15 største GDPR bøter vedtatt av Datatilsynet i Norge
Privat næringsliv står i sum for de største bøtene, men stat og kommune vinner i antall bøter. Det står dessverre dårlig til i staten og kommune-Norge, for hele 9 av Norges 15 største GDPR-bøter er delt ut til statlige aktører eller norske kommuner. Her er hele listen:
Unngå bøter selv. Her er en enkel oversikt over GDPR regler alle virksomheter bør følge.
1. Grindr - 65 millioner kroner
Grindr er et amerikansk selskap som har laget en datingapp for homofile. Det norske Datatilsynet har vedtatt et overtredelsesgebyr på 65 millioner kroner til Grindr for brudd på kravene til et samtykke i personvernforordningen (GDPR).
2. Sats ASA - 10 millioner kroner
Overtredelsesgebyr ilagt på bakgrunn av flere mangler i å overholde de registrertes rettigheter om innsyn og sletting. Datatilsynets konklusjon var også at Sats manglet hjemmel til å behandle data om kundenes treningshistorikk.
3. Trumf AS - 5 millioner kroner
Hvem som helst kunne skaffe seg tilgang til andres handlehistorikk. Dette kunne man gjøre enkelt ved å opprette en Trumf-profil og legge inn kontonummeret til den man ønsket å se handlehistorikken til. Det var altså ingen verifisering av eierskap til kontoen.
4. NAV - 5 millioner kroner
NAV publiserte CV-er til arbeidssøkere under oppfølging på en offentlig tilgjengelig portal. Denne publiseringen manglet samtykke fra den registrerte. NAV manglet med andre ord et rettslig grunnlag for denne publiseringen.
5. Ferde AS - 5 millioner kroner
Bompengeselskapet Ferde ble i 2021 ilagt et overtredelsesgebyr på 5 millioner kroner av Datatilsynet. Selskapet skal blant annet ulovlig ha overført personopplysninger om norske bilister til Kina.
6. Østre Toten kommune - 4 millioner kroner
Østre Toten kommune har blitt ilagt et overtredelsesgebyr på 4 millioner kroner av Datatilsynet. Kommunen er også pålagt å implementere et egnet styringssystem for informasjonssikkerhet og personopplysningssikkerhet. Bakgrunnen for saken er at kommunen i 2021 ble utsatt for et omfattende hacker-angrep som førte til at personopplysninger ble utilgjengelig for kommunen, samt at personopplysninger ble lekket på internett.
7. Argon Medical Devices - 2,5 millioner kroner
I mars 2023 ble Argon Medical Devices ilagt et overtredelsesgebyr på 2 500 000 for ikke å ha fulgt meldeplikten ved brudd på personopplysningssikkerheten. Fristen for å melde om brudd er 72 timer etter man er klar over at det har skjedd et personopplysningssikkerhetsbrudd.
8. Stortinget - 2 million kroner
Stortinget ble ilagt en bot på to millioner kroner på grunn av manglende sikkerhetstiltak. Dette var konklusjonen etter at Stortinget hadde et datainnbrudd høsten 2020 hvor en rekke personopplysninger ble stjålet.
9. Asker kommune - 1 million kroner
Asker kommune fikk ilagt et overtredelsesgebyr på én million kroner fra Datatilsynet i 2021. Gebyret ble gitt etter at kommunen publiserte taushetsbelagte personopplysninger og fødselsnummer på hjemmesiden sin.
10. Statens pensjonskasse - 1 million kroner
I 2021 fikk Statens pensjonskasse ilagt et overtredelsesgebyr på 1 million kroner fra Datatilsynet. Bakgrunnen for vedtaket er at Statens pensjonskasse har hentet inn unødvendige inntektsopplysninger om ca. 24 000 personer.
11. Innovasjon Norge - 1 million kroner
I 2021 vedtok Datatilsynet et overtredelsesgebyr på 1 million kroner til Innovasjon Norge. Saken gjelder kredittvurdering uten behandlingsgrunnlag.
12. St. Olavs hospital - 750 000 kroner
I 2021 vedtok Datatilsynet å gi St. Olavs hospital et overtredelsesgebyr på 750 000 kroner på grunn av manglende tilgangsstyring av mappeområder utenfor pasientjournalen.
13. Moss kommune - 500 000 kroner
I 2021 ble Moss kommune ilagt et gebyr på 500 000 kroner for ikke å ha sikret personopplysninger godt nok.
14. BRAbank ASA - 400 000 kroner
BRAbank fikk et overtredelsesgebyr på 400 000 kroner for brudd på personvernforordningen. Saken gjaldt manglende risikovurdering og testing i forbindelse med lansering av en kundeportal for banktjenester.
15. Høylandet kommune - 400 000
I 2021 vedtok Datatilsynet å gi Høylandet kommune et overtredelsesgebyr på 400 000 kroner. Bildefiler med helseopplysninger om personer uten tilknytning til kommunen lå tilgjengelig for ansatte ved helsestasjonen.
Kilde: Datatilsynet.no