GDPR-bøter passerte ti milliarder kroner, fordelt på 412 bøter, i 2021. Det tilsvarer en vekst på over 500 prosent fra 2020. Norge havner på femteplass i Europa når det kommer til antall utstedte bøter, hvor nesten samtlige bøter skyldes GDPR-brudd fra offentlige virksomheter.

Da EU implementerte den nye personvernforordningen i 2018, bedre kjent som General Data Protection Regulation (GDPR), var målet å gi EU-borgere mer kontroll over egne data og økt personvern. Og virksomheter som ikke holdt seg innenfor loven, ble lovet store bøter, som skulle økes for hvert år.

Ikke overraskende havnet de største bøtene til selskaper vi kjenner veldig godt og bruker mest av alt. Som blant annet Amazon, Facebook og Google. Selskaper hvis forretningsmodell er nettopp basert på brukernes data. Og ofte nettopp på bekostning av personvernet til de samme brukerne.

Ifølge GDPR Enforcement Tracker ble 412 selskaper bøtelagt for brudd på GDPR i løpet av 2021. Og totalt ble virksomhetene bøtelagt for over ti milliarder kroner. Til sammenligning endte GDPR-bøtene i 2020 på kun 1,7 milliarder kroner. Til sammenligning havnet bøtene totalt på 4,4 millioner kroner i 2018, da personvernforordningen tredde i kraft. Året etter hadde bøtene vokst til 722 millioner.

Det kunne jo vært fristende å tro at selskapene ble flinkere til å tilpasse seg de nye lovene etter hvert som tiden gikk, og bøtene vokste i størrelse, men realiteten tyder på det motsatte. Kan det være at bøtene fortsatt er såpass «små» sammenlignet med hvor stør økonomisk gevinst det er å bryte personvernforordningen? Det kan jo se slik ut.

Ser man bak tallene er det én viktig grunn til den enorme veksten fra 2020 til 2021. Og den årsaken heter Amazon, som i juli mottok en GDPR-bot på om lag 7,5 milliarder kroner. Det tilsvarer 70 prosent av den totale GDPR-boten for hele 2021 som sådan. Og på en «fin-fin» andreplass kom Meta-eide WhatsApp, som mottok en bot på nærmere 2,3 milliarder kroner. Da er det ikke mange 100 millioner i GDPR-bøter igjen.

Ifølge GDPR Enforcement Tracker havnet Norge på 5. plass over de landene som utstedte flest GDPR-bøter i løpet av 2021. Den største boten, på over 60 millioner kroner, ble sendt til Grindr. På starten av fjoråret varslet Datatilsynet at boten ville havne på nærmere 100 millioner kroner, men av en eller annen grunn (som jeg ikke vet) ble boten kraftig rabattert.

Siden 2018 har Norge sendt ut 40 GDPR-bøter. På fjerdeplass kommer Ungarn med 45 bøter, mens på pallen finner vi henholdsvis Romania med 68 bøter, Italia med 101 bøter og Spania på en soleklar førsteplass med hele 351 bøter.

Bare i 2021 ble det utstedt hele 28 bøter i Norge. En vekst på nesten 200 prosent fra året før. Totalt har det blitt utstedt GDPR-bøter for hele 90 millioner kroner her til lands. Og med unntak av Grindr og et par andre private selskaper, er det (til min store overraskelse) offentlige virksomheter som står for de aller fleste bruddene på personvernforordningen. Det er mildt sagt et paradoks og passe ironisk synes jeg. Samtidig må vi ikke glemme det avslappete forholdet daværende Norges digitaliseringsminister, Linda Helleland, hadde til GDPR da hun tok i bruk Clubhouse uten å vite om selskapet holdt seg innenfor GDPR-regelverket. Eller andre personvernlover for den sakens skyld.

Frem til Amazon og Meta ble bøtelagt med henholdsvis 7,5 og 2,3 milliarder kroner, var det Google som inneholdt «førsteplassen» i GDPR-bøter, med sine 500 millioner kroner i bot fra 2019. Siden GDPR ble innført har andre tiltak blitt iverksatt for å styrke personvernet og verne om brukernes egne dataer. Schrems II-dommen i 2020 gjorde det for eksempel ulovlig å sende personverninformasjon om EU-innbyggere ut av EU, og i 2021 gjorde Apple alvor av trusselen om å gjøre det vanskeligere for selskaper å overvåke oss på tvers av andre apper og nettsteder. I tillegg henger trusselen om tredjeparts cookies-død over oss. En død vi nok må vente med til i alle fall 2023, når Google vil gjøre alvor av sitt nye kohort-initiativ.

Inntil da vil EU fortsette å bøtelegge virksomheter for brudd på dagens personvernforordning. Bøter som mest av alt ser ut til å bidra til store middager for EU-toppene i Brussel (når pandemien ikke gjør det umulig) og ikke så mye bedre personvern for EU sine borgere. Det ser i alle fall ikke ut til å svi (tilstrekkelig) for de verste synderne.

De la tross alt fra seg rekordresultater i 2021. Og det hadde dem ikke gjort hvis boten hadde virkelig «smakt».