I sommer var det ett år siden den nye personvernforordningen trådte i kraft i Norge. Året har vært preget av en del skremselspropaganda og stor grad av usikkerhet rundt hvordan regelverket skal forstås. I kulissene har tilsynsmyndighetene jobbet med veiledninger og maler og det tegner seg etterhvert et tydeligere bilde av hvordan vi skal behandle personopplysninger lovlig. Samtidig har vi fått første store sakene om håndhevelse og ser at bøtenivået er betydelig. I dette nyhetsbrevet gjennomgår vi noen av de mest profilerte sakene som har vært behandlet av tilsynsmyndighetene i Europa og i Norge det siste året.
Personvernforordningen, også kjent som «GDPR», ble norsk lov i juli i fjor. Forordningen har som mål å sørge for god beskyttelse av personvernet, gi like regler for behandling av personopplysninger i det europeiske markedet og tilrettelegge for fri utveksling av slike opplysninger mellom EU/EØS-landene. Personvernforordningen gir den enkelte bedre kontroll på bruken av egne personopplysninger og pålegger virksomheter som behandler disse et større ansvar.
I løpet av dette året har tilsynsmyndighetene i Europa mottatt over 90 000 meldinger om avvik fra forordningens krav. Dette viser at bevisstheten rundt personvern har økt og at intensjonen om å styrke personvernet til europeiske borgere fungerer, i hvert fall på kort sikt.
I tillegg har tilsynsmyndighetene gjort egne undersøkelser og som følge av dette har flere selskaper og offentlige virksomheter blitt ilagt bøter som er vesentlig høyere enn det man er vant til etter gammelt regelverk. Det er nok en kjensgjerning at det fortsatt er mange virksomheter som har en vei å gå.
British Airways ilagt bot på nesten 2 milliarder kroner
I juni 2019 varslet den britiske tilsynsmyndigheten ICO en bot på ca. 180 millioner britiske pund - altså nærmere to milliarder norske kroner - til British Airways.
Bakgrunnen var en hendelse i september 2018 der brukere av British Airways’ hjemmesider ble omdirigert til en falsk nettside. Her ble de utsatt for et angrep av hackere, som fikk tak i personopplysningene til nærmere 500 000 kunder.
ICOs undersøkelser viste at det var en stor mengde informasjon knyttet til den enkelte kunde som ble urettmessig utlevert, herunder log in-informasjon, bankkortopplysninger og bookingopplysninger, i tillegg til navn og adresser. Hovedårsaken til ileggelsen av boten var at selskapet ikke hadde implementert tilstrekkelige sikkerhetstiltak ved behandlingen av kundenes personopplysninger og betalingsopplysninger. Mange norske kunder ble også berørt av dette.
Google også hardt rammet
I januar 2019 ila det franske datatilsynet CNIL, Google LLC en bot på 50 millioner euro, dvs. om lag 500 millioner norske kroner. Bakgrunnen var selskapets behandling av personopplysninger ved elektronisk målrettet markedsføring.
CNIL mente at Google ikke hadde gitt brukerne god nok informasjon om sin behandling av personopplysninger. Det ble blant annet vist til at informasjonen som ble gitt var spredt utover flere dokumenter, og at strukturen på informasjonen var egnet til å skape forvirring.
Videre ble det påpekt at samtykkene som Google hadde innhentet var ugyldige. Dette skyldtes at de som hadde samtykket ikke hadde fått tilstrekkelig informasjon og at denne ikke var spesifiserte i den grad som loven stiller krav om.
Det franske datatilsynet slo også ned på bruken av geografisk sporing. Ved bruk av Googles tjenester, ofte sammen med andre tredjepartsnettsider, ble store mengder informasjon lagret, sporet og registrert, uten at brukerne ble informert om dette på en lettfattelig måte.
Varsel om bot til Marriott International
I sommer varslet det britiske datatilsynet ICO ileggelse av nok en bot av betydelig størrelse, nå til hotellkjeden Marriott International, på 99 millioner britiske pund, altså i overkant av 1 milliard norske kroner. Dette skjedde etter at Marriott selv meldte et sikkerhetsbrudd til tilsynsmyndigheten i november 2018.
I 2016 kjøpte Marriott International konsernet Starwood Hotels, og sikkerhetsbruddet skjedde i systemene til Starwood. Feilen antas å ha ført til at personopplysninger til 339 millioner kunder skal ha blitt urettmessig utlevert. ICO mener at sikkerhetsbruddet kunne og burde ha blitt oppdaget av Marriott i forbindelse med oppkjøpet av Starwood og den undersøkelsen av selskapet som da ble gjennomført. Marriott International skal uttale seg om saken før det tas en endelig beslutning om boten.
Status i Norge
Også norske virksomheter har blitt ilagt eller fått varsel om bøter for brudd på personvernlovgivningen dette året.
Bergen kommune ble våren 2019 ilagt et overtredelsesgebyr på 1,6 millioner kroner for utilsiktet utlevering av personopplysninger. Saken hadde sin bakgrunn i en hendelse hvor filer med brukernavn og passord til over 35 000 brukere av et datasystem, ble tilgjengeliggjort for ansatte og elever i grunnskolen (andre brukere av datasystemet). Datatilsynet vurderte personopplysningssikkerheten i datasystemet for å være mangelfull. Alvorlighetsgraden medførte at tilsynet så det nødvendig med en økonomisk sanksjon for å sikre etterlevelse av regelverket.
For tiden pågår det også en sak mot Utdanningsetaten i Oslo kommune. I april varslet Datatilsynet ileggelse av et overtredelsesgebyr på 2 millioner kroner. Bakgrunnen var mangelfull informasjonssikkerhet ved bruk av appen Skolemelding som førte til at uvedkommende kunne logge seg inn og få tilgang til personopplysninger om andre elever, foresatte og ansatte. Potensielt gjaldt dette mer enn 63 000 elever i grunnskolen.
Hva betyr dette for din virksomhets behandling av personopplysninger?
I de sakene som har fått størst oppmerksomhet dette året har det vært fokus på sikring av personopplysninger. Å sørge for at personopplysninger ikke brukes ulovlig og hindre at uvedkommende får tilgang er helt essensielt, også fra et omdømme- og forretningsmessig ståsted. Du må også kunne dokumentere de tiltakene som er iverksatt.
Fremover er det grunn til å tro at tilsynsmyndighetene vil ha en mer strukturert tilnærming til sine tilsynsaktiviteter og se nærmere på konkrete bransjer, temaer og fagområder. Vi ser at det danske datatilsynet har offentliggjort sin plan for tilsynsaktiviteter høsten 2019 og vil sette søkelys på fire hovedtemaer: databehandlere, daglig overvåking, behandling av personopplysninger som skjer på løpende basis, personvern i arbeidsforhold og automatiserte avgjørelser og profilering. Vi venter spent på hvilke planer Datatilsynet har i Norge.
Har du spørsmål om behandling av personopplysninger og etterlevelse av personvernregelverket? Ta kontakt med Christine og Hedda.
