Overtredelsesgebyr for forsinket avviksmelding – når begynner fristen å løpe?
Illustrasjon: Colourbox.com
Den 8. mars 2023 vedtok Datatilsynet et overtredelsesgebyr på 2,5 millioner kroner til det amerikanske selskapet, Argon Medical Devices (heretter omtalt som «Argon»). Bakgrunnen for gebyret var manglende overholdelse av 72 timers-fristen for avviksmelding.
Kort om 72-timers fristen
Meldeplikten til behandlingsansvarlige er regulert i GDPR artikkel 33. I henhold til artikkel 33 nr. 1 skal brudd på personopplysningssikkerheten meldes senest 72 timer etter at den behandlingsansvarlige har fått kjennskap til bruddet, dersom mulig. Dette gjelder ikke dersom bruddet sannsynligvis ikke vil medføre risiko for fysiske personers rettigheter og friheter.
Hva skjedde?
Argon opplevde sommeren 2021 et sikkerhetsbrudd. Bruddet bestod i at uautoriserte tredjepart hadde fått tilgang til epostkontoen til en av selskapets ansatte. Dette gav tilgang til personopplysninger om lønn og tilhørende informasjon om Argons ansatte, inkluderte én ansatt i Norge. Etter å ha undersøkt bruddet nærmere, sendte Argon den 24. september 2021 inn en avviksmelding til Datatilsynet.
Datatilsynet la i vedtaket til grunn følgende tidsforløp:
14. juni 2021. Argons IT-sikkerhetsteam får beskjed fra en ansatt at det er uvanlig aktivitet i epostkontoen til vedkommende. Etter nærmere undersøkelse oppstår mistanke om at en utenforstående har fått tilgang til epostkontoen. Argon har grunn til å tro at vedkommende har hatt dette siden 21. mai 2021.
15. juni 2021. Argon melder hendelsen til FBI Cybercrime Unit i USA.
19. juli 2021. Argons undersøkelser avdekker at personopplysninger om europeiske ansatte har blitt påvirket av hendelsen
24. september 2021. Argon sender avviksmelding til europeiske datatilsyn, herunder det norske Datatilsynet. Dette da etter at Argon, ved hjelp av juridisk bistand, konkluderer med at hendelsen er meldepliktig.
Når fikk Argon kjennskap til bruddet?
I denne saken var det særlig sentralt for Datatilsynet å fastslå når Argon fikk kjennskap til bruddet. Som nevnt innledningsvis, begynner 72 timers-fristen å løpe fra og med dette tidspunktet. Spørsmålet er imidlertid hva som ligger i dette kriteriet. En mulig tolkning er at den behandlingsansvarlige får kjennskap (og tidsfristen derfor begynner å løpe) på det tidspunktet den behandlingsansvarlig får kunnskap til at det foreligger et meldepliktig brudd på personopplysningssikkerheten. Dette innebærer blant annet at den behandlingsansvarlige må ha kjennskap til de faktiske forholdet som tilsier at bruddet vil kunne innebære risiko for fysiske personers rettigheter og friheter. Det er først på dette tidspunktet den behandlingsansvarlige har tilstrekkelig informasjon til å vite at hendelsen er meldepliktig.
Tidsfristen kan altså begynne å løpe før den behandlingsansvarlige har tilstrekkelig kunnskap for å konkludere med at hendelsen er meldepliktig [...]
Datatilsynet (i tråd med veiledning fra EDPB) legger imidlertid til grunn at 72 timers-fristen begynner å løpe på tidspunktet når den behandlingsansvarlige blir klar over at det har forekommet et brudd på personopplysningssikkerheten. Tidsfristen kan altså begynne å løpe før den behandlingsansvarlige har tilstrekkelig kunnskap for å konkludere med at hendelsen er meldepliktig (altså før den behandlingsansvarlige har kjennskap til de faktiske forholdene som tilsier at det foreligger risiko).
Dette betyr at tre kumulative vilkår må være oppfylt for at fristen skal begynne å løpe. For det første, må det ha funnet sted et sikkerhetsbrudd. For det andre, må den behandlingsansvarlige være klar over at hendelsen innebærer brudd på konfidensialitet, tilgjengelighet og/eller integritet. For det tredje, at bruddet omfatter personopplysninger. EDPB har i sin veileder om avviksmeldinger lagt til grunn at 72 timers-fristen begynner å løpe når den behandlingsansvarlige med en rimelig grad av sikkerhet forstår at disse vilkårene er oppfylt.
Det er imidlertid interessant å merke seg at Datatilsynet slår fast at Argon burdevært klar over bruddet på et enda tidligere tidspunkt. Bakgrunnen for dette er et sitat fra EDPB, som også er gjengitt i vedtaket. EDPB skriver: “the controller may undertake a short period of investigation in order to establish whether or not a breach has in fact occurred”.
Datatilsynets bemerkninger i vedtaket mot Argon kan muligens indikere at tilsynet mener at tidsfristen i artikkel 33 nr. 1 også kan begynne å løpe før den behandlingsansvarlige har kjennskap til sikkerhetsbruddet, dersom den behandlingsansvarlige har gått utover hva som ligger i en «short period of investigation».
Det er imidlertid interessant å merke seg at Datatilsynet slår fast at Argon burde vært klar over bruddet på et enda tidligere tidspunkt.
Tolkningen har noe forankring i EDPB veiledning, men har liten støtte i ordlyden til artikkel 33 nr. 1. Artikkel 33 nr. 1 slår tydelig fast at fristen på 72 timer begynner å løpe fra den behandlingsansvarlige blir klar over bruddet. Ikke fra tidspunktet den behandlingsansvarlige burde fått slik kjennskap etter en «short period of investigation». Datatilsynets tolkning bærer preg av å innføre et aktsomhetskrav (med en tilhørende ny tidsfrist).
Dette virker i så fall som en unødvendig innfortolkning. De fleste virksomheter er pålagt å ha rutiner for håndtering av avvik, da i henhold til artikkel 24 nr. 2. Dersom virksomheten ikke har slike rutiner, eller disse viser seg å ikke være operative i praksis, kan brudd muligens konstateres etter artikkel 24 – eller andre tilsvarende bestemmelser. At de organisatoriske og tekniske tiltakene skal sørge for at den behandlingsansvarlige klarer å håndtere avvik (herunder melde til Datatilsynet og/eller de registrerte) følger også blant annet av fortalepunkt 87. Det er derfor ikke nødvendig å innfortolke et aktsomhetskrav i artikkel 33 nr. 1. Det finnes altså andre bestemmelser som rammer samme forhold, uten behov for å innfortolke et aktsomhetskrav i artikkel 33.
