Makuleringsbloggen - En blogg fra NG Secure AS

GDPR-reaksjonene - fra irettesettelser til millionbøter

Skrevet av Ingrid Bjørdal | 8. januar 2020

Det er snart et og et halvt år siden GDPR ble en del av norsk lovgivning. Det var litt senere enn i resten av Europa. I løpet av den tida har vi lært mer om hva slags praksis Datatilsynet i Norge og tilsynene i andre land vil legge seg på når det gjelder brudd på personvernreglene. Reaksjonene varierer fra korrigeringer og irettesettelser til store millionbøter. Årsakene til reaksjonene varierer også. Blant annet dreier det seg om manglende sletterutiner og manglende personopplysningssikkerhet i datasystemer, og det gjelder både opplysninger i papirdokumenter og i digitale lagringsmedier.

Når tilsynene behandler saker, skyldes det at de mottar klager, at virksomhetene selv melder fra om avvik eller at tilsynene tar stikkprøvekontroller. Datatilsynet i Norge opplyser at antallet klager på brudd på personvernet har økt vesentlig etter innføringen av EUs personvernforordning. Virksomhetene er også selv flinke til å melde avvik. Mer enn 40 avviksmeldinger i uka har i perioder kommet inn.

Ansiktsgjenkjenning, valgkamp, samtykke og sletting 

De fleste klagene og avviksmeldingene fører ikke til saksbehandling fordi tiltakene som er satt inn regnes som tilstrekkelige. Om lag en fjerdedel må behandles, og behandlingen fører til ulike reaksjoner. I noen tilfeller blir det en irettesettelse og i andre ender det med millionbøter.

Her er noen eksempler fra inn og utland:

  • Partiet Høyre fikk irettesettelse for en kampanje under valgkampen i fjor. De laget en app som Høyre-medlemmene skulle bruke. Appen hentet ut medlemmenes vennelister fra Facebook og medlemmene skulle sende valgkampbudskap til dem. Facebook-vennene var ikke informert om dette og hadde ikke gitt samtykke.
  • To kommuner har fått de største bøtene i Norge på henholdsvis 1,6 millioner og 2 millioner. I Bergen har det vært mulig å logge seg inn på skolens ulike informasjonssystem som elev, ansatt eller administrator og dermed få tilgang til personopplysninger om andre elever og ansatte og få tilgang til deres brukeres navn, passord, fødselsnummer, adresse, skoletilhørighet og skoleklasse. Datatilsynet har lagt vekt på at kommunen ikke hadde etablert tofaktorautentisering ved innlogging. Oslo kommune er varslet om et gebyr på 2 millioner kroner. Heller ikke her er informasjonssikkerheten ivaretatt. I begrunnelsen for den boten understreker Datatilsynet nødvendigheten av å vurdere risikoen for brudd som en viktig del av informasjonssikkerheten.
  • Det svenske datatilsynet har ilagt sitt første overtredelsesgebyr. Saken der viser bredden i problemene rundt personopplysninger og gjelder ansiktsgjenkjenning. En videregående skole testet ansiktsgjenkjenning som metode for å registrere elevers frammøte. Det resulterte i et gebyr på 200.000 kroner Tilsynet uttalte at biometriske personopplysninger, som brukes ved ansiktsgjenkjenning, er en særlig kategori av personopplysninger som nyter et særskilt vern under personvernforordningen. Det er kun i uttrykkelig angitte unntakssituasjoner det er lov å behandle slike opplysninger.
  • I Danmark behandlet tilsynet en klage på at personopplysninger en kommuneansatt hadde skrevet på Post-it-lapper, var tilgjengelige for andre. Dessuten ble de kastet i søppelkurven. Saken førte ikke til bøter, men det ble slått fast at kravet til informasjonssikkerhet også gjelder på papirdokumenter og sogar Post-it-lapper.
  • En sak fra Tyskland viser at det ikke er tilstrekkelig at det er påført skade for å få bøter. Et eiendomsselskap fikk der 150 millioner i bot for manglende sletterutiner som førte til at personopplysninger som skulle vært slettet, ikke ble det. Det var ikke noe som tydet på at personopplysninger var kommet på avveie. Saken prøves i rettsapparatet og boten ikke endelig.
  • Den største boten på nær 500 millioner kroner har Google fått i Frankrike. Boten skyldes manglende åpenhet ved innhenting av samtykke fra brukerne når de samler inn personopplysninger om dem. Google har ifølge det franske tilsynet ikke gitt god nok informasjon og samtykket er ikke spesifikt eller entydig nok. Det kreves at Google får på plass et internt regelverk i overensstemmelse med GDPR-reglene. Hvis ikke kan nye bøter komme. 

Sakene over illustrerer at det er et personvernmangfold man må forholde seg til for å oppfylle kravene i GDPR. kanskje kan det være en tanke ved årets start og ta en ny sjekk på eget opplegg for å unngå bøter. Vi har utarbeidet en gratis guide som finnes i tilknytning til dette blogginnlegget, som vi håper kan være til nytte i den forbindelsen.