L’autorità norvegese per la protezione dei dati ha imposto una multa di due milioni e mezzo di corone norvegesi ad Argon Medical Devices.
L’ammenda viene inflitta per il mancato rispetto del termine per la notifica delle deviazioni all’autorità norvegese per la protezione dei dati. Lo riferisce l’Autorità norvegese per la protezione dei dati personali sui propri siti.
La scadenza di 72 ore
L’articolo 33 del GDPR stabilisce che quando un’azienda subisce un incidente che costituisce una violazione del GDPR, deve “senza indebito ritardo” e “non oltre 72 ore dopo esserne venuta a conoscenza” inviare un avviso di deroga alle autorità di controllo .
– Il periodo di 72 ore inizia a decorrere dal momento in cui il responsabile del trattamento viene a conoscenza di una violazione della sicurezza dei dati personali, sottolinea l’autorità norvegese per la protezione dei dati.
Non c’è tempo per aspettare che siano state condotte indagini dettagliate, dicono.
Argon ha ritenuto, secondo l’autorità danese per la protezione dei dati, di non dover segnalare la discrepanza finché non avesse avuto “una panoramica completa dell’incidente e di tutte le sue conseguenze”. Era persino scritto nelle routine di Argon.
Pertanto, Argon ha impiegato ben 67 giorni per inviare l’avviso di deviazione, dopo aver scoperto che estranei avevano avuto accesso a una delle caselle di posta elettronica dei dirigenti, e più precisamente a un foglio Excel contenente dati personali come lo stipendio e i benefici di tutti. dipendenti europei, incluso un dipendente norvegese.
Argon ha scoperto la falla di sicurezza nel luglio 2021, ma ha aspettato fino a settembre dello stesso anno per segnalarla alle autorità di controllo dei dati norvegesi ed europee. Nel frattempo avevano, tra l’altro, chiamato una società esterna per valutare la violazione della sicurezza.
milioni di multa
Già nel gennaio 2022, l’autorità norvegese per la protezione dei dati ha notificato ad Argon la decisione. Argon ha scelto di contestare la decisione notificata per iscritto, ma l’autorità norvegese per la protezione dei dati continua a mantenere la sua decisione.
La violazione riguarda i requisiti che sono essenziali per il funzionamento del regime di applicazione del GDPR, ritiene l’Autorità per la protezione dei dati.
– La penale per violazione di 2,5 milioni di NOK rappresenta circa il 2,5% della tariffa massima per tali violazioni delle norme sulla protezione dei dati personali e lo 0,1% del fatturato di Argon, scrive l’Autorità norvegese per la protezione dei dati.
Un promemoria importante
– Questo caso è un importante promemoria del fatto che i responsabili del trattamento dei dati, compresi quelli con sede al di fuori del SEE, devono disporre di misure adeguate per essere in grado di determinare immediatamente se si è verificata una violazione della sicurezza dei dati personali e per informare immediatamente l’autorità di controllo e i dati oggetto, scrive l’autorità norvegese per la protezione dei dati.
Argon può impugnare la decisione.