Norge: Statens pensionsfond bötfälls med 1 miljon norska kronor för olaglig behandling av inkomstuppgifter

Datatilsynet har bötfällt Statens pensionsfond (SPK) med en miljon norska kronor för brott mot artiklarna 5.1 (c), 5.1 (e) och 6.1 i dataskyddsförordningen (GDPR).

Av beslutet framgår att ärendet startade med en anmälan om en personuppgiftsincident från SPK i september 2019. Av anmälan framgick att SPK inhämtat inkomstuppgifter från Skatteverket sedan 2016, och att en del av uppgifterna innehållit känsliga personuppgifter som inte borde ha samlats in, eftersom uppgifterna inte var nödvändiga för SPK:s egna beräkningar. Enligt SPK har de fram till 2019 inte haft några rutiner för att granska och radera den överskottsinformation som samlats in.

Datatilsynet konstaterade efter en genomgång av ärendet att SPK saknade tillräckliga kontroller för att förhindra import och lagring av onödig inkomstinformation, att SPK inte hade någon raderingsfunktion för att radera sådan information och att SPK gav sina anställda tillgång till informationen på individuell nivå. I detta avseende konstaterade Datatilsynet även att SPK brutit mot principerna om uppgiftsminimering i artikel 5.1 (c) och lagringsminimering i artikel 5.1 (e) GDPR, och att personuppgifterna, inklusive känsliga personuppgifter, behandlats utan rättslig grund i strid med artikel 6.1 GDPR.

Datatilsynet uppgav vidare att myndigheten ursprungligen bötfällt SPK med 1,5 miljoner norska kronor innan böterna sänktes till 1 miljon norska kronor med hänsyn till följande förmildrande omständigheter:

  • SPK:s genomförande av relevanta förmildrande åtgärder efter överträdelsen.
  • Det faktum att SPK rapporterade överträdelsen till Datatilsynet.
  • Överträdelsen ägde delvis rum innan GDPR trädde i kraft.
  • Datatilsynets handläggningstid på nästan ett år.
  • SPK har tre veckor på sig att överklaga Datatilsynets beslut

Mer information

Myndighet: Datatilsynet

Land: Norge

Lagrum: Art. 5 GDPR, art. 6 GDPR

Sanktionsavgift: 1 000 000 norska kroner

Mottagare: Statens pensionsfond (SPK)

Beslutsnummer: 20/01893-12

Beslutsdatum: 2021-11-24

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.