DEBATT

Fire klager kostet Sats ti millioner. Det har gitt viktig innsikt

Fire klager medførte at Datatilsynet ga Sats en bot på ti millioner kroner. Her er seks læringspunkter fra saken.

Kristian Foss i advokatfirmaet Bull mener Datatilsynets avgjørelse etter Sats-kjedens brudd på GDPR gir viktig innsikt i hvordan en skal forholde seg til regelverket.
Kristian Foss i advokatfirmaet Bull mener Datatilsynets avgjørelse etter Sats-kjedens brudd på GDPR gir viktig innsikt i hvordan en skal forholde seg til regelverket. Foto: Bull & Co Advokatfirma AS
Kristian Foss, advokat/partner i Bull & Co Advokatfirma AS
28. mars 2023 - 12:40

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Datatilsynet ila nylig Sats ASA en bot på ti millioner kroner for brudd på personvernforordningen (GDPR). Avgjørelsen var basert på kun fire klager fra enkeltpersoner.

Avgjørelsen gir viktig innsikt i hvordan en skal forholde seg til regelverket, spesielt med hensyn til åpenhet, innsyn og lagringstid. Og hvordan man ikke skal håndtere klager.

Klagene

Klagerne hevdet at følgende brudd hadde funnet sted:

  1. Innsyn: Sats unnlot å gi innsyn raskt og fullstendig nok i klagers opplysninger etter at forespørslene kom inn.
  2. Åpenhet: Sats hadde ikke gitt tilstrekkelig informasjon om behandlingen av deres personopplysninger. Både om formålene med behandlingen og hvem som fikk tilgang til opplysningene.
  3. Lagringstid: Sats hadde oppbevart personopplysningene lenger enn nødvendig for formålet med behandlingen.
  4. Rettslig grunnlag: Sats manglet et gyldig rettslig grunnlag for sin behandling.
Norwegian får refs av Datatilsynet. Her konsernsjef Geir Karlsen under fremleggingen av kvartalstall tidligere i år.
Les også

Datatilsynet refser Norwegian

Avgjørelsen

Datatilsynet fant at Sats hadde brutt flere bestemmelser i GDPR, både når det gjaldt åpenhet, innsyn, rett til sletting og behandlingsgrunnlag. Avgjørelsen viser hvor viktig det er at virksomheter overholder disse pliktene for å sikre at enkeltpersoner har kontroll over sine personopplysninger og er i stand til å utøve sine rettigheter.

Sats var trege og ufullstendige med å gi innsyn

Datatilsynet fant at Sats ikke hadde svart på forespørslene om innsyn i klagernes personopplysninger innen forventet tid og på en lovmessig måte. Klagerne mottok ikke en kopi av dataene sine, men snarere informasjon om hendelsene og et utdrag av Sats’ generelle vilkår.

Det faktum at en av tilgangsforespørslene ble sendt inn bare én måned etter at GDPR trådte i kraft, ble ikke vektlagt, da bruddet vår pågående og innsynsplikten ikke var en ny plikt i GDPR.

Mangel på åpenhet

Datatilsynet fant at Sats ikke hadde gitt tilstrekkelig informasjon om behandlingen av deres personopplysninger. Særlig gjaldt dette informasjon om formålene med behandlingen, mottakerne av opplysningene og juridiske grunnlag for å dele opplysningene med tredjeparter. Det vil si at særlig personvernerklæringen sviktet.

Selv om OpenAI o1 utvilsomt er et imponerende teknologisk fremskritt innen kunstig intelligens, er det viktig å forstå at denne «tenkningen» egentlig er en avansert form for mønstergjenkjenning, ikke ekte intelligens, skriver professor Michael Riegler i Simula Research Lab.
Les også

OpenAI o1: Imponerende, men ikke banebrytende

For langvarig oppbevaring

Datatilsynet fant at Sats hadde oppbevart klagernes personopplysninger lenger enn nødvendig for formålet med behandlingen. Dataene ble nemlig oppbevart i fem år for å sikre at medlemmer som ble utvist i to år, ikke kom inn på treningsstudioet igjen.

Oppbevaringsperioden på 60 måneder, fastsatt i Sats’ interne retningslinjer, ble sett på som «en «ekstraordinær lang periode» av Datatilsynet. I tillegg ble varigheten ikke informert om i personvernreglene.

Manglende grunnlag for behandling

Sats brukte to ulike grunnlag for behandling, samtykke og nødvendighet for oppfyllelse av kontrakt. Sats spesifiserte imidlertid ikke hvilke formål de ulike rettsgrunnlaget gjaldt. Uansett var deler av behandlingen, for eksempel treningshistorikk, ikke nødvendig for gjennomføringen av kontrakten. Og samtykket var ikke gyldig fordi det var plassert i de generelle vilkårene og dermed ikke godt nok informert om.

Hvorfor så høy bot?

Elementene nevnt over, og det forholdet at den manglende informasjonen og behandlingsgrunnlaget rammet alle Sats’ 700.000 medlemmer, forklarer den relativt høye boten. Datatilsynet mente at følgende punkter vektet tungt eller moderat tungt mot Sats:

  • varigheten
  • alvorligheten
  • systematikken i bruddene
  • det høyt antall berørte
  • uaktsomhet
  • følsomheten i opplysninger
  • Sats' unnlatelse av selv å rapporterte brudd og imøtekomme klagerne

 Boten på ti millioner kroner utgjør imidlertid bare 0,9 prosent av Sats’ inntekter for 2021 og bare 5 prosent av den maksimale boten mulig under GDPR. Datatilsynet tok hensyn til Sats’ utfordrende økonomiske situasjon.

Læringspunkter for andre bedrifter

Vedtaket fra Datatilsynet gir viktig lærdom for virksomheter om hvor viktig det er å overholde GDPR. 

På bakgrunn av vedtaket bør alle bedrifter merke seg:

  1. Svar raskt og fullstendig på forespørsler om innsyn og sletting. Klagerne ville neppe gått videre til Datatilsynet om de var blitt behandlet godt i første omgang.
  2. Skriv en god og klar personvernerklæring som er inkluderer:
    1. hvem som er mottakere av persondataene
    2. hvilket behandlingsgrunnlag som gjelder for hvilken type behandling
  3. Ikke plasser samtykketekster i generelle vilkår
  4. Minimer databehandlingen; ikke for mye data, lagret for lenge.
  5. Ikke tøy «nødvendighet av å oppfylle en avtale» som behandlingsgrunnlag for langt.
  6. Lær opp personalet til å håndtere forespørsler raskt og riktig.

Les det 45 sider lange vedtaket av 6. februar 2023 på engelsk her. 

Avviket ble først oppdaget av Riksrevisjonen.
Les også

NRK: Personopplysninger til 19.000 helseansatte lå usikret på nett

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.