become more ubiquitous, the survey predicts more regulatory investigations and enforcement for the year ahead with a focus on both providers and users of AI.
The survey also reports some notable decisions made by data protection supervisory authorities this year considering the application of the Schrems II and Chapter V GDPR requirements to specific international transfers of personal data. Data protection supervisory authorities have argued that it is not possible to adopt a risk-based approach when assessing transfers of personal data to “third countries”, in essence arguing that transfers are prohibited if the mere possibility of foreign governmental access gives rise to any risk of harm (however trivial and however unlikely).
Commenting on the survey, Irina Macovei, Counsel at DLA Piper said: “DLA Piper’s annual survey is a key tool for privacy professionals to understand trends in enforcement of data protection – as disappointing or intriguing such trends may be – and a great support tool in communicating effectively such trends to key stakeholders. It is an overview that shows, time and time again, that national particularities must always be factored in, although we refer to a EU regulation”.
“I am particularly worried about the absolutist interpretation of GDPR's data transfer rules exhibited by certain supervisory authorities over the course of last year” added Andrei Stoica, Senior Associate. “Not only does this approach arguably collide with the proportionality principle under EU law, but it may also hinder the legitimate flow of information from and to Europe, discourage innovation and ultimately slow down progress. I certainly hope that 2023 will see a shift in attitude towards such transfers.”
About DLA Piper
DLA Piper is a global law firm with lawyers located in more than 40 countries throughout the Americas, Europe, the Middle East, Africa and Asia Pacific, positioning us to help clients with their legal needs around the world.
Contact
Daniel Secărea, Marketing & Business Development Coordinator, DLA Piper, +40 721 283 414, daniel.secarea@dlapiper.com
Titus Percea, Senior Marketing Manager, DLA Piper, +40 722 535 253, titus.percea@dlapiper.com