Datatilsynet har utfärdat en sanktionsavgift på 2,5 miljoner norska kronor mot Argon Medical Devices, Inc. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Argon Medical Devices i juli 2021 upptäckt en personuppgiftsincident som påverkade personuppgifter för alla bolagets europeiska anställda, inklusive i Norge. Argon Medical Devices gjorde dock en anmälan om inträffad personuppgiftsincident till Datatilsynet först i september 2021, långt efter kravet på 72 timmar enligt artikel 33 GDPR. Personuppgiftsincidenten gällde personuppgifter som kan användas för bedrägeri och identitetsstöld.
Argon Medical Devices ansåg att bolaget inte behövde rapportera personuppgiftsincidenten förrän efter att de fått en fullständig överblick över händelsen och alla dess konsekvenser. Denna uppfattning fastställdes i bolagets rutiner, och detta var utgångspunkten för den sena anmälan.
Datatilsynet håller inte med om Argon Medical Devices bedömning. I artikel 33 GDPR anges att den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till tillsynsmyndigheten. Man kan således enligt Datatilsynet inte vänta med att skicka en anmälan till tillsynsmyndigheten tills alla omständigheter kring överträdelsen är klarlagda.
I bedömningen framhåller Datatilsynet bland annat förordningens utformning och myndighetens riktlinjer. Riktlinjerna säger att den personuppgiftsansvarige inte kan vänta tills efter att detaljerade undersökningar har genomförts med att skicka en anmälan till myndigheten. Datatilsynet har också betonat att Argon Medical Device är en stor internationell koncern som måste ha goda säkerhetsrutiner på plats.
Den påförda sanktionsavgiften på 2,5 miljoner norska kronor är cirka 2,5 % av maxavgiften för sådana överträdelser av förordningen och 0,1 % av Argon Medical Devices omsättning.