Den 17. desember varslet Datatilsynet om det første overtredelsesgebyret under de nye reglene etter personvernforordningen (GDPR). Det var Bergen kommune som hadde eksponert personopplysninger til 35.000 brukere, og de er varslet et gebyr på kr 1,6 millioner for brudd på personopplysningssikkerheten, og da spesielt artikkel 32 i GDPR.
Det er ikke gitt at dette blir størrelsen på gebyret til slutt, siden Bergen kommune har rett til å uttale seg før endelig gebyr pålegges, men størrelsen på gebyret i varselet gir en viss indikasjon på størrelsen på gebyr fremover. Men med noen store forbehold:
- For det første er dette det første gebyret som gis i Norge under de nye reglene, og Datatilsynet må føle seg noe frem på hva nivået skal ligge på.
- For det andre er det en kommune, dvs. det offentlige, som fikk boten, og det kan være en viss forskjell på om bøter ilegges offentlige eller private (ja, jeg vet – det skal ikke være slik, men det er bekreftet i varselet at det har hatt betydning).
- For det tredje skal det være likhet for håndheving av GDPR i EØS-området, så bøtenivåene i andre land vil kunne påvirke nivået på bøter i Norge.
- Og til slutt, så er dette bare én sak og utmålingen av gebyrets størrelse er basert på individuelle forhold i den enkelte saken. Det må altså flere saker til for å skape presedens og gi forutberegnelighet for nivået fremover.
Men varselet gir også noen indikatorer på hva som vil kunne være nivået på gebyrer fremover, bl.a. at gebyrene blir vesentlig høyere enn tidligere (det er ca. dobbelt så høyt som maksnivået etter tidligere personopplysningslov). Beløpet er allikevel kun 1,6 % av maksnivået etter GDPR, som er 10 millioner euro for overtredelse av reglene om personvernsikkerhet.
I tillegg gir varselet også noen holdepunkter for hvordan utmåling av gebyr vil gjøres fremover:
Gebyret skal være så høyt at det er virkningsfullt, forholdsmessig (til bruddet) og virker avskrekkende for å forhindre senere brudd (både av samme behandlingsansvarlig samt av andre som behandler personopplysninger) (hvilket følger av artikkel 83).
Momentene i artikkel 83 benyttes til vurderingen av om det skal ilegges gebyr, samt til vurderingen av hvor stort gebyret som ilegges skal være. I denne saken fikk det spesielt betydning for størrelsen på gebyret:
- At det var personopplysninger (også) om barn, og at løsningen her var ikke frivillig for barna; barna var nødt til å benytte løsningen som en del av skoledagen.
- Det var mange registrerte på løsningen, dvs. personopplysningene omfattet mange personer.
- At bruddet ble ikke meldt inn til Datatilsynet da bruddet ble avdekket, og Datatilsynet hørte først om bruddet gjennom media. Kommunen hadde rutiner for avvikshåndtering, men disse rutinene var svake, og kommunen fulgte ikke rutinene og dette hadde konsekvens for at bruddet skjedde.
- At personopplysningene lå tilgjengelig usikret over lenger tid (bl.a. pga. bruddet ikke ble meldt til Datatilsynet, og at kommunen ikke forsøkte å redusere virkningene av bruddet, se nedenfor).
- Samme behandlingsansvarlig har vært pålagt å bruke sterk autentisering (som to-faktorautentisering) i andre tidligere saker, og sterk autentisering har vært generelt anbefalt av Datatilsynet.
- Både behandlingsansvarliges databehandler og personvernombudet hadde påpekt risikoen overfor den behandlingsansvarlige kommunen og påpekt at sterk autentisering var et nødvendig sikkerhetstiltak. Bergen kommune har altså vært klar over behovet med sterk autentisering, men valgt å ikke gjøre noe med det. Dette ble vektlagt spesielt.
- Kommunen har ikke forsøkt å redusere de negative virkningene av bruddet.
- Bruddet omfattet også særlige kategorier personopplysninger, bl.a. helseopplysninger knyttet til fravær.
- At Bergen kommune er Norges nest største kommune etter folketall, og at kommunen hadde et betydelig overskudd i 2017 på kr 1,1 milliarder ble også tillagt vekt.
Datatilsynet bemerker at kommunen har ikke «gjennomført tekniske og organisatoriske tiltak, som lever opp til prinsippet om innebygd personvern, jf. artikkel 25«. Om Datatilsynet her mener at kravene til innebygd personvern skal gjelde i eksisterende løsninger, er uklart. Andre Datatilsyn, bl.a. det danske, mener at kravet kun gjelder anskaffelser etter ikrafttredelse av GDPR.
Bergen kommune ble også pålagt å etablere to-faktorautentisering for løsningen siden det ble behandlet personopplysninger for barn i denne. Og det kan være greit å merke seg for alle som behandler personopplysninger om barn; det er bare å få på to-faktorautentisering med en gang.
Av varselet følger det også at det er kun hendelser som skjer etter 20. juli, dvs. da ny personopplysningslov og da personvernforordningen (GDPR) fikk virkning i Norge, hvor de nye reglene etter GDPR (og ikke tidligere personopplysningslov) som benyttes for utmåling av gebyr.
Datatilsynet presiserer også at brudd på de grunnleggende prinsippene i artikkel 5 får betydning (selv om prinsippene her er så generelle at de stort sett får betydning på det meste av brudd), og brudd på prinsippene i artikkel 5 kan isolert sett være grunnlag for gebyr.
Så viser også varselet at Datatilsynet legger til grunn at det må foreligge en klar sannsynlighetsovervekt (dvs. mer enn 50 % sannsynlig) at det foreligger en lovovertredelse for at det skal ilegges gebyr.
Kommunen har til 22. januar 2019 på å uttale seg.
Oppdatering: Se endelig vedtak her.