Datatilsynet ilegger overtredelses­gebyr for GDPR-brudd

Gebyr på kr. 400 000 for automatisk videresending av arbeidstakers e-post

Datatilsynet opplyser at de har ilagt en virksomhet et overtredelsesgebyr på kr. 400 000 for ulovlig automatisk videresending av en ansatt sin e-post.

Den automatiske videresendingen ble aktivert i forbindelse med at den ansatte var sykemeldt. Datatilsynet ble kjent med saken ved at den ansatte klaget sin arbeidsgiver inn.

Vedtaket er unntatt offentligheten for å skjerme klagerens identitet. 
Du kan lese mer om saken på Datatilsynets egne sider her.

Gebyr på kr. 400 0000 for ulovlig deling av kameraovervåkning

Coop Finnmark SA ble den 22. desember 2020 ilagt et overtredelsesgebyr på kr. 400 000 som følge av ulovlig deling av et kameraopptak fra en butikk.

En butikksjef oppdaget tyveri via butikkens kameraovervåkning. Butikksjefen filmet kameraovervåkningen med sin mobil, og sendte opptaket på ca. 3 sekund til en bekjent med spørsmål om dette var vedkommende sin sønn. Mottaker av opptaket sendte filmen videre til sin sønn med spørsmål om det var han som viste på opptaket. Det var det ikke, men gutten sendte videoen videre og på ett tidspunkt nådde videoen frem til de som var avbildet på opptaket.

Datatilsynet konkluderte med at butikken ikke hadde behandlingsgrunnlag for utlevering av opptaket. Ved vurderingen av overtredelsesgebyrets størrelse, ble det vektlagt at opptaket viste barn. Det ble også vektlagt at gebyrets størrelse var lavt i lys av Coop Finnmark SA sin omsetning.
Du kan lese mer om saken og se vedtaket her.

Gebyr på kr. 200 000 for offentliggjøring av elevmappe på kommunens nettside

Indre Østfold kommune ble den 16. november 2020 ilagt et overtredelsesgebyr på kr. 200 000 for deling av konfidensielle personopplysninger på kommunen sin hjemmeside.

Saken gjaldt en elev som anmodet om innsyn i sin elevmappe. Kommunen har som rutine at innsynsbegjæringer journalføres. Dette medførte også at elevmappen som ble begjært innsyn i, ble skannet og gjort tilgjengelig på kommunens nettside. Mappen var tilgjengelig for allmenheten i 4 dager, før kommunen mottok tips fra en lokal journalist.
Du kan lese mer om saken og se vedtaket her.

Gebyr på kr. 75 000 og kr. 100 000 for ulovlig kredittvurdering

Selskapet Gveik AS ble den 12. desember 2020 ilagt et overtredelsesgebyr på kr. 75 000 for å ha gjennomført en kredittvurdering av en person som verken hadde et kunde- eller avtaleforhold som kunne gi rettslig grunnlag for gjennomføring av kredittvurderingen.

Formålet med kredittvurderingen var privat, og lå utenfor selskapets forretningsområde. Ved fastsettelsen av gebyret ble det vektlagt at selskapets siste tilgjengelige regnskap viste driftsinntekter på kr. 0,- og et negativt årsresultat på kr. 30 000,-. Du kan lese vedtaket her.

Selskapet Lindstrand Trading AS ble den. 3. desember 2020 ilagt et overtredelsesgebyr på kr. 100 000 for fire kredittvurderinger som ble gjennomført uten rettslig grunnlag. I skjerpende retning ble det bl.a. vektlagt at selskapet ikke hadde skriftlige rutiner for å etterleve personvernregelverket. Lindstrand Trading har påklaget saken.
Du kan lese mer om saken og se vedtaket her.

Varsel om overtredelsesgebyr til Statens Vegvesen på kr. 4 millioner

Statens Vegvesen ble i februar 2020 varslet om ileggelse av overtredelsesgebyr på kr. 4 millioner. Dette er det høyeste gebyret som er varslet i Norge til nå. Varselet gjelder manglende sletting av passeringsopplysninger i bomringen. Opplysningene er blitt lagret i et eldre datasystem som ikke har mulighet for automatisk sletting. 

Gebyret er kun varslet, og vedtaket er derfor ikke endelig. Du kan lese mer om saken og se varselet her.

Opptrer din virksomhet i tråd med GDPR-regelverket?

Lurer du på om din bedrifts behandling av personopplysninger er i samsvar med regelverket, vil vi anbefale at du tar vår personvernsjekk.