13 største GDPR bøter vedtatt av Datatilsynet i Norge

Publisert 10. januar 2022
This post thumbnail

Privat næringsliv står i sum for de største bøtene, men stat og kommune vinner i antall bøter. Det står dessverre dårlig til i staten og kommune-Norge, for hele 8 av Norges 13 største GDPR-bøter er delt ut til statlige aktører eller norske kommuner. Her er hele listen:

1. Grindr - 65 millioner kroner

Grindr er et amerikansk selskap som har laget en datingapp for homofile med samme navn. Det norske Datatilsynet har vedtatt et overtredelsesgebyr på 65 millioner kroner til Grindr for brudd på samtykkekravene i personvernforordningen (GDPR).

2. Trumf AS - 5 millioner kroner

Hvem som helst kunne skaffe seg tilgang til andres handlehistorikk. Dette kunne man gjøre enkelt ved å opprette en Trumf profil og legge inn kontonummeret til den man ønsket å se handlehistorikken til. Det var altså ingen verifisering av eierskap til kontoen.

3. NAV - 5 millioner kroner

NAV publiserte CV-er til arbeidssøkere under oppfølging på en offentlig tilgjengelig portal. Denne publiseringen manglet samtykke fra den registrerte. NAV manglet meda andre ord et rettslig grunnlag for denne publiseringen.

4. Ferde AS - 5 millioner kroner

Bompengeselskapet Ferde ble i 2021 ilagt et overtredelsesgebyr på 5 millioner kroner av Datatilsynet. Selskapet skal blant annet ulovlig ha overført personopplysninger om norske bilister til Kina.

5. Østre Toten kommune - 4 millioner kroner

Toten kommune har blitt ilagt et overtredelsesgebyr på 4 millioner kroner av Datatilsynet. Kommunen er også pålagt å implementere et egnet styringssystem for informasjonssikkerhet og personopplysningssikkerhet. Bakgrunnen for saken er at kommunen i 2021 ble utsatt for et omfattende hacker-angrep som førte til at personopplysninger ble utilgjengelig for kommunen, men også at personopplysninger ble lekket på internett.

6. Stortinget - 2 million kroner

Stortinget ble ilagt en bot på to millioner kroner på grunn av manglende sikkerhetstiltak. Dette var konklusjonen etter at Stortinget hadde et datainnbrudd høsten 2020 hvor en rekke personopplysninger ble stjålet. .

7. Asker kommune - 1 million kroner

Asker kommune fikk ilagt et overtredelsesgebyr på én million kroner fra Datatilsynet i 2021. Gebyret ble gitt etter at kommunen publiserte taushetsbelagte personopplysninger og fødselsnummer på hjemmesiden sin.

8. Statens pensjonskasse - 1 million kroner

I 2021 fikk Statens pensjonskasse ilagt et overtredelsesgebyr på 1 million kroner fra Datatilsynet. Bakgrunnen for vedtaket er at Statens pensjonskasse har hentet inn unødvendige inntektsopplysninger om ca. 24 000 personer.

9. Innovasjon Norge - 1 million kroner

I 2021 vedtok Datatilsynet et overtredelsesgebyr på 1 million kroner til Innovasjon Norge. Saken gjelder kredittvurdering uten behandlingsgrunnlag.

10. St. Olavs hospital - 750 000 kroner

I 2021 vedtok Datatilsynet å gi St. Olavs hospital et overtredelsesgebyr på 750 000 kroner på grunn av manglende tilgangsstyring av mappeområder utenfor pasientjournalen.

11. Moss kommune - 500 000 kroner

I 2021 fikk Moss kommune ilagt et gebyr på 500 000 kroner for ikke å ha sikret personopplysninger godt nok.

12. BRAbank ASA - 400 000 kroner

BRAbank fikk et overtredelsesgebyr på 400 000 kroner for brudd på personvernforordningen. Saken gjaldt manglende risikovurdering og testing i forbindelse med lansering av en kundeportal for banktjenester.

13. Høylandet kommune - 400 000

I 2021 vedtok Datatilsynet å gi Høylandet kommune et overtredelsesgebyr på 400 000 kroner. Bildefiler med helseopplysninger om personer uten tilknytning til kommunen lå tilgjengelig for ansatte ved helsestasjonen.

Kilde: Datatilsynet.no

© 2022 GDPRControl. Av Anders Svensson og Jan Ove Skogheim.