Norge: Datatilsynet tilldelar SATS straffavgift om 10 miljoner norska kronor

Bildkälla: SATS

Den norska myndigheten Datatilsynet (motsvarande svenska Integritetsskyddsmyndigheten) har bekräftat böter om 10 miljoner norska kronor till träningskedjan SATS. Beslutet kommer efter flera anmälningar om brott mot personuppgiftsförordningen (GDPR).

Myndigheten tog emot flera klagomål gällande SATS mellan 2018 och 2021 från tidigare medlemmar som ville bli raderade ur träningskedjans register, men som menade att detta inte blivit genomfört.

Efter en tids utredning skickade tillsynsmyndigheten i höstas ut ett besked om att träningskedjan får ett vite på 10 miljoner norska kronor för brott mot integritetslagstiftningen. SATS höll inte med om beslutet och ärendet gick vidare till Personskyddsnämnden.

Beslutet – 10 miljoner NOK i böter

– Vår slutsats är att SATS har brutit mot flera bestämmelser i personuppgiftsförordningen som gäller den registrerades rätt till information, tillgång, radering, samt företagets bristande rättsliga grund för att behandla vissa personuppgifter, säger Line Coll, direktör för Datatilsynet, i rapporten.

SATS håller inte med

SATS kommunikationsdirektör Sebastian Kvarme kommenterar till Kapital.no att företaget reagerade på Datatilsynets anmälan om intrångsavgifter, och i synnerhet på storleken.

SATS anser att det inte fanns någon grund för att indikera systematiska fel i SATS efterlevnad av GDPR-reglerna.

– Vi har system och rutiner på plats som följs. Vi använder stora resurser på hanteringen av personuppgifter, och följer både nationella och internationella regelverk, menar Kvarme.

Sebastian Kvarme. Bild: SATS

Han anser att det är viktigt för träningskedjan att betona att medlemmarnas personuppgifter är väl omhändertagna.

– Inga personuppgifter har delats med utomstående eller på annat sätt kommit på avvägar, och inga personuppgifter har använts för nya ändamål eller utnyttjats på annat sätt.

Flera brister

Norska datatilsynets slutsats är att SATS inte har kunnat tillgodose de registrerades rätt till åtkomst och radering på ett tillfredsställande sätt. Vidare saknade träningskedjan behörighet att behandla uppgifter om kundernas träningshistorik.

– Datatilsynet har granskat företagets efterlevnad av flera bestämmelser i personuppgiftsförordningen. Att verksamheter fullgör sina skyldigheter kring användarnas rättigheter är helt centralt för att värna om en god integritet. Vi ser därför allvarligt på de brister vi har upptäckt i våra utredningar, säger Coll.