Abonner
JUSS OG SAMFUNN

Datatilsynet med millionbot til amerikansk selskap

Selskapet brukte 67 dager på å melde avvik til Datatilsynet. Fristen er på 72 timer.

− En viktig påminnelse om at behandlingsansvarlige også utenfor EØS må ha rutiner på plass, skriver Datatilsynet, her ved Direktør Line Coll.
− En viktig påminnelse om at behandlingsansvarlige også utenfor EØS må ha rutiner på plass, skriver Datatilsynet, her ved Direktør Line Coll. Foto: Are Thunes Samsonsen
Del
1 Kommentar
Marianne GjessingMarianne GjessingJournalist
16. mars 2023 - 15:39

Datatilsynet har gitt Argon Medical Devices en bot på to og en halv million norske kroner.

Boten kommer for brudd på tidsfristen for å rapportere avvik til Datatilsynet. Det melder Datatilsynet på egne nettsider.

72-timersfristen

Artikkel 33 i GDPR slår nemlig fast at når en virksomhet opplever en hendelse som er et brudd på GDPR, skal de «uten ugrunnet opphold» og «senest 72 timer etter å ha fått kjennskap til det» sende avviksmelding til tilsynsmyndighetene.

Artikkelen fortsetter etter annonsen
annonsørinnhold
DNV Business Assurance
9001 og 27001 gir beste praksis for Mediehuset Andvord

− Fristen på 72 timer begynner å løpe fra det øyeblikket den behandlingsansvarlige blir klar over at det har skjedd et brudd på personopplsyningssikkerheten, understreker Datatilsynet.

Det er ikke rom for å vente til man har gjort detaljerte undersøkelser, slår de fast.

Argon mente ifølge Datatilsynet at de ikke trengte å melde avviket før de hadde «fullstendig oversikt over hendelsen og alle konsekvensen av den». Det var til og med nedfelt i rutinene til Argon.

Dermed brukte Argon hele 67 dager på å sende avviksmeldingen, etter å ha oppdaget at utenforstående hadde fått tilgang til en av ledernes e-postboks, og helt konkret et excel-ark som inneholdt persondata som lønn og frynsegoder til alle de europeiske ansatte, inkludert én norsk ansatt.

Argon oppdaget sikkerhetsbruddet i juli 2021, men ventet til september samme år med å melde det til det norske og andre europeiske datatilsyn. I mellomtiden hadde de blant annet inne et eksternt selskap som vurderte sikkerhetsbruddet.

Millionbot

Allerede i januar 2022 sendte Datatilsynet varsel om vedtak til Argon. Argon valgte å protestere på det varslede vedtaket skriftlig, men Datatilsynet står likevel ved sitt vedtak.

Bruddet berører krav som er sentrale for at håndhevingregimet til GDPR skal fungere, mener Datatilsynet. 

−  Overtredelsesgebyret på 2,5 millioner kroner utgjør cirka 2,5 prosent av maksimalt gebyr for slike brudd på personvernforordningen, og 0,1 prosent av Argon sin omsetning, skriver Datatilsynet.

En viktig påminnelse

− Denne saken er en viktig påminnelse om at behandlingsansvarlige – inkludert de som er etablert utenfor EØS – må ha på plass egnede tiltak for omgående å kunne fastslå om det har funnet sted et brudd på personopplysningssikkerheten, og for omgående å underrette tilsynsmyndigheten og den registrerte, skriver Datatilsynet.

Argon kan klage på vedtaket.

John Fredriksen fotografert i Oslo ved en tidligere anledning.
Les også

Datatilsynet gir John Fredriksen-selskap smekk for epost-innsyn

Les mer om:
JUSS OG SAMFUNN
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Tre jobbtilbud 10 måneder før masteravslutning!
Les mer
Tre jobbtilbud 10 måneder før masteravslutning!
Digitaliseringsdirektoratet (Digdir)
Digdir søker utviklere
Zrch AS
Senior Architect
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra