Manglende overholdelse av GDPR kan koste millioner

Virksomheter som ignorerer lagringsbegrensningen kan få høye bøter, selv om dataene bare lagres i økonomisystemet.

Det er snart et år siden GDPR ble iverksatt, den 20. juli 2018.  GDPR står for General Data Protection Regulation, og er EUs personvernforordning som omfatter innsamling, bruk og oppbevaring av personopplysninger i alle virksomheter og organisasjoner. Regelverket er felles for alle EU og EØS-land. Formålet med reguleringen er å gi forbrukere bedre personvern.

    «Riset bak speilet» har vært store bøter til de som ikke overholder regelverket, opp til 20 millioner euro, eller 4% av selskapets globale omsetning, avhengig av hva som er høyest. Dette medførte strengere krav til rutiner og grundigere dokumentasjonsplikt i behandling av personopplysninger for bedrifter som behandler personopplysninger, og strengere krav til internkontroll, sikkerhet og IT-løsninger.

      Det er allerede gitt store GDPR-bøter i EU. Så langt har Google fått den hittil største boten for dårlig håndtering av persondata. Det franske datatilsynet ga i januar i år Google en bot på 50 millioner euro, eller rundt 500 millioner norske kroner, for brudd på GDPR-reglene. 

        Et annet eksempel er et sykehus i Portugal som ble bøtelagt med 3,9 millioner kroner i oktober 2018 etter at det ble avdekket at ansatte brukte falske profiler for å snoke i pasientjournaler. 

          Sikkerhetsbrudd

          I Norge er Bergen kommune ilagt et overtredelsesgebyr på 1,6 millioner kroner for brudd på personvernforordningen. Boten ble gitt på bakgrunn av at en elev varslet om at brukernavn og passord til 35.000 elever og ansatte i grunnskolen i Bergen lå åpent tilgjengelig for andre brukere. 

            Datatilsynet påla samtidig kommunen å innføre økt sikkerhet ved pålogging gjennom bruk av en tofaktor-løsning. Dette betyr at man i tillegg til brukernavn og passord må ha et ekstra sikkerhetssteg som sms-kode, BankID eller lignende for å logge på tjenesten.

              Ulovlig lagring av data

              3. juni i år publiserte det danske datatilsynet at de hadde ilagt møbelfirmaet IDdesign A/S en bot på 1,5 millioner danske kroner for å ikke ha slettet personopplysninger om ca. 385.000 kunder. Avgjørelsen er spesielt interessant fordi det denne gangen ikke er snakk om at personopplysninger er kommet på avveie, men «bare» at selskapet oppbevarte personopplysninger som skulle vært slettet. En praksis de neppe er alene om. 

                Boten er mellom annet begrunnet med manglende dokumentasjon av prosedyrer for sletting av personopplysninger. Ulovlig behandling og lagring av kundeinformasjon har blitt gjort i et gammelt ERP system som var i bruk i tre IDE-møbelbutikker.  Møbelselskapet hadde ikke definert når det ikke lenger var behov for å lagre kundeinformasjonen i det gamle systemet, og derfor var det ikke etablert noen rutine for sletting av informasjon i systemet. IDdesign oppga til Datatilsynet at totalt 823.178 kundenummer var lagret i det gamle systemet. 385.000 av kundene var registrert for over fem år siden. 

                  Datatilsynet konkluderte med at IDdesign ikke har oppfylt kravene i GDPR artikkel 5 nr. 1 bokstav e (lagringsbegrensning). IDdesign ble politianmeldt for dette forholdet.

                    Kjeden fikk også kritikk for sitt nye ERP system, fordi sletterutiner heller ikke her var ferdig implementert på tidspunktet for tilsynsbesøket.  

                      Tilsynsrapporten fra Danmark viser at myndighetene har vært svært grundig i gjennomgangen av selskapets ERP/CRM-systemer, noe vi enda ikke har sett i Norge.  Vi må imidlertid forvente at tilsyn her vil være like grundige, og at det også i Norge kan bli utstedt store gebyr som følge av manglende dokumentasjon og internkontrollrutiner. Det gjelder å ha implementert gode rutiner for behandling av personopplysninger. Her er det nok fortsatt mange som har en jobb å gjøre.

                        Du kan lese hele avgjørelsen fra det danske datatilsynet her.

                          Etter at GDPR-reglene trådte i kraft 20. juli i fjor har Datatilsynet fått inn rekordmange avviksmeldinger. GDPR-reglene åpner opp for høye bøter, så det kan komme flere slike saker i tiden som kommer. Historien til IDdesign viser at virksomheter kan få høye bøter, selv om dataene som skulle vært slettet «bare» lagres i et gammelt økonomisystem.

                            Legg igjen en kommentar

                            Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *