Brudd på personopplysningsloven resulterte i gebyr på kr 400.000

Det vil straffe seg økonomisk å ikke oppfylle personopplysningslovens krav til internkontroll og databehandleravtaler.

Personvernnemnda har nylig stadfestet Datatilsynets vedtak om at selskapet Skan-Kontroll AS må betale overtredelsesgebyr for mangler ved selskapets internkontrollsystem og databehandleravtaler. Selskapet hadde heller ikke konsesjon fra Datatilsynet til å behandle sensitive personopplysninger.

Personvernnemnda fant at disse manglene representerer grove brudd på personopplysningsloven, som medfører alvorlige krenkelser av de interesser som loven verner. Nemnda satt gebyret skjønnsmessig til kr 400.000. Les avgjørelsen i sin helhet her.

Datatilsynet avdekker ofte at personopplysningslovens bestemmelser om internkontroll og databehandleravtaler ikke er etterlevd. Tilsynet sanksjonerer slike lovbrudd med relativt høye gebyrer, til tross for at de aktuelle bestemmelsene er krevende å forstå og å etterleve. Dette har vært kritisert fra ulike hold.

Nå har denne praksisen langt på vei blitt stadfestet av Personvernnemnda. Det er derved grunn til å tro at det også i fremtiden vil lønne seg å ha dokumentasjonen i orden, dersom Datatilsynet kommer på besøk.

Vi har eksperter på personvernlovgivningen som har lang erfaring fra Datatilsynet. Vi kan bistå med å etablere og revidere internkontrolldokumentasjon og databehandleravtaler, i tråd med tilsynets forventninger. Vi kan også bistå med å søke Datatilsynet om konsesjon for behandling av sensitive personopplysninger.

(For ordens skyld vil vi opplyse om at Cecilie Rønnevik var saksbehandler på denne saken, da den var til behandling i Datatilsynet)

Ta gjerne kontakt med en av oss i avdelingen for immaterialrett og personvern dersom dere ønsker bistand i forbindelse med å analysere hvilke tiltak som er nødvendige for deres virksomhet.

Tilknyttede personer