Overtredelsesgebyr til Argon Medical Devices

Datatilsynet har vedtatt å ilegge det amerikanske selskapet Argon Medical Devices et overtredelsesgebyr på 2,5 millioner kroner, for brudd på personvernforordningen.

I juli 2021 oppdaget Argon et sikkerhetsbrudd som gjaldt personopplysningene til alle deres europeiske ansatte, inkludert i Norge. Argon sendte en avviksmelding til Datatilsynet først i september 2021, lenge etter 72-timersfristen for å melde brudd etter forordningens artikkel 33. Sikkerhetsbruddet gjaldt personopplysninger som kan bli brukt til svindel og identitetstyveri.

Argon mente at de ikke trengte å melde sikkerhetsbruddet før etter at de hadde fullstendig oversikt over hendelsen og alle konsekvensene av den. Denne oppfatningen var nedfelt i rutinene deres, og det var dette som var utgangspunktet for forsinkelsen.

72-timersfrist for brudd

Datatilsynet var uenig i Argons vurdering. Personvernforordningen sier at 72-timersfristen for å sende melding begynner å løpe når den behandlingsansvarlige blir klar over at det har skjedd et personopplysningssikkerhetsbrudd. Med andre ord kan man ikke vente med å sende slik melding til alle omstendigheter ved bruddet er klarlagt.

I vurderingen har Datatilsynet blant annet lagt vekt på ordlyden i loven og Personvernrådets retningslinjer. Retningslinjene slår fast at den behandlingsansvarlige ikke kan vente til etter at detaljerte undersøkelser er gjennomført før man sender melding til Datatilsynet. Datatilsynet har også lagt vekt på at Argon er et stort internasjonalt konsern, som må ha gode personvernrutiner på plass.

Viktig påminnelse

Denne saken er en viktig påminnelse om at behandlingsansvarlige – inkludert de som er etablert utenfor EØS – må ha på plass egnede tiltak for omgående å kunne fastslå om det har funnet sted et brudd på personopplysningssikkerheten, og for omgående å underrette tilsynsmyndigheten og den registrerte.

Overtredelsesgebyret på 2,5 millioner kroner utgjør cirka 2,5% av maksimalt gebyr for slike brudd på personvernforordningen, og 0,1 % av Argon sin omsetning.

Saken føyer seg inn i en rekke av lignende saker i Europa. For eksempel har Twitter (edpb.europa.eu) og Booking.com (edpb.europa.eu) tidligere fått gebyrer på ca. 4,5 millioner kroner hver for brudd på fristen i artikkel 33. I begge tilfellene samarbeidet datatilsynsmyndighetene i Europa om sakene.

Argon kan klage på vedtaket innen tre uker etter at det ble mottatt. 

Last ned