Fyritøka meldað til løgregluna
Dátueftirlitið hevur meldað eina fyritøku til løgregluna fyri brot á dátuverndarlógina. Dátueftirlitið hevur mælt til, at málskravið verður ein sekt á 15 mió. kr.
Í august 2022 sendi fyritøkan Dátueftirlitinum eina fráboðan um trygdarbrot. Fyritøkan greiddi frá, at hon hevði verið fyri einum so-nevndum “ransomware” álopi. Teldusníkar høvdu fingið atgongd til KT-skipanirnar hjá fyritøkuni og høvdu bronglað allar upplýsingarnar soleiðis, at atgongd ikki longur fekst til tær. Fyritøkan metti tó ikki, at upplýsingarnar vóru stolnar eisini. Fyritøkan er ein stór føroysk fyritøka, og brotið umfataði bæði starvsfólk og kundar hjá fyritøkuni. Í alt var talan um eitt sera stórt tal av skrásettum.
Tá slík trygdarbrot verða fráboðað, kannar Dátueftirlitið, um dátuábyrgdarin/dátuviðgerðin hevði sett hóskandi tøknilig og bygnaðarlig trygdartiltøk í verk. Í § 46 í dátuverndarlógini er ásett, at dátuábyrgdarar skulu seta í verk hóskandi tøknilig og bygnaðarlig tiltøk, sum tryggja eitt trygdarstøði ið hóskar til váðarnar, sum standast av viðgerðini.
Dátueftirlitið sendi fyritøkuni eina røð av spurningum. Spurt var um hvørjar trygdarfyriskipanir vóru settar í verk, áðrenn trygdarbrotið fór fram, og biðið varð um avrit av teimum váðametingum, ið trygdin var bygd á.
Eftir at hava samskift við fyritøkuna leypandi kundi Dátueftirlitið staðfesta, at fyritøkan onga váðameting hevði gjørt, áðrenn trygdarbrotið fór fram. Viðmerkjast skal, at um ein dátuábyrgdari onga váðameting hevur gjørt, er tað í sær sjálvum nóg mikið til, at Dátueftirlitið metir, at trygdin ikki er nøktandi.
Harumframt hevði fyritøkan ongan skrivligan KT-trygdarpolitik, hóast at grannskoðarin hjá fyritøkuni bæði í 2016 og 2018 hevði mælt til, at fyritøkan orðaði ein KT-trygdarpolitik.
Í sambandi við trygdarbrotið hevði fyritøkan fingið eina útlendska KT-trygdarfyritøku at gera eina frágreiðing um, hvussu álopið varð framt. Við støði í frágreiðingini kundi Dátueftirlitið staðfesta, at verksetta trygdin als ikki var á nøktandi støði. Dátueftirlitið metti, at um fyritøkan hevði gjørt eina nøktandi váðameting og hevði verksett ein nøktandi KT-trygdarpolitik, so hevði fyritøkan havt eyðmerkt teir veikleikar í verjuni, ið gjørdu tað gjørligt hjá teldusníkunum at bróta inn í KT-skipanirnar og soleiðis kunna fyribyrgt trygdarbrotinum.
Í frágreiðingini hevði útlendska KT-trygdarfyritøkan viðmerkt, at tað var mest sannlíkt, at teldusníkarnir høvdu tikið avrit av upplýsingunum, áðrenn teir høvdu bronglað allar skipanirnar. Dátueftirlitið var samt við hesum og legði í síni niðurstøðu til grund, at teldusníkarnir mest sannlíkt høvdu tikið avrit av upplýsingunum í skipanini.
Samanumtikið metti Dátueftirlitið, at fyritøkan við grovum ósketni hevði brotið § 46 í dátuverndarlógini og valdi at melda málið til løgregluna.
Dáturáðið samtykti á fundi tann 14. september 2023, at Dátueftirlitið framyvir fer at taka støði í vegleiðingini hjá Europeiska Dáturáðnum um ásetan av sektarstødd, tá Dátueftirlitið meldar mál til løgregluna.
Í GDPR verða sektir býttar í tveir flokkar við hvør sínum sektarstøði í ávíkavist grein 83, stk. 4 og stk. 5. Einstøku brotini verða síðani býtt í hesar flokkar, alt eftir hvussu álvarslig tey verða mett at vera.
Kravið um viðgerðartrygd (grein 32 í GDPR og § 46 í dátuverndarlógini) verður bólkað í grein 83, stk. 4, ið er lægra sektarramman.
Støddin á einstøku sektini verður ásett eftir eini ítøkiligari meting um, hvussu álvarsligt brotið er. Tað verður bæði hugt eftir, hvørja áseting dátuábyrgdarin hevur brotið, og hvussu álvarsligt ítøkiliga brotið er. Síðani verður tikið hædd fyri støddini á fyritøkuni/samtakinum.
Við støði í vegleiðingini hjá Europeiska Dáturáðnum mælti Dátueftirlitið løgregluni til, at málskravið móti fyritøkuni verður ein sekt á 15 mió. kr.
Dátueftirlitið hevur gjørt vegleiðingar um viðgerðartrygd, váðametingar og trygdarbrot. Niðanfyri eru leinkjur til hesar vegleiðingar, umframt vegleiðingina hjá Europeiska Dáturáðnum:
Vegleiðing um trygdarbrot
Guidelines 04/2022 on the calculation of administrative fines under the GDPR