Regelgevende boetes voor datalekken onder de AVG zijn het afgelopen jaar in Europa met 39% gestegen tot € 158,5 miljoen, blijkt uit nieuw onderzoek van advocatenkantoor DLA Piper. Het bedrijf zei dat toezichthouders in 2020 ‘hun bevoegdheden hebben getest’ onder de AVG na een trage start tijdens de eerste 20 maanden van de verordening, toen boetes in totaal € 114 miljoen bedroegen. De totale boetes die sinds de invoering van de AVG in mei 2018 zijn opgelegd, bedragen nu € 272 miljoen, waarbij vijf nationale toezichthouders volgens DLA Piper goed zijn voor meer dan 92% van het totaal.
Italië heeft de hoogste boetes opgelegd van 69,3 miljoen euro, op de voet gevolgd door Duitsland met 69,1 miljoen euro en Frankrijk met 54,4 miljoen euro. Het VK heeft € 44,2 miljoen aan boetes opgelegd en Spanje € 14,5 miljoen. De Franse toezichthouder voor gegevensbescherming CNIL heeft tot nu toe de grootste GDPR-boete van € 50 miljoen opgelegd aan Google
Volgens het rapport waren er tegen eind januari 2021 281.000 datalekken gemeld bij Europese toezichthouders onder de AVG. Duitsland heeft het hoogste aantal met 77.747, gevolgd door Nederland met 66.527 en het VK met 30.536. Frankrijk en Italië registreerden respectievelijk slechts 5.389 en 3.460 meldingen van datalekken.
DLA Piper zei dat terwijl toezichthouders actiever zijn geworden in het toezicht op de GDPR-regels, ze ook verschillende zaken hebben aangevochten of boetes hebben verlaagd..Vorige maand ging de Oostenrijkse post met succes in beroep tegen een boete van 18 miljoen euro voor datalekken. In het VK verlaagde het Information Commissioner’s Office een recordboete van £ 183 miljoen tegen British Airways (BA) tot £ 20 miljoen. Het verlaagde ook een voorgestelde boete van £ 100 miljoen tegen hotelketen Marriott International tot iets meer dan £ 18 miljoen. Juridische acties tegen opgelegde boetes zullen waarschijnlijk voortduren, zegti het advocatenkantoor.
.
Ewa Kurowska-Tober, global co-chair of DLA Piper’s data protection and security group, , zegt in een reactie: “ Regelgevers hebben dit jaar de grenzen van hun bevoegdheden op de proef gesteld door boetes uit te vaardigen voor een breed scala aan inbreuken op de strenge Europese wetgeving inzake gegevensbescherming. Maar ze hebben de dingen zeker niet allemaal op hun eigen houtje gedaan met enkele opmerkelijke succesvolle oproepen en grote verlagingen van voorgestelde boetes. Gezien de grote bedragen die ermee gemoeid zijn en het risico van vervolgclaims voor schadevergoeding, verwachten we dat de trend van meer beroepen en robuustere verdediging van handhavingsmaatregelen zich zal voortzetten. “
Ross McKean, chair of DLA Piper’s UK data protection and security group, voegde eraan toe: “Boetes en meldingen van inbreuken blijven jaarlijks met dubbele cijfers groeien en Europese regelgevers hebben hun bereidheid getoond om hun handhavingsbevoegdheden te gebruiken. Ze hebben ook een aantal extreem strikte interpretaties van de AVG aangenomen, waardoor de komende jaren het toneel is voor verhitte juridische strijd. “
Hij zei dat DLA Piper nu de eerste handhavingsmaatregelen verwacht met betrekking tot de overdracht van persoonsgegevens aan de VS en andere derde landen na de Schrems II-zaak. In juli vorig jaar heeft het Europese Hof van Justitie zich uitgesproken tegen de Privacy Shield-overeenkomst die het mogelijk maakt EU-consumentengegevens van technologiebedrijven en andere bedrijven over te dragen naar de VS.
