Artikkel

Oversikt over foreløpige GDPR-bøter

Sommeren 2018 fikk vi nytt personvernregelverk (GDPR) i EU/EØS. Mulighetene til å sanksjonere ved brudd på regelverket var noe av det som ble fremhevet som en av de største endringene ved det nye personvernregelverket.

Publisert 04.03.2020

Overtredelsesgebyr

Det er mange som ber om vår bistand til å tilpasse seg personvernregelverket og hva som er gitt av bøter etter GDPR. 
Generelt vil vi si at det er et begrenset antall bøter som er gitt siden GDPR trådte i kraft og størrelsen på bøtene varierer, noe som blant annet kan skyldes at det tar noe tid for de europeiske datatilsynene å absorbere det nye regelverket samt harmonisere sanksjonsnivået i EU-statene. Vi ser imidlertid at frekvensen på bøter som gis øker og bøter er gitt til foretak i ulike bransjer, organisasjoner og offentlig sektor. Under har vi hentet frem et utvalg av bøter som er gitt fra både det norske og andre europeiske tilsynsmyndigheter.

Innledningsvis vil vi også få frem at de største GDPR-bøtene som er varslet er til utenlandske selskaper som British Aiways, Marriott International og Google. I Norge er det gitt bøter til både til Bergen kommune og Oslo kommune.

 
Innledning

Et overtredelsesgebyr er en økonomisk sanksjon som pålegges av et forvaltningsorgan som en reaksjon på et lovbrudd og det følger av personvernforordningen at Datatilsynet kan ilegge overtredelsesgebyr ved brudd på bestemmelser i forordningen.

 
Forholdet til andre tilsynsmyndigheters praksis

GDPR er en forordning, noe som betyr at den som utgangspunkt skal forstås likt i hele EU/EØS. Dette innebærer at også tilsynsmyndighetenes praksis må harmoniseres på tvers at medlemsstatene, og at konsistensmekanismer vil kunne brukes «for å fremme en ensartet anvendelse av overtredelsesgebyrer», jf. fortalen til GDPR.

Følgelig vil praksis ved ileggelse av overtredelsesgebyr fra andre land være relevant når Datatilsynet skal ilegge overtredelsesgebyr for virksomheter i Norge.

Datatilsynet har et tett samarbeid med nordiske og europeiske tilsyn, blant annet gjennom det uavhengige europeiske personvernrådet (EDPB).

Oversikt over vedtak

Knuddels.de (november 2018), overtredelsesgebyr på 20 000 euro

Knuddels.de er et tysk selskap og er en av de største meldings/chattetjenestene i Tyskland. Bakgrunnen for overtredelsesgebyret er at selskapet hadde lagret passord i klartekst og fått eksponert brukerdata etter et hackerangrep. 808 000 epostadresser og nærmere to millioner brukernavn og passord skal ha kommet på avveie, og passordene skal i etterkant av hendelsen ha blitt publisert på internett. Selskapet varslet selv om hendelsen, noe som var en formildende omstendighet som påvirket overtredelsesgebyret.

 

Bergen kommune (desember 2018), overtredelsesgebyr på 1,6 millioner kroner

Saken gjeldt en hendelse hvor filer med brukernavn og passord til over 35 000 bruker (i hovedsak barn) i Bergen kommune hadde ligget tilgjengelig for elever og ansatte i grunnskolen. Det var mulig å logge seg inn på skolens ulike informasjonssystemer som elev, ansatt eller administrator på skolen, og dermed få tilgang til personopplysninger om andre elever og ansatte.

Kommunen ble ilagt et overtredelsesgebyr på 1,6 millioner kroner. Direktør i Datatilsynet, Bjørn Erik Thon, uttalte at det det er særlig viktig at alle offentlige instanser som behandler innbyggernes personopplysninger må være seg sitt ansvar bevisst. At det var barn og unges rettigheter og friheter som ble utsatt for overtredelsen, gjorde det ekstra alvorlig. Datatilsynet fattet i tillegg to andre vedtak som gjaldt pålegg om å iverksette nærmere tiltak.

 

Google (januar 2019), overtredelsesgebyr på 50 millioner euro

Google er et amerikansk teknologiselskap som driver flere internettjenester hovedsakelig innen reklame, nettsøk, nettsky og programvare.

I januar 2019 ga det franske datatilsynet CNIL Google et overtredelsesgebyr på 50 millioner euro for brudd på GDPR. CNIL begrunnet overtredelsesgebyret med at Google gjorde det for vanskelig for brukere å få tak i essensiell informasjon, som for eksempel hensikten med datainnsamlingen, hvor lenge data lagres og hvordan den brukes, samt hvilke personlige data som brukes til målrettet annonsering.

CNIL uttalte at slik informasjon var spredt utover flere dokumenter og krevde at brukere må gå gjennom flere steg for å skaffe seg tilgang til informasjonen. CNIL kritiserte også selskapets samtykkepraksis og pekte på at Google presset brukere til å lage en Google-konto ved at brukeropplevelsen ble dårligere om man ikke hadde en konto når man satte opp enheten sin. Ifølge CNIL er det etter GDPR forbudt å kombinere («bundle») samtykker, og man må skille det å lage en konto fra det å sette opp en enhet.

 

Taxa 4X35 (mars 2019), overtredelsesgebyr på 1,2 millioner danske kroner

Etter å ha utført stikkprøvekontroller fikk det danske taxiselskapet, TAXA 4x35 et overtredelsesgebyr fra det danske datatilsynet på grunn av mangler ved sletting av kundeopplysninger. Nesten 9 millioner personopplysninger skal ha blitt lagret uten videre mål og mening. Opplysninger om kundenes taxiturer (både adresser for hvor kundene ble hentet og levert) kunne fortsatt knyttes til en fysisk person via telefonnummeret og ble ikke slettet før etter fem år. I følge det danske datatilsynet var dette tre år lenger enn nødvendig og det dreide seg om store mengder personopplysninger som var lagret uten et saklig formål.

Datatilsynet poengterte at ett av grunnprinsippene på databeskyttelsesområdet er at man kan bare behandle opplysninger man har bruk for – og når man ikke har bruk for dem lenger, så skal de slettes med en gang.

 

LaLiga (juni 2019), overtredelsesgebyr på 250.000 euro

I juni 2019 ble LaLiga, den høyeste divisjonen i det spanske fotballsystemet, ilagt et overtredelsesgebyr på 250 000 euro. Overtredelsesgebyret ble gitt av det spanske datatilsynet fordi brukerne av LaLigas mobilapp ikke hadde fått tilstrekkelig informasjon om at appen aktiverer mikrofonen på telefonen hvert minutt det spilles kamper. Målet var å «tyvlytte» på folk som ser på fotball på serveringssteder uten lisens til å vise kampene. Ved å koble stedsdata med lydopptakene kunne appen spore opp innehaverne av stedene som viste fotball ulovlig.

 

Offentlig sykehus, Portugal, overtredelsesgebyr på 400 000 euro

Et offentlig sykehus i Portugal ble 17. juni 2018 ilagt et overtredelsesgebyr på 400 000 euro fordi sykehuset ikke hadde gjennomført tilstrekkelige tekniske og organisatoriske tiltak for å sikre informasjonssikkerheten ved sykehuset. Etterforskningen viste at sykehusets ansatte, herunder psykologer, ernæringsfysiologer og andre profesjoner hadde tilgang til pasientdata via falske profiler. I systemet var det registrert 985 legeprofiler, men kun 296 leger var ansatt ved sykehuset. I tillegg hadde legene adgang til alle pasientmapper, uavhengig av legens arbeidsfeltfelt.

 

Marriott International (juli 2019), varsel om overtredelsesgebyr på 99 millioner pund

Marriott International er en verdensomspennende hotellkjede og fikk varsel om overtredelsesgebyr i juli 2019.

Bakgrunnen for varselet var et datainnbrudd som ble varslet av Marriott selv november 2018. En rekke personopplysninger som var finne i omtrent 339 millioner gjesteregistre over hele verden ble utsatt for datainnbruddet, hvor omtrent 30 millioner av disse registrene var relatert til innbyggere i EØS-land og syv millioner relatert til innbyggere i Storbritannia. Opplysningene gjaldt blant annet navn, telefonnummer, epostadresse, passnummer, fødselsdato samt betalingskortnumre og kortets utløpsdato. Det antas at sårbarheten begynte da systemene i hotellgruppen Starwood ble hacket i 2014. Marriott kjøpte Starwood i 2016, men eksponeringen av kundeinformasjonen ble ikke oppdaget før i 2018.

Det britiske datatilsynet (ICO) fant at Marriott ikke hadde klart å foreta en tilstrekkelig aktsom selskapsgjennomgang (due dilligence-prosess) da hotellkjeden kjøpte Starwood. De burde også ha gjort mer for å sikre sine systemer. ICO understreket at personvernforordningen gjør det klart at virksomheter må være ansvarlige for de personopplysningene de innehar. Dette innebærer blant annet at det må utføres en aktsom selskapsgjennomgang når man foretar et selskapskjøp, samt at man må sette i verk ansvarlighetstiltak for å vurdere ikke bare hvilke personopplysninger som er anskaffet, men også hvordan de er beskyttet.

Personal data has a real value so organisations have a legal duty to ensure its security, just like they would do with any other asset. If that doesn’t happen, we will not hesitate to take strong action when necessary to protect the rights of the public.

– Elizabeth Denham, Informasjonskommisær I ICO

 

British Airways (juli 2019), varsel om overtredelsesgebyr på 183,4 millioner pund

British Airways er både Storbritannias største flyselskap og et av de største i Europa. Som følge av et dataangrep høsten 2018 kom personopplysninger, deriblant kredittkortopplysninger, til omtrent 500 000 kunder på avveie. Etter en omfattende undersøkelse kom ICO frem til at dette skyldes manglende sikkerhetstiltak hos British Airways, deriblant dårlig sikkerhet rundt innlogging, betalingskort, reisebestillingsinformasjon samt informasjon om navn og adresse. ICO ga etter dette ut et varsel om å bøtelegge selskapet med 183,4 millioner pund for brudd på GDPR. Dette er det største gebyret som er blitt varslet siden personvernforordningen trådte i kraft.

 

PWC BS (juli 2019), overtredelsesgebyr på 150 000 euro

PricewaterhouseCoopers (PwC) i Hellas ble av det greske datatilsynet gitt et overtredelsesgebyr på 150 000 euro grunnet PwCs bruk av samtykke som behandlingsgrunnlag for å behandle personopplysningene om egne ansatte. Samtykke er et behandlingsgrunnlag som ikke bør benyttes i arbeidsforhold fordi det ofte ikke vil være frivillig avgitt, noe som er et helt sentralt krav ved bruk av samtykke.

Videre hadde PwC gitt de ansatte inntrykk av å behandle personopplysninger under samtykke, men i realiteten behandlet det under andre grunnlag, noe datatilsynet mente var en urettferdig og lite åpen måte å behandle personopplysningene om ansatte på. PWC kunne ikke dokumentere at personopplysninger ble behandlet lovlig og overholdt ikke sitt ansvar som behandlingsansvarlig.

 

Videregående skole i Sverige (august 2019), overtredelsesgebyr på 200 000 svenske kroner

En videregående skole i Skellefteå forsøkte høsten 2019 å registrere fravær ved hjelp av ansiktsgjenkjenning. Testperioden pågikk i tre uker og berørte 22 elever ved den svenske skolen. Det svenske datatilsynet konkluderte med at registrering av ansikter er sensitive opplysninger, og krevde derfor at skolen lagret dataene i henhold til personvernforordningen, noe som ikke var gjort.

De 22 elevene som deltok i prosjektet hadde selv gitt den svenske skolen tillatelse til å registrere fravær ved hjelp av biometri, men det svenske datatilsynet mente samtykket elevene hadde gitt ikke var godt nok, siden elevene befinner seg i en avhengighetsposisjon til den videregående skolen.

 

Oslo Kommune (oktober 2019), overtredelsesgebyr på 500.000 kr

Bakgrunnen for vedtaket om overtredelsesgebyret var at Oslo kommune i november 2018 opplyste om at kommunens 19 sykehjem/helsehus som lå under Sykehjemsetaten, samt ni private sykehjem med avtale med kommunen, hadde hatt en praksis med bruk av såkalte arbeidslister. I arbeidslistene ble det skrevet beboeropplysninger som var nødvendige for daglig hjelp og stell, og beboerne ble identifisert ved hjelp av fullt navn og fødselsnummer, initialer og romnummer.

Arbeidslistene ble lagret på det enkelte sykehjem/helsehus sin interne sone, hvor de ansatte, i tillegg til noen medarbeider i Sykehjemsetaten, hadde tilgang. Om lag 90 prosent av de ansatte ved sykehjemmene/helsehusene er helsepersonell, men de resterende 10 prosentene, slik som renholdere eller vaktmestere, i teorien også kunne logge seg på å få tilgang til opplysningene.

Listene skal ha blitt overskrevet løpende, slik at kun opplysninger om nåværende beboere, og ikke tidligere beboere, til enhver tid var tilgjengelig. Ansatte som har arbeidet på det enkelte sykehjem/helsehus i lang tid, vil imidlertid ha hatt tilgang til opplysninger om et stort antall beboere.

Datatilsynet la til grunn at Sykehjemsetaten gjennom mange år ikke har hatt en tilstrekkelig bred tankegang i den overordnede styringen av de underliggende sykehjemmenes/helsehusenes praksis for informasjonssikkerhet. Praksisen med lagring av identifiserbare pasientopplysninger utenfor journal brøt klart med kravene til sikkerhet og internkontroll i personvernforordningen.

I fastsettelsen av størrelsen på overtredelsesgebyret, ble det vektlagt at kommunen selv meldte avviket til Datatilsynet og raskt sørget for sletting av opplysningene. Det ble også sett hen til at lovbruddet i hovedsak fant sted før ny personopplysningslov og personvernforordning trådte i kraft.

 

Vodafone (oktober 2019), overtredelsesgebyr på 36 000 euro

Vodafone er en multinasjonal, privateiet mobiloperatør. Klageren fikk en telefon fra Vodafone som ga han tilbud om sine tjenester, noe han takket nei til. Vodafone hadde imidlertid fått data om klageren gjennom datteren hans, og fortsatte å tilby han tjenester og søke betaling fra han. Med dette hadde selskapet behandlet saksøkerens personopplysninger uten hans samtykke og ble ilagt overtredelsesgebyr.

Vodafone har fått to andre bøter på 5000 euro og 27 000 euro for lignende brudd.

 

Österreichische Post (oktober 2019), overtredelsesgebyr på 18 millioner euro

Österreichische Post er selskapet som har ansvar for posttjenester i Østerrike. Det østeriske datatilsynet kom til at selskapet hadde brutt personvernforordningen ved å ha laget profiler på mer enn tre millioner østerrikere, som inkluderte informasjon om deres hjemmeadresser, personlige preferanser, vaner og mulig partiaffinitet - som senere ble solgt videre, for eksempel til politiske partier og selskaper.

Det er varslet et gebyr på 18 millioner euro.

 

Deutsche Wohnen SE (november 2019), overtredelsesgebyr på cirka 14,5 millioner Euro

Deutsche Wohnen, som eier cirka 163 000 leiligheter og cirka 2600 næringseiendommer, lagret personopplysninger om tidligere leietagere uten hjemmel når informasjonen skulle vært slettet. Personopplysningene ble i tillegg lagret i et datasystem som ikke hadde teknisk slettemulighet, noe som er problematisk gitt at de aller færreste opplysninger kan oppbevares uten noen tidsbegrensning. Det hjalp heller ikke at selskapet hadde startet en prosess for å endre situasjonen, men at endringene ikke var implementert.

Det tyske datatilsynet slo fast at lagringen av personopplysningene var i strid med både grunnprinsippene i personvernforordningen artikkel 5 og artikkel 25 om innebygget personvern. Selskapet ble ilagt et overtredelsesgebyr på ca. 14,5 millioner euro.

Det er interessant å merke seg at det ikke spilte noen rolle at datasystemet var anskaffet før reglene trådte i kraft, hvilket betyr at kravene i personvernregelen gjelder også for slike systemer og behandling av personopplysninger i dem. Dette burde være en kraftig vekker og grunn til både å gå gjennom hvordan man forvalter sine personopplysninger og eventuelt til anskaffelse av nye IT-systemer, dersom de ikke oppfyller reglenes minimumssystemer.

Det tyske datatilsynet slo fast at lagringen av personopplysningene var i strid med både grunnprinsippene i GDPR artikkel 5 og med artikkel 25 om innebygget personvern. Det er interessant å merke seg at det ikke spilte noen rolle at datasystemet var anskaffet før reglene trådte i kraft, hvilket betyr at kravene i personvernregelen gjelder også for slike systemer og behandling av personopplysninger i dem. Dette burde være en kraftig vekker og grunn til både å gå gjennom hvordan man forvalter sine personopplysninger og eventuelt til anskaffelse av nye IT-systemer, dersom de ikke oppfyller reglenes minimumssystemer.

 

Futura Internationale (november 2019), overtredelsesgebyr på 500 000 euro

Futura Internationale er et selskap med under 100 ansatte som arbeider innen energisektoren med innføring av isolering og varmepumper. Som del av forretningsmodellen, utfører selskapet markedsføring via telefonkampanjer. Selskapet ble i november ilagt et overtredelsesgebyr på 500 000 euro for flere brudd av personvernforordningen. Dette gikk ut på at behandlingen ikke var adekvat, relevant og begrenset i forhold til hva som var nødvendig for å oppfylle formålet med behandlingen. Videre manglende informasjon til de registrerte, samt manglende respekt av de registrertes innsigelser, manglende samarbeid med tilsynsmyndighetene og manglende sikkerhetstiltak for overføring utenfor EU/EØS.

CNIL avdekket blant annet at Futura Internationale hadde mottatt flere brev som hadde innvendinger mot disse telefonsamtalene, at selskapet hadde lagret unødvendig informasjon om kundene og deres helse, og at selskapet ikke hadde informert de registrerte om behandlingen av personopplysningene eller innspillingen av telefonsamtaler. I tillegg var telefonsentrene som utførte samtalene på vegne av selskapet lokalisert i Nord-Afrika, noe som medførte en overføring av personopplysninger utenfor EU/EØS uten tilstrekkelige sikkerhetstiltak.

 

Sykehus i Tyskland (desember 2019), overtredelsesgebyr på 105 000 euro

Et tysk sykehus i delstaten Rheinland-Pfalz ble 3. desember 2019 ilagt et overtredelsesgebyr på 105 000 euro grunnet flere brudd på grunnleggende prinsipper etter personvernforordningen artikkel 5 i forbindelse med en pasientblanding ved innleggelse av pasienter. Dette resulterte i feil fakturering og avdekket strukturelle tekniske og organisatoriske mangler i sykehusets pasientstyring og overholdelse av personvernregelverket.

Tilsynsplan og harmonisert utmåling av bøter

Tilsynsplan

I Norge har det tradisjonelt vært en tendens for at Datatilsynet har gått etter store offentlige organisasjoner og der det er store mengder personopplysninger som behandles. Når det gjelder tilsynsaktiviteter i tiden som kommer varsler Datatilsynet blant annet i en rapport fra 2018 at det vil bli gjennomført flere tilsyn i tiden fremover, og at dette gjelder både små og store private selskaper i tillegg til offentlige virksomheter.

Ser man derimot hen til det danske datatilsynet, var det publisert en tilsynsplan for annet halvår av 2019. Av tilsynsplanen til det danske datatilsynet listes følgende fokusområder:

  • databehandlere, med særlig fokus på behandlingssikkerhet og bruk av underdatabehandlere
  • den daglige overvåkning, med særlig fokus på kontrolltiltak i forhold til ansatte (oppfyller arbeidsgiver opplysningsplikten?), kundens kjøpshistorikk (oppfyller selskapet opplysningsplikten og hvor lenge lagres informasjonen), kundenes reisehistorikk (oppfyller selskapet opplysningsplikten og hvor lenge lagres informasjonen), automatisk nummerskiltgjenkjenning ved kjøpesentre (hjemmel, opplysningsplikt og sletting). De utvalgte områdene her inkluderer følgelig kontroll på arbeidsplassen, forbruksmønstre, bruk av offentlig transport og bruk av privat transport (parkering).
  • databeskyttelse i forbindelse med ansettelsesforhold, med særlig fokus på sletting av opplysninger innsamlet i forbindelse med rekruttering og kontrolltiltak i forhold til ansatte (oppfyller arbeidsgiver opplysningsplikten)
  • automatiske beslutninger og profilering, overholdelse av regelen om bruk av individuelle automatiske beslutninger, herunder profilering

 

Harmonisert utmåling av bøter etter 

Som nevnt innledningsvis er GDPR er forordning som skal forstås likt innenfor EU/EØS og GDPR regulerer også generelle vilkår for ilegging av overtredelsesgebyr, herunder momenter som skal tas i betraktning for om bøter skal ilegges og hva nivået på bøtene. Formålet er å få til en mest mulig ensartet praksis mellom de europeiske personvernmyndighetene hva gjelder forståelsen av personvernregelverket og sanksjonsnivåer.

Ser man på alle overtredelsesgebyrene som er blitt gitt over, ser man imidlertid et visst sprik mellom disse. Til dette har Datatilsynet i Norge uttalt at tilsynsmyndighetene i hele EU og EØS plikter å ha en relativt lik praksis når det gjelder bruk av sanksjoner og at EDPB publiserer en oversikt over de største sakene på sine nettsider, som igjen brukes til å se hvilke nivå man bør legge seg på.

 

Var denne siden nyttig?