Datatilsynet har utfärdat en sanktionsavgift på 1 miljon norska kronor mot Statens pensionsfond (SPK) för brott mot artiklarna 5.1 (c), 5.1 (e) och 6.1 i dataskyddsförordningen (GDPR).
Av beslutet framgår att ärendet startade med en anmälan om en personuppgiftsincident från SPK i september 2019. Av anmälan framgick att SPK inhämtat inkomstuppgifter från Skatteverket sedan 2016, och att en del av uppgifterna innehållit känsliga personuppgifter som inte borde ha samlats in, eftersom uppgifterna inte var nödvändiga för SPK:s egna beräkningar. Enligt SPK har de fram till 2019 inte haft några rutiner för att granska och radera den överskottsinformation som samlats in.
Datatilsynet konstaterade efter en genomgång av ärendet att SPK saknade tillräckliga kontroller för att förhindra import och lagring av onödig inkomstinformation, att SPK inte hade någon raderingsfunktion för att radera sådan information och att SPK gav sina anställda tillgång till informationen på individuell nivå. I detta avseende konstaterade Datatilsynet även att SPK brutit mot principerna om uppgiftsminimering i artikel 5.1 (c) och lagringsminimering i artikel 5.1 (e) GDPR, och att personuppgifterna, inklusive känsliga personuppgifter, behandlats utan rättslig grund i strid med artikel 6.1 GDPR.
Sanktionsavgiften uppgick ursprungligen till 1,5 miljoner norska kronor, men sänktes till 1 miljon norska kronor efter följande förmildrande omständigheter:
- SPK:s genomförande av relevanta förmildrande åtgärder efter överträdelsen.
- Det faktum att SPK rapporterade överträdelsen till Datatilsynet.
- Överträdelsen ägde delvis rum innan GDPR trädde i kraft.
- Datatilsynets handläggningstid på nästan ett år.
- SPK har tre veckor på sig att överklaga Datatilsynets beslut