<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-W3GDQPF" height="0" width="0" style="display:none;visibility:hidden">

SATS felt for brudd på GDPR: Små feil, store konsekvenser

Gebyret på 10 millioner kroner bør være en vekker for andre selskaper, mener Hermon Skytte Melles og Kjetil Wick Sætre i BAHR.

    Publisert 6. mars 2023 kl. 13.50
    Lesetid: 3 minutter
    Artikkellengde er 566 ord
    PÅFALLENDE: Overtredelsesgebyret er det hittil største ilagt en norsk virksomhet i medhold av GDPR, skriver artikkelforfatterne. Foto: NTB

    I fjor høst mottok SATS varsel om vedtak om et gebyr på 10 millioner kroner for to tilfeller av utilfredsstillende svar på innsynskrav fra medlemmer, tre tilfeller av utilfredsstillende svar på sletteforespørsler, manglende personverninformasjon generelt og manglende rettslig grunnlag for å behandle data om treningshistorikk.

    Hermon Skytte Melles. Foto: Bahr
    Kjetil Wick Sætre. Foto: Bahr

    SATS hadde flere innvendinger til det varslede vedtaket, og argumenterte blant annet med at noen av innsyns- og slettekravene kom kort tid etter at GDPR trådte i kraft, at forsinket behandling under pandemien var unnskyldelig, og at Datatilsynets utmåling av gebyr i saken var i strid med forbudet mot dobbeltstraff. SATS mente også at gebyret dessuten langt oversteg det som var riktig nivå i slike saker.

    I det endelige vedtaket har SATS ikke fått medhold i sine innvendinger: Datatilsynet har konkludert med at det forelå brudd på flere grunnleggende krav i personvernforordningen over et lengre tidsrom, og at dette tydet på en mer systematisk svikt i SATS’ rutiner for behandling av personopplysninger.

    Overtredelsesgebyret er det hittil største ilagt en norsk virksomhet i medhold av GDPR. Det er påfallende at dette skjer i en sak utløst av et relativt beskjedent antall klager. Til sammenligning synes sakene mot Stortinget og Østre Toten kommune, som ble ilagt gebyr på henholdsvis 2 og 4 millioner kroner, å være langt mer alvorlige.

    Datatilsynets praksis inneholder eksempler på at tilsynet er mer tilbakeholdent med sanksjoner dersom man rydder opp i feil før man blir pålagt å gjøre det

    I vedtaket har Datatilsynet vist til at de ved utmålingen av gebyret har vektlagt at SATS er et børsnotert selskap som behandler personopplysninger om et stort antall individer, og at det var tale om brudd på grunnleggende rettigheter i GDPR. I tillegg har Datatilsynet fremhevet at det er tale om systematiske brudd, hvor enkelte av overtredelsene ikke bare har rammet de fire klagerne, men praktisk talt alle de om lag 700.000 medlemmene. Det er verdt å merke seg at Datatilsynet ikke fant bevis for at overtredelsene skyldes bevisste brudd på personvernreglene og at utmålingen hensyntar dette.

    Gebyret til SATS kan leses som et klart signal til større virksomheter og andre som behandler personopplysninger om et stort antall individer. Slike virksomheter må ha tydelige rutiner, gi tilstrekkelig opplæring og sørge for en klar ansvarsfordeling internt. Datatilsynets praksis inneholder eksempler på at tilsynet er mer tilbakeholdent med sanksjoner dersom man rydder opp i feil før man blir pålagt å gjøre det.

    Det er viktig å merke seg at tre av klagene i saken er fra perioden 2018 til 2019, og at Datatilsynet først varslet SATS høsten 2021 om at de undersøkte klagene. For andre virksomheter bør det være en vekker om at det kan ligge klager hos Datatilsynet som man ennå ikke har blitt varslet om.

    Hermon Skytte Melles

    Kjetil Wick Sætre

    Senioradvokater i BAHR