Den første store retslige afgørelse i relation til GDPR lader stadig vente på sig, men anmeldelserne om brud vælter ind. Det fremgår af en ny rapport fra DLA Piper, der viser, at Holland, Tyskland og Storbritannien ligger øverst på listen i rapporten med hhv. 15.400, 12.600 og 10.600 anmeldelser, i runde tal. I bunden af listen finder man Liechtenstein, Island og Cypern med henholdsvis 15, 25 og 35 anmeldelser. Ialt er der blevet indberettet over 59.000 brud siden 25. maj 2018
Med gennemsnitligt 89,8 anmeldte brud på persondatasikkerheden pr. 100.000 indbyggere ligger Holland øverst på listen over lande med flest anmeldelser i forhold til indbyggertal, efterfulgt af Irland og Danmark. Blandt de 26 EØS-lande, som man har oplysninger på, ligger Storbritannien, Tyskland og Frankrig på en hhv. 10., 11. og 20. plads, når man ser på indberettede bøder pr. indbygger. Grækenland, Italien og Rumænien har anmeldt færrest brud pr. indbygger.
I en pressemeddelelse udtaler Ross McKean, partner hos DLA Piper med speciale i cybersikkerhed og databeskyttelse:
"Databeskyttelsesforordningen medfører en grundlæggende ændring af compliance-risikoen for virksomheder, som oplever et brud på datasikkerheden, idet de ved overtrædelse af forordningens bestemmelser kan straffes med omsætningsbaserede bøder og potentielt kan blive udsat for kollektive erstatningssager i stil med dem, man kender fra USA. Ligesom det skete i USA, da man indførte lovbestemmelser om obligatorisk anmeldelsespligt ved datasikkerhedsbrud ledsaget af hårde sanktioner for ikke at anmelde dem, tvinger databeskyttelsesforordningen virksomhederne til at være åbne omkring brud på persondatasikkerheden."
For mange dataansvarliges vedkommende sker der formentligt en vis over-rapportering, da det ikke er alle databrud, som skal anmeldes til Datatilsynet
Ifølge pressemeddelelsen er der til dato blevet indberettet 91 bødepålæg. Ikke alle af disse er givet for brud på persondatasikkerheden, og flere vedrører andre overtrædelser af datasikkerhedsforordningen. Den indtil videre højeste bøde for overtrædelse af databeskyttelsesforordningen er på EUR 50 millioner og blev pålagt Google den 21. januar 2019. Bøden blev givet af det franske datatilsyn for behandling af personoplysninger til reklameformål uden gyldig godkendelse, og altså ikke som sådan for et brud på persondatasikkerheden.
Jon Lauritzen, partner hos DLA Piper, der har speciale i persondata, udtaler følgende om rapporten:
”For mange dataansvarliges vedkommende sker der formentligt en vis over-rapportering, da det ikke er alle databrud, som skal anmeldes til Datatilsynet. Vi rådgiver vores klienter til alene at anmelde databrud i de tilfælde, hvor der er pligt til dette. Man skal være opmærksom på, at der hver dag anmodes om aktindsigt i indkomne anmeldelser, hvor en anmeldelse kan give uønsket medieomtale. Mister en medarbejder eksempelvis en computer i taxaen, så er det et databrud. Hvis computeren er tilstrækkeligt beskyttet med kodeord og kryptering, så er det ikke sikkert, at der kan ske en anmeldelse. Sikkerhedsbruddet skal dog altid indføres i virksomhedens log over sikkerhedshændelser.”
Marlene Winther Plas, partner hos DLA Piper og persondataansvarlig, supplerer:
"Det er vigtigt, at virksomhederne er godt forberedt på GDPR-reglerne og har fået trænet medarbejderen i, hvad et databrud er, således at der kan gives besked til de ansvarlige i virksomheden. Manglende træning af medarbejderen er en overtrædelse af persondatareglerne, hvilket i England har medført en stor bøde til et luftfartsselskab.”