Boka kurs

Norge: SATS får 10 miljoner norska kronor i sanktionsavgift för brott mot flera bestämmelser i GDPR

Linkedin Facebook X-twitter Envelope

Datatilsynet har utfärdat en sanktionsavgift på 10 miljoner norska kronor mot SATS ASA för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att SATS tillhandahåller fitness- och träningstjänster. Företaget har sitt huvudkontor i Norge och är även verksamt i Danmark, Finland och Sverige. Företaget har över 270 klubbar, cirka 9 000 anställda och mer än 700 000 medlemmar.

Enligt en av dessa medlemmar (registrerad 1) har SATS i maj 2018 överfört sina personuppgifter till andra företag inom sin företagsgrupp. SATS har också överfört uppgifter till Facebook, som är beläget utanför EU/EES, utan att det fanns en lämplig rättslig grund. Registrerad 1 hävdade vidare att en begäran om tillgång, som lämnats in den 29 augusti 2018, förblivit obesvarad. Registrerad 1 lämnade in ett klagomål Datatilsynet den 2 oktober 2018.

En annan medlem (registrerad 2), som redan sagt upp sitt medlemskap, hävdade att SATS inte svarat på en begäran om tillgång enligt artikel 15 GDPR som lämnades in den 25 februari 2019. SATS har också vägrat att uppfylla en begäran om radering enligt artikel 17 GDPR som lämnades in samma datum. Registrerade 2 lämnade in ett klagomål till Datatilsynet den 1 mars 2019.

En annan medlem (registrerad 3), som också hade avslutat sitt medlemskap, hävdade att SATS vägrat att följa en begäran om radering enligt artikel 17 GDPR, som lämnades in den 05 oktober 2019. Registrerad 3 lämnade in ett klagomål till Datatilsynet den 7 oktober 2019.

Den 7 september 2021 och den 5 oktober 2021 vände sig Datatilsynet formellt till SATS och bad företaget att bemöta de frågor som tagits upp i klagomål nr 2 och klagomål nr 3. SATS svarade den 1 december 2021.

Den 8 december 2021 tog Datatilsynet emot ännu ett klagomål från en medlem (registrerad 4) om SATS vägran att efterkomma en begäran om radering enligt artikel 17 GDPR, som lämnades in den 6 augusti 2021.

Den 23 mars 2022 skickade Datatilsynet ytterligare frågor till SATS om alla ovanstående klagomål och fick svar den 28 april 2022.

Trots att klagomålen kommit in under en lång tidsperiod beslutade Datatilsynet att behandla klagomålen gemensamt, med tanke på att samtliga klagomålen gällde liknande påstådda överträdelser, samt att det var bra för ”förfarandets effektivitet”.

Den 26 september 2022 skickade Datatilsynet ett förhandsavgörande till SATS om myndighetens avsikt att utfärda administrativa sanktionsavgifter på 10 000 000 norska kronor för överträdelse av flera bestämmelser i dataskyddsförordningen.

SATS svarade Datatilsynet den 31 oktober 2022 och hävdade bland annat att det var godtyckligt av Datatilsynet att sanktionera en överträdelse av artikel 12.3 GDPR och artikel 15 GDPR på grund av en underlåtenhet att besvara en begäran om tillgång som lämnats in ungefär en månad efter det att dataskyddsförordningen började att tillämpas i Norge, eftersom många företag vid den tidpunkten hade problem med att tillämpa de nya reglerna.

SATS hävdade också att Datatilsynets slutsats att företaget brutit mot både artikel 12.3 GDPR och artikel 15 GDPR skulle strida mot principen ne bis in idem (en processrättslig princip som innebär att samma sak får inte prövas två gånger). SATS hävdade vidare att bedömningen av huruvida en lagringsperiod är nödvändig i stor utsträckning är skönsmässig, och konstaterade att Datatilsynet inte har möjlighet att göra detta och borde avstå från att ifrågasätta företagets bedömning. SATS gjorde samma uttalande om valet av rättslig grund.

Trots SATS argument lämnade Datatilsynet den 30 december 2022 ett utkast till beslut till de andra berörda tillsynsmyndigheterna i enlighet med artikel 60.3 GDPR, vilket var i linje med ovanstående förhandsbeslut. Datatilsynet fick inga relevanta och motiverade invändningar från de andra berörda tillsynsmyndigheterna och upprätthöll därför sin förhandsbeslut.

Datatilsynet bedömde de olika argument som SATS framförde. Datatilsynet bedömde först argumentet att myndighetens beslut var godtyckligt, med tanke på att dataskyddsförordningen bara varit tillämplig i en månad och att många företag haft svårt att tillämpa lagen. Datatilsynet ansåg att detta argument var ohållbart, eftersom andra företags bristande efterlevnad inte var en giltig motivering för en överträdelse av dataskyddsförordningen som påbörjades i september 2018. Vidare pågick en av överträdelserna fortfarande fram till och med februari 2023.

Datatilsynet tog också hänsyn till SATS argument om ne bis in idem. Datatilsynet avvisade detta argument och erinrade om att principen ne bis in idem inte är tillämplig på en situation där flera påföljder åläggs i ett enda beslut, även om dessa påföljder åläggs för samma handlingar. När samma beteende strider mot flera bestämmelser som kan bestraffas med böter, faller frågan om huruvida flera böter kan åläggas i ett enda beslut inte inom ramen för principen ne bis in idem.

Slutligen tog Datatilsynet hänsyn till SATS argument att bedömningen av lagringstiden och valet av rättslig grund i stor utsträckning var skönsmässiga. Datatilsynet avvisade detta argument i båda avseenden och konstaterade att myndigheten var behörig att granska bedömningar som gjordes av en personuppgiftsansvarig för att säkerställa att denne uppfyllde sina skyldigheter.

I enlighet med artikel 58.2 GDPR utfärdade Datatilsynet administrativa sanktionsavgifter med 10 000 000 norska kronor för följande överträdelser:

  • SATS har brutit mot artiklarna 12.3 och 15 GDPR genom att underlåta att i tid agera på två separata begäran om tillgång till information.
  • SATS har brutit mot artiklarna 5.1 (e), 12.3 och 17 GDPR genom att underlåta att vidta snabba åtgärder och radera vissa personuppgifter utan onödigt dröjsmål i enlighet med tre separata framställningar om radering.
  • SATS har brutit mot artiklarna 5.1 (a), 12.1 och 13 GDPR genom att underlåta att vederbörligen informera de registrerade om sin policy för lagring av personuppgifter om medlemmar som inte längre är registrerade och om den relevanta rättsliga grunden för behandlingen.
  • SATS har brutit mot artiklarna 5.1 (a) och 6.1 GDPR genom att inte åberopa en giltig rättslig grund för att behandla uppgifter om träningshistorik för medlemmarna i sina center.

Mer information

Myndighet: Datatilsynet

Land: Norge

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 12 GDPR, art. 13 GDPR, art. 15 GDPR, art. 17 GDPR, art. 58 GDPR, art. 83 GDPR

Sanktionsavgift: 10 000 000 norska kronor

Mottagare: SATS ASA

Beslutsnummer: 20/02422-9

Beslutsdatum: 2023-02-06

Källa: Beslut

Relaterade nyheter

Sverige: IMY publicerar rapport om AI-bolagens ansvarsroller enligt GDPR

EU: Kommissionen publicerar uppförandekod för märkning av AI-genererat innehåll

USA: Trump utfärdar presidentorder om avancerad AI och cybersäkerhet

EU: Kommissionen föreslår ny förordning om moln- och AI-infrastruktur

USA: AI-verktyg för kodning leder till ökade kostnader och fler produktionsfel

Tyskland: Domstol tillerkänner registrerad 3 000 euro i skadestånd för olaglig spårning via affärsverktyg på sociala medier

Sverige: NCSC publicerar rekommendationer för övergång till kvantsäker kryptografi

Sverige: Regeringen beslutar om molnpolicy för offentlig förvaltning

USA: Majoriteten av anställda använder otillåtna AI-verktyg i arbetet

Österrike: Privatdetektiv saknade rättslig grund för fotografering av sjukskriven anställds partner

Fler nyheter

Är du redo för AI-förordningen?

AI-förordningen påverkar alla verksamheter som utvecklar eller använder AI. Gör dig och dina kollegor redo för de nya kraven. Gå AI-kurs med oss.

Till våra AI-kurser