Norge: Statens pensionsfond bötfälls med 1 miljon norska kronor för olaglig behandling av inkomstuppgifter

Den norska dataskyddsmyndigheten Datatilsynet har bötfällt Statens pensionsfond (SPK) med en miljon norska kronor för brott mot artiklarna 5.1 (c), 5.1 (e) och 6.1 i dataskyddsförordningen (GDPR).

Av beslutet framgår att ärendet startade med en anmälan om en personuppgiftsincident från SPK i september 2019. Av anmälan framgick att SPK inhämtat inkomstuppgifter från Skatteverket sedan 2016, och att en del av uppgifterna innehållit känsliga personuppgifter som inte borde ha samlats in, eftersom uppgifterna inte var nödvändiga för SPK:s egna beräkningar. Enligt SPK har de fram till 2019 inte haft några rutiner för att granska och radera den överskottsinformation som samlats in.

Datatilsynet konstaterade efter en genomgång av ärendet att SPK saknade tillräckliga kontroller för att förhindra import och lagring av onödig inkomstinformation, att SPK inte hade någon raderingsfunktion för att radera sådan information och att SPK gav sina anställda tillgång till informationen på individuell nivå. I detta avseende konstaterade Datatilsynet även att SPK brutit mot principerna om uppgiftsminimering i artikel 5.1 (c) och lagringsminimering i artikel 5.1 (e) GDPR, och att personuppgifterna, inklusive känsliga personuppgifter, behandlats utan rättslig grund i strid med artikel 6.1 GDPR.

Datatilsynet uppgav vidare att myndigheten ursprungligen bötfällt SPK med 1,5 miljoner norska kronor innan böterna sänktes till 1 miljon norska kronor med hänsyn till följande förmildrande omständigheter:

  • SPK:s genomförande av relevanta förmildrande åtgärder efter överträdelsen.
  • Det faktum att SPK rapporterade överträdelsen till Datatilsynet.
  • Överträdelsen ägde delvis rum innan GDPR trädde i kraft.
  • Datatilsynets handläggningstid på nästan ett år.

SPK har tre veckor på sig att överklaga Datatilsynets beslut.

Du kan läsa pressmeddelandet här och beslutet här, båda endast tillgängliga på norska.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.