Neem besighede steeds GDPR ernstig op?

Aangesien ons vyf jaar vier sedert die GDPR in werking getree het, het 'n gebrek aan aansienlike boetes veroorsaak dat sommige HUB's dit nie so ernstig opgeneem het nie? Dan Raywood kyk of GDPR nie aan die hype voldoen het nie.

In die aanloop tot Mei 2018 was die verwagting van GDPR dat dit 'n beduidende spelwisselaar in die nakomingstoepassing sou wees. Van die eerste gesprekke oor die hervorming van databeskerming was dit duidelik dat die vlak van toepassing meer betekenisvol gaan wees as die maksimum geldelike boete van £500,000 2011 wat die Inligtingskommissaris se kantoor (ICO) in XNUMX begin uitreik het.

Trouens, die BBP bepaal dat vir "veral ernstige oortredings, die boeteraamwerk tot 20 miljoen euro kan wees, of in die geval van 'n onderneming, tot vier persent van die totale globale omset van die voorafgaande boekjaar, wat ook al die hoogste is." Selfs vir minder ernstige oortredings stel Artikel 83(4) boetes van tot 10 miljoen euro voor, of, in die geval van 'n onderneming, tot twee persent van die totale globale omset van die voorafgaande fiskale jaar, wat ook al die hoogste is. 

Nogal skrikwekkende goed, nè? Daardie potensiële syfers het groot publisiteit gekry in die aanloop tot Mei 2018. A Varonis opname van 2017 het bevind dat 75% van 500 ondervra besluitnemers saamgestem het dat die boetes wat opgelê is, sommige organisasies kan knou, en 44% het geglo dat maatskappye pryse kan verhoog om hulself teen boetes te isoleer.

GDPR-boetes – nie wat verwag is nie

Maar, die grootste ICO-boetes wys dat miljoen-pond-syfers net 'n paar keer oortref is, met die £12.7 miljoen vir TikTok vanaf April 2023 wat nou een van die topboetes is wat uitgereik is. 

Is ons in die steek gelaat as ons verwag het GDPR-boetes om so ernstig te wees en besighede om hulle te vrees? Die grootste boete is immers in 2019 aan British Airways uitgereik, met 'n totaal van £ 183 miljoen bepaal wanneer die persoonlike data van 500,000 XNUMX kliënte van hul webwerf en mobiele toepassing gesteel is. Maar net meer as 'n jaar later en ná 'n appèl, daardie bedrag verminder is tot £20 miljoen. Nie 'n onbeduidende bedrag nie, maar een wat die ICO se byt as 'n reguleerder sou benadeel.

Neem besighede GDPR ernstig op, in ag genome dat die verwagte swaar boetes nie gerealiseer het nie en aansienlike boetes verminder is? Jonathan Armstrong, vennoot by Cordery, glo dat HUB's nie GDPR ernstig opneem om hierdie redes nie. “Ek dink die kwessie was dat GDPR in 2018 opgeskerp is met baie nie-gekwalifiseerde adviseurs wat organisasies vertel het dat die sluise sou oopgaan en dat hulle aan groot boetes onderhewig sou wees,” sê hy.

“Toe dit nie in 2018 gebeur het nie, het die leierskap in baie organisasies ontspan, gedink dis alles hype en opgehou om aandag te skenk aan databeskermingskwessies. Ek weet dat sommige organisasies GDPR-projekte as gevolg daarvan gedefinansier het.”

Armstrong sê by die bekendstelling van GDPR; hy het geglo dit is waarskynlik dat daar aan die begin geen aansienlike boetes sou wees nie, "deels omdat sommige databeskermingsowerhede 'n lang tyd gegee het vir die nuwe wet om in te pas, en deels omdat groot ondersoeke 'n geruime tyd neem om op te werk. kom by die posisie waar die DPA ’n boete kan hef.”

Wat dink die kundiges regtig van GDPR-implementering

Om 'n idee te kry van die impak van GDPR, het ons die Nasionale Vereniging van Databeskermingsbeamptes ondervra (NADPO) lede vir hul gedagtes oor hierdie eise. Toe hulle gevra is of hulle voel GDPR het gestand gedoen aan sy pre-2018-hype, van die 58 antwoorde wat ingesamel is, het 62 persent gesê dit het nie.

NADPO voorsitter, en DPO by Mishcon de Reya, Jon Baines, stem saam dat die hype beslis die profiel van databeskerming verhoog het, maar het gesê dit het ook gelei tot 'n oorreaksie in sommige gebiede, met 'n mate van terugslag.

"Sommige senior uitvoerende beamptes en raadslede het, verstaanbaar, bevraagteken of die pogings wat aangewend is om nakoming te bereik, nodig was (of steeds is)," sê hy. "Die beste antwoord vir daardie soort uitdaging is dat goeie nakoming byna altyd in lyn is met goeie sakepraktyke - dit behoort in die oorgrote meerderheid gevalle 'n wen-wen tot gevolg te hê."

Baines sê ook dat hoewel opeenvolgende kommissarisse vir ons gesê het dat afdwinging nie net oor boetes gaan nie, en huidige kommissaris John Edwards getoon het dat hy veral gretig is vir 'berispings', wat 'n soort 'sagte handhawing' is, voel hy dat baie meer nut kan wees. gemaak van afdwingingskennisgewings – wat formele regskennisgewings is wat vereis dat organisasies spesifieke stappe doen (of hulle daarvan weerhou), en waar versuim om na te kom potensieel 'n kriminele oortreding is. 

"Ek dink meer gebruik van hierdie magte sal geneig wees om aandag in die raadsaal te kry, terwyl die behoefte aan strafbare (of waardelose) boetes vermy word."

Ons sien daarna uit, ons het die NADPO-lede gevra wat die ICO moet doen om GDPR die vreesaanjaende vooruitsig te maak wat dit eens was. Die NADPO-lede het 'n verskeidenheid opmerkings gelaat en gesê dat die ICO "sy toepassing moet ondersteun en oortredings moet afdwing", "duidelike, konsekwente, sektorspesifieke leiding" bied en "sanksies uitreik aan organisasies wat onder sy databeskermingsfunksies beskik."

Daar was ook opmerkings waarin gevra word dat die ICO meer aktief moet wees in handhawing, aangesien opvoeding van maatskappye noodsaaklik is, "maar wanneer afdwinging 'n groter impak vir die lang termyn sal hê, het hulle tans gebrek aan geloofwaardigheid." Nog 'n opmerking het gevra dat die ICO klagtes oor alles "en nie net groot data-oortredings" moet hanteer en die gebruik van magte afdwing (nie noodwendig boetes nie, soos om maatskappye te keer om enigsins data te verwerk.

Daar is ook lankal oorweeg waarheen die geld gaan wanneer ’n boete betaal word. Een persoon het gevra vir die verklaring van hoeveel geld 'n boete sou gewees het, maar dring dan daarop aan dat die organisasie daardie geld moet spandeer om die foute reg te stel “sodat daar nie van die organisasie verwag word om verbeterings aan te bring terwyl hulle ook minder hulpbronne ly nie, maar die bedreiging van iemand sal inkom en 'jou geld wegvat' (sodat jy dit nie kan spandeer soos jy wil nie) is daar.”

Die rol van die ICO

in 'n onlangse toespraak John Edwards, inligtingskommissaris by die IAPP Data Protection Intensive UK, het gesê dit is van kardinale belang vir die reguleerder om te wys dat nie-nakoming van databeskerming nie winsgewend is nie. “Om jou kliënte se inligting te misbruik om ’n kommersiële voordeel bo ander te verkry, sal altyd negatief deur my kantoor beskou word, en ons sal poog om boetes op te lê wat ooreenstem met die swak verkrygde winste wat behaal is deur nie-nakoming.”

Die 2021-22 jaarlikse verslag van die ICO het gesê sy fokus is daarop om organisasies te ondersteun om aan hul wetlike vereistes te voldoen. “Ons rig ons regulatoriese optrede op gebiede waar swak databeskermingspraktyke die grootste impak op mense het. Ons gebruik ons ​​afdwingingsmagte net waar dit vereis word en altyd op ’n proporsionele manier.”

Ons het die ICO gekontak vir 'n direkte reaksie, maar het nie 'n antwoord ontvang ten tyde van publikasie nie.

Sien uit na die volgende 5 jaar van GDPR

Armstrong sê daar was 'n aansienlike toename in GDPR-boetes die afgelope jaar, "sodat daar nou meer as 2000 boetes is met meer as € 2.6 miljard se boetes wat gehef word." Hy sê ook ons ​​sien dat DPA's hul magte meer kreatief gebruik – byvoorbeeld met die opskorting van verwerking vir Replika AI en ChatGPT.

“Dit gaan dus nie net oor die boete nie, en hierdie skorsings kan ook sakekrities wees – jy sal sien hoe die HUB van OpenAI alles laat vaar het om met die Italiaanse DPA te praat ná die skorsing. So, ek dink die moeilikheid vir baie organisasies is dat hulle eerder na die verlede as die hede kyk.”

Die bekendstelling van GDPR was lank en het besighede toegelaat om hul huis in orde te kry vir hierdie databeskermingsregulasie. As HUB's dit ernstig moet opneem, sal minder opspraakwekkende opskrifte miskien 'n goeie ding wees, asook meer klem op die ondersteuning en bemagtiging van daardie maatskappye wat misluk.