Personvernnemnda opprettholder gebyr til Argon Medical Devices
Personvernnemnda har behandlet Argon Medical Devices sin klage på Datatilsynets vedtak fra 2023. De konkluderer med at vedtaket om overtredelsesgebyret er gyldig.
Datatilsynet ga i mars 2023 det amerikanske selskapet Argon Medical Devices et overtredelsesgebyr på 2,5 millioner kroner for brudd på personvernforordningen. På grunn av lang saksbehandlingstid frem til behandling i Personvernnemda, ble gebyret satt ned til 1,5 millioner kroner.
Det er dette gebyret Personvernnemda nå opprettholder.
Bakgrunn
I juli 2021 oppdaget Argon et sikkerhetsbrudd som gjaldt personopplysningene til alle deres europeiske ansatte, inkludert i Norge. Argon sendte Datatilsynet en melding om brudd på personopplysningssikkerheten (avviksmelding) først i september 2021, lenge etter 72-timersfristen for å melde slike brudd. Sikkerhetsbruddet gjaldt personopplysninger som kan bli brukt til svindel og identitetstyveri.
Argon mente at de ikke trengte å melde sikkerhetsbruddet før etter at de hadde fullstendig oversikt over hendelsen og alle konsekvensene av den. Denne oppfatningen var nedfelt i rutinene deres, og det var dette som var utgangspunktet for forsinkelsen.
Vi var uenig i denne vurderingen. Reglene sier at 72-timersfristen for å sende melding begynner å løpe når den behandlingsansvarlige blir klar over at det har skjedd et brudd på personopplysningssikkerheten. Denne saken er en viktig påminnelse om at behandlingsansvarlige virksomheter må ha på plass egnede tiltak for å kunne fastslå om det har funnet sted et brudd, og for omgående å underrette tilsynsmyndigheten og den registrerte.
I vurderingen har vi blant annet lagt vekt på Personvernrådets retningslinjer. Disse slår fast at den behandlingsansvarlige ikke kan vente til etter at detaljerte undersøkelser er gjennomført før man sender melding til den aktuelle tilsynsmyndigheten.
Viktige avklaringer om saksbehandlingstid
Datatilsynet mottok Argons klage på vedtaket om gebyr, og etter en gjennomgang, ble klagen oversendt til Personvernnemnda for endelig avgjørelse.
Personvernnemnda var enige i utmålingen av gebyret. De la i likhet med oss vekt på retningslinjene til Personvernrådet.
Nemnda kommer også med viktige avklaringer om når saksbehandlingstid fører til reduksjon i størrelsen på overtredelsesgebyr. Disse avklaringene kan få betydning i andre saker. Det angis noen veiledende utgangspunkter for reduksjon av overtredelsesgebyr på grunn av lang saksbehandlingstid:
- liggetid på 1 år tilsier en gebyrreduksjon på 0–10 prosent
- 1-2 år tilsier en reduksjon på 10-20 prosent
- liggetid på 3-5 år tilsier en reduksjon på 30-50 prosent.
Personvernnemnda
Personvernnemnda er et klageorgan for vedtak fattet av Datatilsynet. Personvernnemnda er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Nemnda skal behandle klager på vedtak som Datatilsynet fatter i medhold av personopplysningsloven og enkelte andre lover.
Videoforedrag: Når utgjør en sikkerhetshendelse et brudd på personopplysningssikkerheten?
Vi forklarer virksomheters plikt til å risikovurdere sikkerhetshendelser og avgjøre om de utgjør brudd på personopplysningssikkerheten etter personvernforordningen. Vi går videre gjennom meldeplikten til Datatilsynet, varsling av berørte ved høy risiko, samt hvordan varsling kan skje og unntak som kan gjelde.
