Datatilsynet ila nylig Sats ASA en bot på ti millioner kroner for brudd på personvernforordningen (GDPR). Avgjørelsen var basert på kun fire klager fra enkeltpersoner.
Avgjørelsen gir viktig innsikt i hvordan en skal forholde seg til regelverket, spesielt med hensyn til åpenhet, innsyn og lagringstid. Og hvordan man ikke skal håndtere klager.
Klagene
Klagerne hevdet at følgende brudd hadde funnet sted:
- Innsyn: Sats unnlot å gi innsyn raskt og fullstendig nok i klagers opplysninger etter at forespørslene kom inn.
- Åpenhet: Sats hadde ikke gitt tilstrekkelig informasjon om behandlingen av deres personopplysninger. Både om formålene med behandlingen og hvem som fikk tilgang til opplysningene.
- Lagringstid: Sats hadde oppbevart personopplysningene lenger enn nødvendig for formålet med behandlingen.
- Rettslig grunnlag: Sats manglet et gyldig rettslig grunnlag for sin behandling.
Avgjørelsen
Datatilsynet fant at Sats hadde brutt flere bestemmelser i GDPR, både når det gjaldt åpenhet, innsyn, rett til sletting og behandlingsgrunnlag. Avgjørelsen viser hvor viktig det er at virksomheter overholder disse pliktene for å sikre at enkeltpersoner har kontroll over sine personopplysninger og er i stand til å utøve sine rettigheter.
Sats var trege og ufullstendige med å gi innsyn
Datatilsynet fant at Sats ikke hadde svart på forespørslene om innsyn i klagernes personopplysninger innen forventet tid og på en lovmessig måte. Klagerne mottok ikke en kopi av dataene sine, men snarere informasjon om hendelsene og et utdrag av Sats’ generelle vilkår.
Det faktum at en av tilgangsforespørslene ble sendt inn bare én måned etter at GDPR trådte i kraft, ble ikke vektlagt, da bruddet vår pågående og innsynsplikten ikke var en ny plikt i GDPR.
Mangel på åpenhet
Datatilsynet fant at Sats ikke hadde gitt tilstrekkelig informasjon om behandlingen av deres personopplysninger. Særlig gjaldt dette informasjon om formålene med behandlingen, mottakerne av opplysningene og juridiske grunnlag for å dele opplysningene med tredjeparter. Det vil si at særlig personvernerklæringen sviktet.
For langvarig oppbevaring
Datatilsynet fant at Sats hadde oppbevart klagernes personopplysninger lenger enn nødvendig for formålet med behandlingen. Dataene ble nemlig oppbevart i fem år for å sikre at medlemmer som ble utvist i to år, ikke kom inn på treningsstudioet igjen.
Oppbevaringsperioden på 60 måneder, fastsatt i Sats’ interne retningslinjer, ble sett på som «en «ekstraordinær lang periode» av Datatilsynet. I tillegg ble varigheten ikke informert om i personvernreglene.
Manglende grunnlag for behandling
Sats brukte to ulike grunnlag for behandling, samtykke og nødvendighet for oppfyllelse av kontrakt. Sats spesifiserte imidlertid ikke hvilke formål de ulike rettsgrunnlaget gjaldt. Uansett var deler av behandlingen, for eksempel treningshistorikk, ikke nødvendig for gjennomføringen av kontrakten. Og samtykket var ikke gyldig fordi det var plassert i de generelle vilkårene og dermed ikke godt nok informert om.
Hvorfor så høy bot?
Elementene nevnt over, og det forholdet at den manglende informasjonen og behandlingsgrunnlaget rammet alle Sats’ 700.000 medlemmer, forklarer den relativt høye boten. Datatilsynet mente at følgende punkter vektet tungt eller moderat tungt mot Sats:
- varigheten
- alvorligheten
- systematikken i bruddene
- det høyt antall berørte
- uaktsomhet
- følsomheten i opplysninger
- Sats' unnlatelse av selv å rapporterte brudd og imøtekomme klagerne
Boten på ti millioner kroner utgjør imidlertid bare 0,9 prosent av Sats’ inntekter for 2021 og bare 5 prosent av den maksimale boten mulig under GDPR. Datatilsynet tok hensyn til Sats’ utfordrende økonomiske situasjon.
Læringspunkter for andre bedrifter
Vedtaket fra Datatilsynet gir viktig lærdom for virksomheter om hvor viktig det er å overholde GDPR.
På bakgrunn av vedtaket bør alle bedrifter merke seg:
- Svar raskt og fullstendig på forespørsler om innsyn og sletting. Klagerne ville neppe gått videre til Datatilsynet om de var blitt behandlet godt i første omgang.
- Skriv en god og klar personvernerklæring som er inkluderer:
- hvem som er mottakere av persondataene
- hvilket behandlingsgrunnlag som gjelder for hvilken type behandling
- Ikke plasser samtykketekster i generelle vilkår
- Minimer databehandlingen; ikke for mye data, lagret for lenge.
- Ikke tøy «nødvendighet av å oppfylle en avtale» som behandlingsgrunnlag for langt.
- Lær opp personalet til å håndtere forespørsler raskt og riktig.
Les det 45 sider lange vedtaket av 6. februar 2023 på engelsk her.