Nytt vedtak fra Datatilsynet – klar oppfordring om varsling og implementering av tiltak ved databrudd

Datatilsynet har ilagt NAV et gebyr på 5 millioner kroner for å ha tilgjengeliggjort CV-er uten lovlig behandlingsgrunnlag. NAV har siden 2001 stilt som vilkår for å motta tjenester og ytelser at mottakernes CV-er publiseres på «arbeidsplassen.no», en portal for arbeidsgivere og vikarformidlere. Overtredelsen har berørt omtrent 1,8 millioner mennesker og ble oppdaget etter en intern gjennomgang hos NAV.

NAV varslet selv bruddet til Datatilsynet da dette ble avdekket i februar 2021, og tok samtidig umiddelbare grep for å minske virkningene av bruddet. Arbeidsgiveres tilgang til CV-er ble stengt og de berørte ble varslet om databruddet og informert om skadebegrensende tiltak. Arbeidsgivere og vikarformidlere ble i tillegg bedt om å slette eventuelt nedlastet eller lagret informasjon om kandidater. NAV har også meldt at de vil gjøre en manuell gjennomgang av avgjørelser tilbake til 2016, for å avdekke og omgjøre eventuelle ugyldige forvaltningsvedtak.

Den urettmessige publiseringen ble av Datatilsynet ansett som et brudd på Personvernforordningen (GDPR) artikkel 6, 5(1)(a) og 5(1)(f). I henhold til GDPR artikkel 82(5) kan størrelsen på en eventuell bot for overtredelser av denne typen settes til inntil 20 000 000 euro (ca. 200 000 000 NOK). Basert på en skjønnsmessig vurdering fant Datatilsynet at en bot på 5 millioner kroner var passende for den konkrete overtredelsen.

Interessant i denne sammenheng er at Datatilsynet anså NAV sin håndtering av saken som en formildende omstendighet ved vurderingen av botens størrelse. Dette er i tråd med føringene lagt til grunn i GDPR artikkel 83(2), hvor bokstav (c) slår fast at eventuelle tiltak som er iverksatt av behandlingsansvarlig eller databehandler, for å begrense skadevirkningene av overtredelsen, skal vektlegges som en formildende faktor. Videre ble det fremhevet som en formildende omstendighet at NAV selv varslet Datatilsynet om bruddet og at de i etterkant har sendt inn oppdateringer om tiltak og vært tilgjengelige i behandlingsprosessen.

Datatilsynet har også tidligere hensyntatt slike forhold ved vurderingen av boten størrelse. Blant annet ble dette fremhevet i avgjørelsen om overtredelsesgebyr til Østre Toten kommune i januar 2021, hvor Datatilsynet vektla at kommunen raskt meldte fra da databruddet ble oppdaget, at bruddet ble varslet til innbyggerne, at informasjonsflyten ble opprettholdt og at kommunen gjorde sitt ytterste for å følge opp bruddet og begrense dens skadevirkninger.

Datatilsynets avgjørelse må dermed forstås som en klar oppfordring til behandlingsansvarlige og databehandlere om å varsle om databrudd så snart de oppdages, treffe umiddelbare tiltak for å begrense de negative konsekvensene av bruddet og utvise stor grad av samarbeidsvilje overfor Datatilsynet.