Abonner
JUSS OG SAMFUNN

Datatilsynet med millionbot til amerikansk selskap

Selskapet brukte 67 dager på å melde avvik til Datatilsynet. Fristen er på 72 timer.

− En viktig påminnelse om at behandlingsansvarlige også utenfor EØS må ha rutiner på plass, skriver Datatilsynet, her ved Direktør Line Coll.
− En viktig påminnelse om at behandlingsansvarlige også utenfor EØS må ha rutiner på plass, skriver Datatilsynet, her ved Direktør Line Coll. Foto: Are Thunes Samsonsen
Del
1 Kommentar
Marianne GjessingMarianne GjessingJournalist
16. mars 2023 - 15:39

Datatilsynet har gitt Argon Medical Devices en bot på to og en halv million norske kroner.

Boten kommer for brudd på tidsfristen for å rapportere avvik til Datatilsynet. Det melder Datatilsynet på egne nettsider.

72-timersfristen

Artikkel 33 i GDPR slår nemlig fast at når en virksomhet opplever en hendelse som er et brudd på GDPR, skal de «uten ugrunnet opphold» og «senest 72 timer etter å ha fått kjennskap til det» sende avviksmelding til tilsynsmyndighetene.

− Fristen på 72 timer begynner å løpe fra det øyeblikket den behandlingsansvarlige blir klar over at det har skjedd et brudd på personopplsyningssikkerheten, understreker Datatilsynet.

Det er ikke rom for å vente til man har gjort detaljerte undersøkelser, slår de fast.

Argon mente ifølge Datatilsynet at de ikke trengte å melde avviket før de hadde «fullstendig oversikt over hendelsen og alle konsekvensen av den». Det var til og med nedfelt i rutinene til Argon.

Dermed brukte Argon hele 67 dager på å sende avviksmeldingen, etter å ha oppdaget at utenforstående hadde fått tilgang til en av ledernes e-postboks, og helt konkret et excel-ark som inneholdt persondata som lønn og frynsegoder til alle de europeiske ansatte, inkludert én norsk ansatt.

Argon oppdaget sikkerhetsbruddet i juli 2021, men ventet til september samme år med å melde det til det norske og andre europeiske datatilsyn. I mellomtiden hadde de blant annet inne et eksternt selskap som vurderte sikkerhetsbruddet.

Millionbot

Allerede i januar 2022 sendte Datatilsynet varsel om vedtak til Argon. Argon valgte å protestere på det varslede vedtaket skriftlig, men Datatilsynet står likevel ved sitt vedtak.

Artikkelen fortsetter etter annonsen
annonsørinnhold
Tietoevry
Tok nytt grep - stanset svindelforsøk på 750.000 kr i løpet av to dager

Bruddet berører krav som er sentrale for at håndhevingregimet til GDPR skal fungere, mener Datatilsynet. 

−  Overtredelsesgebyret på 2,5 millioner kroner utgjør cirka 2,5 prosent av maksimalt gebyr for slike brudd på personvernforordningen, og 0,1 prosent av Argon sin omsetning, skriver Datatilsynet.

En viktig påminnelse

− Denne saken er en viktig påminnelse om at behandlingsansvarlige – inkludert de som er etablert utenfor EØS – må ha på plass egnede tiltak for omgående å kunne fastslå om det har funnet sted et brudd på personopplysningssikkerheten, og for omgående å underrette tilsynsmyndigheten og den registrerte, skriver Datatilsynet.

Argon kan klage på vedtaket.

John Fredriksen fotografert i Oslo ved en tidligere anledning.
Les også

Datatilsynet gir John Fredriksen-selskap smekk for epost-innsyn

Les mer om:
JUSS OG SAMFUNN
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Kreditorforeningen
Senior IT-konsulent
Kreditorforeningen
Bergen
30. apr.
    En tjeneste fra