Det har vært en sterk økning i antall overtredelsesgebyr fra 2020 til 2021 og overtredelsesgebyrene har også økt betraktelig i størrelse. I 2020 ble det vedtatt overtredelsesgebyr eller tvangsmulkt i 13 saker, mens tallet for 2021 er 31. Det største gebyret i 2020 var på 3 millioner kroner (Bergen kommune) mens Datatilsynet klinket til med 65 millioner kroner i Grindr-saken i desember 2021. Overtredelsesgebyret til Grindr er for øvrig også det største gebyret Datatilsynet har gitt hittil, og det er på listen over topp 20 overtredelsesgebyrer i hele EU/EØS.
Totalt i EU/EØS nærmer man seg nå 1000 bøter for overtredelse av GDPR. De største bøtene er ca. 7,5 milliarder kroner til Amazon og 2,3 milliarder kroner til WhatsApp, mens Google og Facebook har fått bøter i størrelsesorden 500–900 MNOK.
Vi har gjennomgått hovedtrekkene i Datatilsynets saker det siste kvartalet:
Elektro & Automasjon Systemer AS: Overtredelsesgebyr på 200 000 kr
Året 2022 begynte med at Datatilsynet har ilagt overtredelsesgebyr som følge av at Elektro & Automasjon Systemer AS («EAS») har gjort en kredittvurdering uten behandlingsgrunnlag, jf. GDPR artikkel 6.
EAS har kredittvurdert en deleier i et annet selskap uten at det forelå noe samarbeid, kundeforhold eller annen tilknytning som kunne begrunne kredittsjekken. EAS manglet også rutiner for gjennomføring av kredittvurderinger og ble derfor pålagt av Datatilsynet å utarbeide slike rutiner for å forhindre at ulovlige kredittvurderinger skjedde igjen.
Mot slutten av 2021 ble det også ilagt overtredelsesgebyr i to andre saker knyttet til kredittvurdering:
T. Stene Transport AS: Overtredelsesgebyr på 40 000 kr
Like før jul ila Datatilsynet et overtredelsesgebyr som følge av at T. Stene Transport AS har gjort en kredittvurdering uten behandlingsgrunnlag, jf. GDPR artikkel 6. Kredittvurderingen gjaldt et enkeltpersonforetak, og kredittopplysninger om et enkeltpersonforetak er også en personopplysning, ettersom eieren direkte identifiseres med foretaket og det er direkte knyttet til eierens privatøkonomi. Selskapet måtte etablere rutiner som sikret overholdelse av personvernregleverket.
Ultra-Technology AS: Overtredelsesgebyr på 125 000 kr
Ultra-Technology AS ble også ilagt overtredelsesgebyr for å ha gjennomført en kredittvurdering uten behandlingsgrunnlag. Personen som ble kredittvurdert, var ikke kunde av Ultra-Technology AS og hadde heller ingen annen tilknytning til selskapet. I tillegg ble Ultra-Technology AS pålagt å utarbeide rutiner for kredittvurdering, jf. GDPR artikkel 24.
Ved utmålingen av overtredelsesgebyret ble det ansett som skjerpende at selskapets daglige leder gjorde kredittvurderingen ved en bevisst handling. I tillegg vektla Datatilsynet at personopplysningene, opplysninger om lønn, gjeld og kredittverdighet, er av privat art. Det har betydning for overtredelsesgebyrets størrelse til tross for at personopplysningene ikke er definert som sensitive i forordningens forstand.
Grindr: Overtredelsesgebyr på 65 millioner kr
Overtredelsesgebyret til Grindr gjelder brudd på kravene til samtykke i GDPR, og er som nevnt den største boten Datatilsynet har gitt til nå.
Grindr har utlevert brukernes personopplysninger til tredjeparter for markedsføringsformål uten gyldig samtykke og dermed uten behandlingsgrunnlag, jf. GDPR artikkel 6. De aktuelle personopplysningene var blant annet brukernes GPS-lokasjoner, IP-adresse, alder og kjønn. I tillegg har Datatilsynet konkludert med at opplysningen om at noen er Grindr-bruker er en særlig kategori av personopplysninger, jf. GDPR artikkel 9, fordi det indirekte indikerer at vedkommende tilhører en seksuell minoritet.
Utlevering av særlige kategorier personopplysninger krever samtykke fra brukerne. Den aktuelle samtykkeløsningen Grindr hadde ble ikke ansett som tilstrekkelig. Brukeren måtte samtykke til personvernerklæringen i sin helhet for å bruke appen, og det ble ikke innhentet et særskilt samtykke for utlevering til tredjeparter for markedsføringsformål. Samtykket var dermed ikke frivillig fordi man ikke kunne samtykke til det spesifikke formålet. Det var heller ikke tilstrekkelig adgang til å trekke samtykket tilbake, og det ble heller ikke gitt tilstrekkelig informasjon om hva man faktisk samtykket til.
Vi bemerker for ordens skyld at Grindr endret sin samtykkeløsning i 2020 og denne er ikke vurdert av Datatilsynet.
Statens Pensjonskasse: Overtredelsesgebyr på 1 million kr
Statens Pensjonskasse (SPK) har blitt ilagt overtredelsesgebyr for å ha hentet inn unødvendige inntektsopplysninger om ca. 24 000 personer i forbindelse med etteroppgjør for uførepensjon. SPK har brutt de grunnleggende personvernprinsippene om dataminimering og lagringsbegrensning jf. GDPR artikkel 5 og kravet til nødvendighet, jf. GDPR artikkel 6 nr. 1 og artikkel 9 nr. 2.
For personer som mottar uførepensjon, skal SPK beregne om de har mottatt riktig beløp ut fra eventuell arbeidsinntekt ved siden av. Ettersom utgangspunktet er at uførepensjon utbetales på grunnlag av hva den uføre tror arbeidsinntekten vil være det kommende år, er det behov for at det gjennomføres et etteroppgjør påfølgende år.
SPK innrømmet selv at deler av opplysningene var overskuddsmateriale, ettersom de ikke var nødvendige for formålet om etteroppgjør for uførepensjon. Ettersom SPK manglet et filter for å forhindre import og lagring av slike unødvendige inntektsopplysninger, og heller ikke hadde en slettefunksjon, har ansatte i SPK altså hatt tilgang til de overflødige opplysningene på individnivå. Det var dessuten tale om særlige kategorier av personopplysninger, herunder opplysninger om uførepensjon fra andre enn SPK og folketrygden.
Det var altså tale om brudd på personvernforordningens krav til at opplysningene må være nødvendige. Datatilsynets vurdering i saken mot SPK viser at du ikke kan importere eller oppbevare sensitive personvernopplysninger såfremt disse ikke er nødvendig for det bestemte formålet.
Østre Toten kommune: Overtredelsesgebyr på 4 millioner kr
I starten av 2021 ble Østre Toten kommune utsatt for et alvorlig hackerangrep. Angrepet medførte at de ansatte mistet tilgang til kommunens IT-systemer og personlig informasjon om kommunens innbyggere ble spredt på det såkalte mørke nettet.
Datatilsynet har ilagt et overtredelsesgebyr som følge av brudd på kravene til sikkerhet og internkontroll, jf. GDPR artikkel 5, 24 og 32. Bruddene har bestått i mangelfulle sikkerhetstiltak ved pålogging (det er for eksempel ikke tatt i bruk tofaktorautentisering), mangelfulle backup-systemer og mangelfull logging.
Datatilsynet vektla at angrepet rammet en betydelig del av kommunens data og at kontrollen over innbyggernes og ansattes personopplysninger ble fullstendig tapt gjennom dataangrepet. I tillegg vurderte Datatilsynet saken som «svært alvorlig» fordi det gjaldt sensitive personopplysninger og informasjon om barn.
Til Østre Toten kommunes fordel ble det vektlagt at kommunen raskt meldte ifra om avviket til politiet og Datatilsynet, og at kommunen har «gjort sitt ytterste for å følge opp saken og forhindre ytterligere skadevirkninger». Datatilsynet uttaler at det også er vektlagt at kommunen allerede har brukt betydelige summer på å gjenopprette og forbedre IT-systemene og personopplysningssikkerheten.
I tillegg til overtredelsesgebyret har Datatilsynet pålagt kommunen å etablere et egnet styringssystem for informasjonssikkerhet og personopplysningssikkerhet samt gjennomføre risiko- og sårbarhetsanalyser for sine systemer.
