Fire klager kostet SATS 10 millioner
Datatilsynet ila nylig SATS ASA en bot på 10 millioner kronerfor brudd på personvernforordningen (GDPR). Avgjørelsen var basert på kun fire klager fra enkeltpersoner.
Avgjørelsen gir viktig innsikt i hvordan en skal forholde seg til regelverket, spesielt med hensyn til åpenhet, innsyn og lagringstid. Og hvordan man ikke skal håndtere klager.
Klagene
Klagerne hevdet at følgende brudd hadde funnet sted:
- Innsyn: SATS unnlot å gi innsyn raskt og fullstendig nok i klagers opplysninger etter at forespørslene kom inn.
- Åpenhet: SATS hadde ikke gitt tilstrekkelig informasjon om behandlingen av deres personopplysninger. Både om formålene med behandlingen og hvem som fikk tilgang til opplysningene.
- Lagringstid: SATS hadde oppbevart personopplysningene lenger enn nødvendig for formålet med behandlingen.
- Rettslig grunnlag: SATS manglet et gyldig rettslig grunnlag for sin behandling.
Avgjørelsen
Datatilsynet fant at SATS hadde brutt flere bestemmelser i GDPR, både når det gjaldt åpenhet, innsyn, rett til sletting og behandlingsgrunnlag. Avgjørelsen viser hvor viktig det er at virksomheter overholder disse pliktene for å sikre at enkeltpersoner har kontroll over sine personopplysninger, og er i stand til å utøve sine rettigheter.
SATS var trege og ufullstendige med å gi innsyn
Datatilsynet fant at SATS ikke hadde svart på forespørslene om innsyn i klagerne personopplysninger innen forventet tid og på en lovmessig måte. Klagerne mottok ikke en kopi av dataene sine, men snarere informasjon om hendelsene og et utdrag av SATS’ generelle vilkår.
Det faktum at en av tilgangsforespørslene ble sendt inn bare én måned etter at GDPR trådte i kraft, ble ikke vektlagt, da bruddet vår pågående og innsynsplikten ikke var en ny plikt i GDPR.
Mangel på åpenhet
Datatilsynet fant at SATS ikke hadde gitt tilstrekkelig informasjon om behandlingen av deres personopplysninger. Særlig gjaldt dette informasjon om formålene med behandlingen, mottakerne av opplysningene og juridiske grunnlag for å dele opplysningene med tredjeparter. Det vil si at særlig personvernerklæringen sviktet.
For langvarig oppbevaring
Datatilsynet fant at SATS hadde oppbevart klagernes personopplysninger lenger enn nødvendig for formålet med behandlingen. Dataene ble nemlig oppbevart i fem år for å sikre at medlemmer som ble utvist i to år ikke kom inn på treningsstudioet igjen.
Oppbevaringsperioden på 60 måneder, fastsatt i SATS’ interne retningslinjer, ble sett på som en «ekstraordinær lang periode» av Datatilsynet. I tillegg ble varigheten ikke informert om i personvernreglene.
Manglende grunnlag for behandling
SATS brukte to ulike grunnlag for behandling, samtykke og nødvendighet for oppfyllelse av kontrakt. SATS spesifiserte imidlertid ikke hvilke formål de ulike rettsgrunnlaget gjaldt. Uansett var deler av behandlingen, for eksempel treningshistorikk, ikke nødvendig for gjennomføringen av kontrakten. Og samtykket var ikke gyldig fordi det var plassert i de generelle vilkårene, og dermed ikke godt nok informert om.
Hvorfor så høy bot?
Elementene nevnt over, og det forholdet at den manglende informasjonen og behandlingsgrunnlaget rammet alle SATS’ 700 000 medlemmer, forklarer den relativt høye boten. Datatilsynet mente at følgende punkter vektet tungt eller moderat tungt mot SATS:
- varigheten
- alvorligheten
- systematikken i bruddene
- det høyt antall berørte
- uaktsomhet
- følsomheten i opplysninger
- SATS’ unnlatelse av selv å rapporterte brudd og imøtekomme klagerne
Boten på 10 MNOK utgjør imidlertid bare 0,9% av SATS’ inntekter for 2021 og bare 5% av den maksimale boten mulig under GDPR. Datatilsynet tok hensyn til SATS’ utfordrende økonomiske situasjon.
Læringspunkter for andre bedrifter
Vedtaket fra Datatilsynet gir viktig lærdom for virksomheter om hvor viktig det er å overholde GDPR.
På bakgrunn av vedtaket bør alle bedrifter merke seg:
- Svar raskt og fullstendig på forespørsler om innsyn og sletting. Klagerne ville neppe gått videre til Datatilsynet om de var blitt behandlet godt i første omgang.
- Skriv en god og klar personvernerklæring som inkluderer:
a) hvem som er mottakere av persondataene
b) hvilket behandlingsgrunnlag som gjelder for hvilken type behandling - Ikke plasser samtykketekster i generelle vilkår.
- Minimer databehandlingen; ikke for mye data, lagret for lenge.
- Ikke tøy ‘nødvendighet av å oppfylle en avtale" som behandlingsgrunnlag for langt.
- Lær opp personalet til å håndtere forespørsler raskt og riktig.
Her kan du lese det 45 sider lange vedtaket av 6. februar 2023 på engelsk.
Ikke nøl med å ta kontakt med oss for å finne ut om virksomheten din kan risikere noe lignende eller du ønsker å redusere risiko for brudd.
Relaterte artikler
Bli med på årets mest interessante konferanse om personvern!
I mars 2024 inviterer vi igjen til Europas kanskje mest spennende personvernkonferanse, i hjertet av de sveitsiske alper!
Les merDatatilsynet seiret over Meta i tingretten
Oslo tingretts avgjørelse til fordel for Datatilsynet i saken mot Meta er en kraftig advarsel til alle som jobber med...
Les merDatatilsynet friskmelder Google Analytics
Etter den siste tidens endringer av regelverket for overføring av data til USA kan man bruke Google Analytics igjen.
Les mer
Hvordan kan vi hjelpe deg?
Trenger du juridisk hjelp? Ring oss eller send en e-post for en helt uforpliktende prat.