Ett stort företag i Norge fick en reprimand för bland annat ha haft bristande säkerhet och för att företaget inte hade anmält personuppgiftsincidenter i tid. Däremot ansåg inte myndigheten i Norge, som heter Datatilsynet, att företaget skulle få en sanktionsavgift. En reprimand är ungefär som en tillrättavisning eller anmärkning och är ett lägre straff än sanktionsavgift.
Reprimand för bland annat ha haft bristande säkerhet
Företaget i Norge fick en reprimand för att ha haft bristande säkerhet samt för att företaget inte hade anmält personuppgiftsincidenter i tid. Över 1 miljon kunder blev drabbade när personer utan behörighet, fick tillgång till inspelade röstmeddelanden. Företaget kände till att det förelåg bristande säkerhetsåtgärder under en längre tid, utan att åtgärda bristerna för att minimera riskerna för obehörigt intrång. Därför ansåg myndigheten att företaget borde ha utfört åtgärder innan incidenten inträffade.
Många former av personuppgiftsincidenter ska bli anmälda och det ska ske senast 72 timmar från upptäckten. I detta fall hade företaget inte gjort anmälan inom den tillåtna tidsfristen enligt GDPR. Tidigare har detta företaget redan fått en böter på grund av samma problem, men från en annan myndighet i Norge. Därför fick de en reprimand denna gång, eftersom det annars hade varit dubbelbestraffning. Den tidigare sanktionsavgiften företaget fick uppfick till 150 000 euro.
Myndigheten ansåg att företaget hade begått brott mot artikel 32 GDPR, som avser säkerhet i samband med behandlingen samt brott mot artikel 33 GDPR, som avser anmälan av en personuppgiftsincident till tillsynsmyndigheten.
