NAV, SATS og Meta har alle blitt ilagt strenge bøter, som har fått mye oppmerksomhet. I tillegg til økonomiske konsekvenser, får slike brudd følger for tilliten til virksomhetene som rammes. Hva kan vi lære av disse sakene som er relevant å ha med seg inn i 2024?
Felles for disse sakene er at Datatilsynet virker å ha en økt vilje til å sanksjonere brudd på personvernregelverket med gebyrer. Sakene viser også at slike bøter kan komme uten foregående pålegg om retting. Dette er en tendens vi har sett i noen år, og sakene mot NAV, SATS og Meta i 2023 bekrefter denne trenden.
Vi har sett nærmere på hva som har vært grunnlaget for sanksjon i de aktuelle sakene, og hva virksomheter dermed bør ha særlig i tankene i arbeidet med personvern framover.
NAV: Interne rutiner og systemer
I november 2023 ble NAV ilagt et gebyr på 20 millioner kroner for det Datatilsynet mente var forsettlige brudd på personvernlovgivningen. Bakgrunnen var manglende interne rutiner, tiltak og systemer.
Datatilsynet åpnet tilsyn mot NAV i september 2023, og i november kom varsel om gebyr og flere pålegg. Tilsynet avdekket flere angivelige brudd på personvernlovgivningen, der gjennomgangstemaet var dårlige rutiner for tilgang, håndtering og oppbevaring av personopplysninger.
Av bruddene som ble påpekt, var blant annet:
- For dårlige rutiner for tilgangsstyring, og at den styrende dokumentasjon for hvem som skulle ha tilgang til hvilke personopplysninger manglet tilstrekkelige tiltak for å sikre etterlevelse.
- Manglende opplæringen av identadministratorer, og at rutinene for tildeling av tilganger var utdaterte og uklare.
- Tilgangen til historisk data var for generell, og NAV hadde ikke tilfredsstillende rutiner for årlig revisjon av tilganger som skulle gjennomføres av enhetsledere.
- NAV hadde organisert seg på en måte som gjorde at for mange ansatte fikk tilgang til personopplysninger.
- Den interne opplæringen i personvern og håndtering av personopplysninger, var utilstrekkelig.
De øvrige bruddene Datatilsynet fant, knyttet seg til manglende rutiner for risikovurdering, at enkelte sikkerhetstiltak ikke var tilpasset risikoen ved behandlingen og at NAV ikke i tilstrekkelig grad hadde etablert et styringssystem med egnede tiltak for å sikre at behandlingen av personopplysninger var i samsvar med regelverket.
Saken understreker viktigheten av å ha god internkontroll i virksomheten. Det bør jevnlig gjennomføres kontroll med de rutinene som er etablert for håndtering av personopplysninger, og budd på denne plikten blir særlig alvorlig når behandlingen skjer i stor skala og gjelder opplysninger av sensitiv karakter.
NAV ga nylig en tilbakemelding vedrørende Datatilsynets varsel, og Datatilsynet vil fatte endelig vedtak etter å ha vurdert eventuelle innspill fra NAV.
SATS: Ivaretakelse av personvernrettigheter
I saken mot SATS var fokuset på SATS' angivelige (manglende) ivaretakelse av registrertes rettigheter.
Etter å ha mottatt klager fra flere av SATS sine kunder, ila Datatilsynet SATS et gebyr på 10 millioner kroner i februar 2023 for brudd på registrertes rett til informasjon, innsyn og sletting. I tillegg fant Datatilsynet at SATS manglet rettslig grunnlag til å behandle data om kundenes treningshistorikk.
Saken mot SATS er en påminnelse om viktigheten av rettighetene de registrerte har etter personvernlovgivningen. Det er den behandlingsansvarlige som skal sørge for at disse ivaretas, og virksomheten bør ha faste rutiner for å sørge for at registrertes rettigheter etterleves. Dette inkluderer en rutine for å gjennomgå og oppdatere personvernerklæringen, og at henvendelser fra registrerte som ber om å få tilgang til eller få slettet personopplysninger, blir håndtert på riktig måte. Manglende rutiner for å håndtere henvendelser fra registrerte kan føre til at prosessen blir både tid- og ressurskrevende, og at risikoen for at henvendelsen ikke besvares i tide øker.
SATS-saken viser også viktigheten av å gjøre gode vurderinger knyttet til rettslig grunnlag for behandling av personopplysninger. En protokoll over behandlingsaktiviteter er et godt verktøy for jevnlig å gjennomgå alle personopplysninger virksomheten behandler, og identifisere om man (fortsatt) har grunnlag for å behandle dem.
Meta: Personvern og bruk av sporingsteknologi
Sist, men ikke minst, viste tilsynsmyndighetene i 2023 håndhevingsmuskler knyttet til bruk av sporingsteknologi for markedsføringsformål.
Selskapet Meta, som eier Facebook og Instagram, ble ilagt til sammen 390 millioner euro i gebyr av datatilsynsmyndigheten i Irland for denne typen brudd. Samtidig ble Meta pålagt å rette opp i den ulovlige praksisen innen en gitt frist. Det norske Datatilsynet mente Meta ikke hadde rettet opp i bruddet innen fristen, og ga selskapet en ny frist for retting i Norge. Som sanksjon for ikke å rette opp innen den nye fristen, ble Meta ilagt dagbøter på 1 million kroner.
Saken har gått sin gang i EU-systemet, og i høst konkluderte EUs personvernråd (EDPB) med at det norske vedtaket skulle gjøres permanent og utvides til hele EU/EØS. Datatilsynsmyndigheten i Irland har vedtatt det utvidede pålegget mot Meta, og saken går trolig videre i rettssystemet der.
Sentralt i saken sto spørsmålet om hvilket rettslig grunnlag Meta kunne basere seg på for å behandle personopplysninger for atferdsbasert markedsføring. Meta hadde som utgangspunkt at behandlingen var basert på berettiget interesse. I vedtaket mente Datatilsynet at vurderingene som lå til grunn for dette ikke var tilstrekkelige, og fant at Meta ikke kunne dokumentere at de hadde rettslig grunnlag for den behandlingen som ble gjort. Datatilsynet mente også at Meta ikke tilstrekkelig hadde ivaretatt retten til å protestere.
Saken mot Meta viser viktigheten av å gjøre gode vurderinger av rettsgrunnlaget for behandling av personopplysninger, og at disse er dokumentert. Dersom behandlingen beror på berettiget interesse er dette særlig viktig. Virksomheten må vise at det er gjort en riktig avveining av interessene til virksomheten, og de fundamentale rettighetene til individet.
På tross av rettslige prosesser har Meta fortsatt behandlingen av personopplysninger for atferdsbasert markedsføring og har, som et alternativt rettsgrunnlag, valgt å hente inn samtykke fra brukerne sine. Datatilsynet har varslet at de sammen med øvrige europeiske tilsyn også vil se på om dette er tilstrekkelig, særlig i lys av at Meta krever betaling for brukere som ikke samtykker.
Oppsummert: Viktig å holde orden og dokumentere
Trenden med at brudd på personvernregelverket sanksjoneres strengt, ser ikke ut til å snu med det første. Vi ser også at Datatilsynet kan anse personvernbrudd som alvorlige, uavhengig av om de faktiske konsekvensene av bruddet er illustrert gjennom én eller flere enkeltpersoners konkrete tilfelle.
De tre nevnte sakene fra året som er gått, er alle eksempler på hvor galt det kan gå hvis Datatilsynet mener at man ikke har orden i sysakene. Sakene illustrerer behovet for å sikre gode rutiner og vurderinger, samt å dokumentere dem.
Vårt advokatteam kan bistå med alt fra å sikre at din virksomhet etterlever personvernregelverket, til utarbeidelse av interne personvernrutiner og avtaleverk for å sikre beskyttelse av personopplysninger.
