Datatilsynet har bötfällt Trumf AS med 5 miljoner norska kronor för brott mot bland annat artiklarna 32, 33.1 och 33.5 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Trumf är ett förmånsprogram som erbjuder privatpersoner att spara bonusar på köp i NorgesGruppens matbutiker och hos ett antal externa Trumf-partners. Medlemmar i förmånsprogrammet kan registrera ett bankkontonummer så att en bonus sparas för de transaktioner de utför med bankkort kopplade till bankkontot. Trumf-medlemmen får sedan tillgång till detaljerad information om köp gjorda i butikerna associerade med Trumf. Information om var medlemmen handlade, när medlemmen handlade och vad medlemmen handlade finns tillgänglig genom att logga in på Trumfs webbplats.
Den 1 mars 2016 hölls ett möte mellan Trumf och Datatilsynet. Mötet var initierat av Datatilsynet och baserades på ett tips till myndighetens vägledningstjänst i februari 2016. Tipset bestod i att en person försökt ange sitt eget kontonummer på sitt eget Trumf-medlemskap. Detta var dock inte möjligt eftersom en okänd person redan hade registrerat hans kontonummer. Personen i fråga hade inte fått information om att hans kontonummer redan var registrerat hos Trumf.
I juli 2016 underrättades Trumf om ett beslut där Datatilsynet klargjorde hur viktigt det var att säkerställa verifiering av kontoinnehavaren, så att inga Trumf-medlemmar kunde registrera andras bankkonto och på så sätt få tillgång till personuppgifter om dem. Trumf svarade med att en sådan verifiering snart skulle genomföras varför Datatilsynet avslutade ärendet. 2020 fick Datatilsynet information om att en sådan verifieringslösning ändå inte hade införts av Trumf.
Mot denna bakgrund konstaterar Datatilsynet att Trumf inte implementerat lämpliga tekniska och organisatoriska åtgärder för att uppnå en lämplig säkerhetsnivå enligt artikel 32 GDPR. Datatilsynet lyfte dessutom fram att Trumf, genom att inte rapportera ett betydande antal förfrågningar om felaktiga registreringar och dokumentera dessa som personuppgiftsincidenter, brutit mot artikel 33.1 respektive 33.5 GDPR.
Datatilsynet beslutade att Trumf skulle betala en sanktionsavgift på 5 miljoner norska kronor då NorgesGruppen ASA är den enda aktieägaren i Trumf. Sanktionsavgiften beräknats till ca 0,0005 % av NorgesGruppens omsättning för det föregående året.
Trumf har till och med den 14 januari 2022 på sig att lämna in sina kommentarer på Datatilsynets beslut.