Tilsynet varslet gebyret i fjor høst, og onsdag kom beslutningen om at kravet opprettholdes, skriver Dagens Næringsliv.
Bakgrunnen er brudd på flere bestemmelser i personvernforordningen, også kjent som GDPR.
– Vår konklusjon er at Sats har brutt flere bestemmelser i personvernforordningen som gjelder de registrertes rett til informasjon, innsyn, sletting, samt virksomhetens mangel på rettslig grunnlag for å behandle visse personopplysninger, sier direktør Line Coll i Datatilsynet i en pressemelding.
Sats mener vedtaket er en betydelig overreaksjon. De har ikke tatt endelig stilling til om saken skal tas til retten.
– Dette dreier seg om noen få tilfeller av rutinesvikt. Datatilsynet anerkjenner selv at klagene er knyttet til relativt beskjedne forhold, og at ingen personer har lidd reell ulempe. Vi har gode systemer og automatiserte prosesser for å håndtere medlemmenes persondata på en trygg og forsvarlig måte, sier Sats-sjef Sondre Gravir.
I vedtaket heter det at tilsynet mener en bot er på sin plass for å ha en avskrekkende effekt når det kommer til Sats' holdninger til GDPR-reglementet.
NRK: Personopplysninger til 19.000 helseansatte lå usikret på nett