Det opplyser NIF i en pressemelding. Gebyret er for brudd på personvernforordningen. NIF ble i desember i fjor varslet om at personopplysninger var tilgjengelig uten tilgangskontroll via en IP-adresse. Varselet kom fra sikkerhetsmyndighetene i Irland via Nasjonal sikkerhetsmyndighet (NSM).
– NIF beklager på det sterkeste at denne hendelsen skjedde, og ikke minst omfanget av de opplysninger som ble eksponert eksternt. Samtidig er jeg trygg på at de tiltakene vi iverksatte i etterkant av hendelsen, minimerer risiko for at dette kan skje igjen, sier generalsekretær Karen Kvalevåg i idrettsforbundet.
3,2 millioner personer
Datatilsynet begrunner sitt vedtak med at NIF har begått et klart brudd på flere grunnleggende plikter om behandling av personopplysninger som i hovedsak omfatter kontaktopplysninger og opplysninger om fødselsdato og klubbtilhørighet for 3,2 millioner personer.
Datatilsynet legger spesielt vekt på forholdet om at personopplysningene var eksponert i 87 dager, som tilsynet vurderer som en «betydelig periode». Tilsynet mener også at det er «svært skjerpende» at det i nesten en halv million av tilfellene dreide seg om personer i alderen 13 til 17 år.
– Urimelig
NIF synes gebyret på 2,5 millioner kroner er urimelig.
– Norges idrettsforbund tar Datatilsynets begrunnelse for utstedelse av overtredelsesgebyr til etterretning, men vil samtidig ta en vurdering av gebyrets størrelse, som vi oppfatter som urimelig høyt. Dette skyldes blant annet usikkerhet om hvorvidt Datatilsynet har benyttet relevant inntektsgrunnlag i beregningen av gebyret, og at konsekvensene av hendelsen mest sannsynlig har vært minimale for de berørte, sier Kvalevåg.
EU starter gransking av Tiktok
