Overtredelsesgebyr til Sats
Datatilsynet varslet i høst et gebyr på 10 millioner kroner til Sats for brudd på flere bestemmelser i personvernforordningen. Vi har nå vurdert Sats’ merknader og sendt vedtak der vi opprettholder det varslede gebyret.
Datatilsynet varslet i høst et gebyr på 10 millioner kroner til Sats for brudd på flere bestemmelser i personvernforordningen. Vi har nå vurdert Sats’ merknader og sendt vedtak der vi opprettholder det varslede gebyret.
- Vår konklusjon er at Sats har brutt flere bestemmelser i personvernforordningen som gjelder de registrertes rett til informasjon, innsyn, sletting, samt virksomhetens mangel på rettslig grunnlag for å behandle visse personopplysninger, sier Line Coll, direktør i Datatilsynet.
Datatilsynet mottok flere klager på Sats i perioden 2018 til 2021. Klagene gikk ut på påståtte brudd på deres rettigheter etter personvernforordningen som kunder av treningssenterkjeden. Klagene var relatert til virksomhetens mangel på å etterkomme krav om innsyn og sletting.
- Ettersom klagene mot Sats hadde mange likheter, valgte vi å vurdere alle klagene i én samlet sak, sier Coll.
Etter å ha undersøkt alle klagene, er Datatilsynets konklusjon at Sats ikke har klart å imøtekomme de registrertes rettigheter til innsyn og til sletting på en tilfredsstillende måte. Videre har treningssenterkjeden manglet hjemmel til å behandle data om kundenes treningshistorikk.
- Datatilsynet har undersøkt virksomhetens samsvar med flere bestemmelser i personvernforordningen. At virksomheter oppfyller sine plikter relatert til brukernes rettigheter er helt sentralt for å ivareta et godt personvern. Vi ser derfor alvorlig på manglene vi har avdekket i våre undersøkelser, sier Coll.
Overtredelsesgebyr skal være virkningsfull, stå i et rimelig forhold til overtredelsen og virke avskrekkende.
Sats er Nordens største treningssenterkjede, og har treningssentre i Norge, Sverige, Danmark og Finland. Sats har hovedkontor i Norge, og derfor har Datatilsynet behandlet saken i samarbeid med flere tilsynsmyndigheter gjennom den såkalte one-stop-shop-mekanismen. Som ledende tilsynsmyndighet har Datatilsynet hatt hovedansvaret for å undersøke, behandle og fatte vedtak i saken.