Norge: Statens pensionsfond bötfälls med 1 miljon norska kronor för olaglig behandling av inkomstuppgifter

Datatilsynet har bötfällt Statens pensionsfond (SPK) med en miljon norska kronor för brott mot artiklarna 5.1 (c), 5.1 (e) och 6.1 i dataskyddsförordningen (GDPR).

Av beslutet framgår att ärendet startade med en anmälan om en personuppgiftsincident från SPK i september 2019. Av anmälan framgick att SPK inhämtat inkomstuppgifter från Skatteverket sedan 2016, och att en del av uppgifterna innehållit känsliga personuppgifter som inte borde ha samlats in, eftersom uppgifterna inte var nödvändiga för SPK:s egna beräkningar. Enligt SPK har de fram till 2019 inte haft några rutiner för att granska och radera den överskottsinformation som samlats in.

Datatilsynet konstaterade efter en genomgång av ärendet att SPK saknade tillräckliga kontroller för att förhindra import och lagring av onödig inkomstinformation, att SPK inte hade någon raderingsfunktion för att radera sådan information och att SPK gav sina anställda tillgång till informationen på individuell nivå. I detta avseende konstaterade Datatilsynet även att SPK brutit mot principerna om uppgiftsminimering i artikel 5.1 (c) och lagringsminimering i artikel 5.1 (e) GDPR, och att personuppgifterna, inklusive känsliga personuppgifter, behandlats utan rättslig grund i strid med artikel 6.1 GDPR.

Datatilsynet uppgav vidare att myndigheten ursprungligen bötfällt SPK med 1,5 miljoner norska kronor innan böterna sänktes till 1 miljon norska kronor med hänsyn till följande förmildrande omständigheter:

  • SPK:s genomförande av relevanta förmildrande åtgärder efter överträdelsen.
  • Det faktum att SPK rapporterade överträdelsen till Datatilsynet.
  • Överträdelsen ägde delvis rum innan GDPR trädde i kraft.
  • Datatilsynets handläggningstid på nästan ett år.
  • SPK har tre veckor på sig att överklaga Datatilsynets beslut

Mer information

Myndighet: Datatilsynet

Land: Norge

Lagrum: Art. 5 GDPR, art. 6 GDPR

Sanktionsavgift: 1 000 000 norska kroner

Mottagare: Statens pensionsfond (SPK)

Beslutsnummer: 20/01893-12

Beslutsdatum: 2021-11-24

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.