Norvegia: sanzione per ritardata comunicazione di data breach, valutata non grave

Tasse di trasgressione ai dispositivi medici Argon

La CPU ha deciso di coinvolgere la società statunitense Argon Medical Devices con una commissione di 2,5 milioni di dollari per la regolamentazione della privacy.
Overtredelsesgebyr til Argon Medical Devices

Nel luglio 2021, Argon ha scoperto una violazione della sicurezza che coinvolge le informazioni di tutti i loro dipendenti europei, anche in Norvegia. Argon ha inviato una discrespozione non al censimento nel settembre 2021, molto tempo dopo il termine di 72 ore per segnalare le violazioni dopo l'articolo 33 della legge. La violazione della sicurezza è stata applicata alle informazioni personali che possono essere utilizzate per frodi e furti di identità.

Argon credeva di non aver bisogno di denunciare la violazione della sicurezza fino a quando non avessero avuto una panoramica completa dell'incidente e di tutte le conseguenze di esso. Questa visione è stata incarnata nella loro routine, e questo è stato il punto di partenza per il ritardo.

72 ore di scadenza per la violazione.

La CPU non era d'accordo con la valutazione di Argon. La legge sulla protezione del personale afferma che la scadenza di 72 ore per l'invio di messaggi inizia a funzionare quando il terapeuta viene a conoscenza del fatto che c'è stata una violazione delle informazioni personali. In altre parole, non si può aspettare di inviare tali messaggi a tutte le circostanze della violazione.

Nel caso del Consiglio di Amministrazione, il Consiglio di Amministrazione ha sottolineato la formulazione della legge e le linee guida del Consiglio di Protezione del Personale. Le linee guida stabiliscono che il Responsabile del Trattamento non può attendere fino a quando le indagini dettagliate sono state completate prima di inviare un messaggio all'Agenzia del censimento. Il CPC ha anche sottolineato che Argon è una grande società internazionale, che deve avere buone routine di privacy in atto.
Il miore importante

Questo caso è un importante promemoria del fatto che l’ufficiale di Trattamento – compresi quelli stabiliti al di fuori del SEE – deve avere misure adeguate per determinare se vi sia stata una violazione della sicurezza delle informazioni personali e per il momento di essere informato dell’autorità di controllo e della registrazione.

La commissione di 2,5 milioni di NOK è pari a circa il 2,5% della commissione massima per tali violazioni della privacy e dello 0,1% dei ricavi di Argon.

Il caso si aggiunge a una serie di casi simili in Europa. Ad esempio, Twitter (edp.europa.eu) e Booking.com (edb.europa.eu) hanno precedentemente ricevuto commissioni su circa un quarto di anno. 4,5 milioni di dollari ciascuno per aver violato il termine di cui all'articolo 33. In entrambi i casi, l'Autorità europea di vigilanza sui dati ha collaborato alle questioni.

L'argon può lamentarsi della decisione entro tre settimane dalla ricezione.