I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   documento 2023-04-24 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96717' · pdf

Overtredelsesgebyr til Argon Medical Devices

abstract:



Documento annotato il 24.04.2023 Fonte: GPDP
Link: https://www.datatilsynet.no/regelverk-og-verktoy/l




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni




index:




testo:

E

estimated reading time: 1 min

I juli 2021 oppdaget Argon et sikkerhetsbrudd som gjaldt personopplysningene til alle deres europeiske ansatte, inkludert i Norge. Argon sendte en avviksmelding til Datatilsynet først i september 2021, lenge etter 72-timersfristen for å melde brudd etter forordningens artikkel 33. Sikkerhetsbruddet gjaldt personopplysninger som kan bli brukt til svindel og identitetstyveri.

Argon mente at de ikke trengte å melde sikkerhetsbruddet før etter at de hadde fullstendig oversikt over hendelsen og alle konsekvensene av den. Denne oppfatningen var nedfelt i rutinene deres, og det var dette som var utgangspunktet for forsinkelsen.

72-timersfrist for brudd

Datatilsynet var uenig i Argons vurdering. Personvernforordningen sier at 72-timersfristen for å sende melding begynner å løpe når den behandlingsansvarlige blir klar over at det har skjedd et personopplysningssikkerhetsbrudd. Med andre ord kan man ikke vente med å sende slik melding til alle omstendigheter ved bruddet er klarlagt.

I vurderingen har Datatilsynet blant annet lagt vekt på ordlyden i loven og Personvernrådets retningslinjer. Retningslinjene slår fast at den behandlingsansvarlige ikke kan vente til etter at detaljerte undersøkelser er gjennomført før man sender melding til Datatilsynet. Datatilsynet har også lagt vekt på at Argon er et stort internasjonalt konsern, som må ha gode personvernrutiner på plass.

Viktig påminnelse

Denne saken er en viktig påminnelse om at behandlingsansvarlige – inkludert de som er etablert utenfor EØS – må ha på plass egnede tiltak for omgående å kunne fastslå om det har funnet sted et brudd på personopplysningssikkerheten, og for omgående å underrette tilsynsmyndigheten og den registrerte.

Overtredelsesgebyret på 2,5 millioner kroner utgjør cirka 2,5% av maksimalt gebyr for slike brudd på personvernforordningen, og 0,1 % av Argon sin omsetning.

Saken føyer seg inn i en rekke av lignende saker i Europa. For eksempel har Twitter (edpb.europa.eu) og Booking.com (edpb.europa.eu) tidligere fått gebyrer på ca. 4,5 millioner kroner hver for brudd på fristen i artikkel 33. I begge tilfellene samarbeidet datatilsynsmyndighetene i Europa om sakene.

Argon kan klage på vedtaket innen tre uker etter at det ble mottatt. 

Last ned


Link: https://www.datatilsynet.no/regelverk-og-verktoy/l

Testo del 2023-04-24 Fonte: GPDP




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su Overtredelsesgebyr til Argon Medical Devices e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza