Den 6. februar 2023 utstedte Datatilsynet et overtredelsesgebyr på 10 millioner kr til SATS for brudd på personvernforordningen, GDPR. Datatilsynets konklusjon er ikke overraskende, men saken er en påminnelse om hvor viktig det er både å ha rutiner for håndtering av forespørsler om informasjon, innsyn og sletting, og å etterleve disse.
Saken viser også den praktiske konsekvensen av å mangle dokumentasjon på behandlingsgrunnlag før personopplysninger behandles, og hvorfor virksomheter bør behandle personvernerklæringer som ferskvare.
Les den komplette oppsummeringen til DLA PIPER, samt begrunnelsen på hvorfor avgjørelsen er relevant for alle virksomheter som behandler personopplysninger om sine kunder Trykk her!
Kort om saken
6. februar 2023 ble det klart at Datatilsynet opprettholder det varslede gebyret på 10 millioner kroner for brudd på flere bestemmelser i GDPR. Saken har sin bakgrunn i fire individuelle klager rettet til Datatilsynet fra både tidligere og nåværende SATS-medlemmer i perioden 2018-2021. Klagene gjaldt ulike forhold, men saksforholdene hadde flere likheter, som medførte at Datatilsynet behandlet klagene samlet.
Samlet sett omhandlet klagene manglende ivaretakelse av SATS-medlemmenes rett til informasjon, innsyn og sletting, og manglende behandlingsgrunnlag. Det endelige gebyret gjenspeiler imidlertid også forhold utover den enkelte klage, da Datatilsynets samlede behandling av klagene avdekket bredere, mer systematiske svakheter internt i SATS med hensyn til etterlevelse av GDPR. Dette fikk betydning i utmålingen.
Proporsjonalt gebyr eller «betydelig overreaksjon»?
I henhold til GDPR kan Datatilsynet, for overtredelser av denne type, ilegge virksomheter et gebyr på opptil 20 000 000 euro eller 4% av den samlede globale årsomsetningen i forutgående regnskapsår (der det høyeste beløpet skal anvendes).
Datatilsynet tok utgangspunkt i SATS sin omsetning i 2021 på 3 247 millioner kroner. Fire prosent av denne omsetningen er lavere enn 20 000 000 euro, og dermed ble målestokken 20 000 000 euro. Et overtredelsesgebyr på 10 millioner kr utgjør ca. 5 % av maksimalt gebyr, og 0,3 % av SATS sin omsetning.
Datatilsynet begrunnet gebyrets størrelse i en rekke momenter, blant annet:
- Bruddene isolert sett ikke er de mest alvorlige og har ikke hatt alvorlig eller betydelig innvirkning på den enkelte, men det er likevel snakk om flere brudd på rettigheter og forpliktelser som ligger i kjernen av den fundamentale rettigheten til databeskyttelse, hvilket taler i skjerpende retning.
- Varigheten av flere av bruddene var betydelige, og SATS forholdt seg passive selv etter gjentatt kontakt og oppfølgning.
- Sakene ga samlet sett uttrykk for bredere, mer systematiske svakheter internt i SATS. Et selskap på størrelsen til SATS, som opererer i flere land, burde etter Datatilsynets mening ha bedre rutiner og kontroll.
- De avdekte svakhetene og manglene påvirker rettighetene til så å si alle SATS-medlemmer (om lag 700 000), og ikke bare de fire medlemmene som hadde klaget til Datatilsynet.
SATS var raskt ute med å omtale gebyrets størrelse som en «betydelig overreaksjon». Hvorvidt gebyret blir stående gjenstår å se, men størrelsen viser at Datatilsynet både har evne og vilje til å utstede virkningsfulle og avskrekkende gebyrer. Etter DLA Pipers vurdering, illustrerer saken godt ringvirkningene av dårlige rutiner for rettighetshåndtering, som åpenbart får betydelig innvirkning på fastsettelsen av gebyret.
Det skal også bemerkes at Datatilsynet sendte avgjørelsen på sirkulasjon til tilsynsmyndighetene i Norge, Finland, Sverige og Danmark i henhold til «cross-border» regelen i GDPR artikkel 60, og at ingen av disse tilsynsmyndighetene hadde innvendinger mot verken vurderingene eller bøtenivået.
Tre viktige påminnelser
Etter DLA Piper sin vurdering, er denne avgjørelsen en viktig påminnelse til alle virksomheter som behandler personopplysninger om sine kunder. Etterlevelse av GDPR er ferskvare og krever en systematisk tilnærming i internkontrollen.
Våre tre «key takeaways», som alle virksomheter bør ta med seg i sine interne rutiner og praksis for behandling av personopplysninger, er som følger:
1. Vurder og dokumenter behandlingens formål og behandlingsgrunnlag før personopplysningene samles inn
Sørg for at virksomheten har angitt og dokumentert formålet med behandlingen av personopplysninger før personopplysningene samles inn. Formålsangivelsen danner utgangspunktet for virksomhetens plikter etter GDPR og kan ikke senere justeres.
Behandlingsgrunnlaget skal også nøye vurderes, basert på formålet, før behandlingen iverksettes, og vurderingen skal dokumenteres. Etterfølgende vurdering reparerer ikke manglende dokumentasjon.
2. Personvernerklæringen må være korrekt, forståelig og lett tilgjengelig
Personvernerklæringen må tydelig få frem hvorfor personopplysninger behandles (formål), grunnlaget for behandlingen (behandlingsgrunnlag) og hvor lenge de skal behandles (lagringstid). Det er ikke tilstrekkelig å angi at personopplysninger behandles så lenge det er nødvendig, uten å presisere tidspunkt. Dersom det ikke er mulig å angi et konkret tidsperspektiv, må virksomheten angi kriteriene som brukes for å fastsette tidsrommet. Datatilsynet har kompetanse til å overprøve lagringstiden.
Personvernerklæringer er ferskvare og informasjonen som gis må stemme overens med virksomhetens rutiner og hvordan personopplysninger faktisk behandles. Videre må informasjonen som fremstilles være kortfattet og forståelig, fremstilt i et klart og enkelt språk. Det skal sette leseren i stand til å forstå hvilket behandlingsgrunnlag som benyttes for de enkelte behandlinger.
3. Rutiner skal ikke bare oppfylle lovkrav, de skal sikre etterlevelse og ansvarlighet i virksomheten
Interne rutiner for håndtering av forespørsler om innsyn, informasjon, sletting, etc., må være forståelig og lett tilgjengelige, slik at de blir kjent og brukt av ansatte som skal håndtere forespørslene.
Som et minimum må virksomheten utarbeide rutiner som sikrer at (1) henvendelsen blir vurdert, (2) at lovpålagt handling utføres, og (3) at avsender får et svar uten ugrunnet opphold og senest en måned etter mottak av henvendelsen.
I tillegg må rutinen tilpasses virksomheten – de må ha en struktur, et format og tilgjengelighet som sikrer at rutinene faktisk blir gjennomført av de ansatte.
