Sentrale avgjørelser

28.11.2024

Vi har sendt pålegg til Familiekanalen om å sette i gang tiltak for å begrense identifiseringen av barn i videoer som er publisert på kanalen.

04.11.2024

Datatilsynet har vedtatt en irettesettelse til Disqus. Vedtaket kommer som følge av at selskapet tidligere har utlevert personopplysninger om registrerte i Norge uten rettslig grunnlag.

01.11.2024

Virksomheter må ha rimelig tvil om noens identitet før de kan be om flere opplysninger for verifikasjon fra en person. Det er ikke lov å be om legitimasjon uten god grunn.

29.10.2024

Vi har vedtatt et overtredelsesgebyr på 250 000 kr til Grue kommune for brudd på krav i personvernforordningen. Vedtaket kommer etter at Datatilsynet ble varslet om brudd på konfidensialitet på kommunens postjournal.

11.09.2024

Datatilsynet har vedtatt et overtredelsesgebyr på 150 000 kroner til Universitet i Agder (UiA) for brudd på personvernforordningen. Universitetet hadde ikke iverksatt egnede tiltak for å ivareta personopplysningssikkerheten i bruken sin av Microsoft Teams.

11.09.2024

Datatilsynet mottok i 2023 klager fra flere privatpersoner som fikk e-post med politisk reklame fra flertallspartiene i Stavanger (Ap, MDG, R, Sp, SV og FP). Vi har nå fattet endelig vedtak om irettesettelse til Stavanger Arbeiderparti – på vegne av flertallspartiene.

06.09.2024

Datatilsynet besluttet før sommeren å ilegge et overtredelsesgebyr på 250 000 kroner til Eidskog kommune for brudd på kravene til rettslig grunnlag i personvernforordningen.

18.03.2024

Datatilsynet har vedtatt et overtredelsesgebyr på 20 millioner kroner og flere pålegg til Arbeids- og velferdsetaten (NAV). Vedtaket kommer etter et tilsyn hvor vi kontrollerte NAVs sikring av konfidensialitet gjennom tilgangsstyring og loggkontroll. Vi fant flere alvorlige avvik.

13.09.2023

Datatilsynet var i juni på et uanmeldt tilsyn hos Fast Candy AS. Med bakgrunn i funnene har vi fattet vedtak om flere pålegg.

27.07.2023

Datatilsynet har ferdigbehandlet saken som gjaldt Google Analytics. Konklusjonen er at bruk av Google Analytics har vært ulovlig frem til nå. Samtidig har det kommet nye regler som påvirker lovligheten av verktøyet fremover.

02.05.2023

Datatilsynet har fattet et vedtak om forbud mot Statistisk sentralbyrå (SSB) sin planlagte innsamling av data fra den norske befolkningens dagligvarekjøp (bongdata).

16.03.2023

Datatilsynet har vedtatt å ilegge det amerikanske selskapet Argon Medical Devices et overtredelsesgebyr på 2,5 millioner kroner, for brudd på personvernforordningen.

08.02.2023

Datatilsynet varslet i høst et gebyr på 10 millioner kroner til Sats for brudd på flere bestemmelser i personvernforordningen. Vi har nå vurdert Sats sine merknader og sendt vedtak der vi opprettholder det varslede gebyret.

16.01.2023

Datatilsynet har sendt et vedtak om irettesettelse til Den norske kirke (DNK) for brudd på personvernforordningen.

11.01.2023

Datatilsynet pålegger PostNord å forbedre sikkerheten i tjenesten «mypostnord». 

15.12.2022

Datatilsynet gjennomførte i vår en kontroll hos Sysselmesteren på Svalbard. Tema for kontrollen var Sysselmesterens behandling av personopplysninger i forbindelse med saksbehandling av visumsøknader og bruk av visuminformasjonssystemet VIS.

24.11.2022

Datatilsynet har vedtatt et gebyr på 150 000 kr til Vestfold oljeservice AS for å ha foretatt en kredittvurdering av en person uten rettslig grunnlag. Bedriften får også et pålegg om å endre interne rutiner.

01.11.2022

Datatilsynet har gjennomført stedlige tilsyn med Kriminalomsorgen. Fokuset har vært behandling av personopplysninger i forbindelse med straffegjennomføring.

19.09.2022

Datatilsynet har fattet vedtak overfor NTNU i en sak som gjelder ulovlig innsyn i en ansatts e-postkasse. I vedtaket konstaterer Datatilsynet at NTNU har brutt e-postforskriften i forbindelse med innsynet som ble gjennomført i klagers e-postkasse.

09.09.2022

Datatilsynet har sendt vedtak om pålegg og overtredelsesgebyr på 200 000 kroner til Recover AS. Saken gjelder kredittvurdering uten rettslig grunnlag.

02.08.2022

Datatilsynet har gitt Krokatjønnveien 15 AS et overtredelsesgebyr på 300 000 kroner for to kredittvurderinger uten rettslig grunnlag. Selskapet har også fått et pålegg om å lage skriftlige rutiner for kredittvurderinger.

28.06.2022

Høsten 2020 ble Stortinget utsatt for datainnbrudd, og Datatilsynet varslet i januar et gebyr på to millioner kroner for manglende sikkerhetsnivå. Vi har nå vurdert Stortingets merknader og sendt vedtak der vi opprettholder det varslede gebyret. 

27.06.2022

Datatilsynet har vedtatt å ilegge NAV et overtredelsesgebyr på 5 millioner kroner for tilgjengeliggjøring av CV-er på tjenesten arbeidsplassen.no uten hjemmel i lov.

24.06.2022

Datatilsynet har fattet vedtak om overtredelsesgebyr på fem millioner kroner til Trumf. Bakgrunnen for gebyret er at Trumf-medlemmer kunne registrere andres kontonummer på medlemsprofilen og dermed skaffe seg tilgang til andres handlehistorikk

15.06.2022

Datatilsynet har fattet vedtak om forbud mot behandlingen av personopplysninger i nettleserverktøyet «Shinigami Eyes». Bakgrunnen for vedtaket er brudd på kravet til rettslig grunnlag og manglende informasjon til brukerne.

02.06.2022

Datatilsynet har gitt Arbeidstilsynet et overtredelsesgebyr på 150 000 kroner for å ha kredittvurdert en person uten hjemmel. Virksomheten får også irettesettelse for manglende innsyn.

24.05.2022

Datatilsynet har vedtatt å gi et overtredelsesgebyr på 100 000 kr til en virksomhet for brudd på arbeidslovens e-postforskrift om innsyn i e-postkasse og personvernforordningens krav til rettslig grunnlag og plikt til å gi informasjon. Virksomheten pålegges også å utbedre egne rutiner.

05.05.2022

Datatilsynet har gitt Lillestrøm kommune et overtredelsesgebyr på 300 000 kroner for brudd på personvernforordningens krav til konfidensialitet.

26.04.2022

Aksjonærer skal informeres når personopplysningene samles inn fra en aksjeforvalter.

11.02.2022

Datatilsynet har gitt Etterforsker1 Gruppen AS (Etterforsker1) et overtredelsesgebyr på 50 000 kroner for å ha kredittvurdert en person uten rettslig grunnlag.

11.01.2022

Datatilsynet har ilagt Østre Toten kommune et overtredelsesgebyr på 4 millioner kroner. Kommunen er også pålagt å implementere et egnet styringssystem for informasjonssikkerhet og personopplysningssikkerhet.

07.01.2022

Datatilsynet har gitt Elektro & Automasjon Systemer AS et overtredelsesgebyr på 200 000 kroner for å ha kredittvurdert en person uten rettslig grunnlag.

17.12.2021

Datatilsynet har vedtatt å gi T. Stene Transport AS et overtredelsesgebyr på 40 000 kroner etter urettmessig kredittvurdering av et enkeltpersonforetak. De får også pålegg om å etablere rutiner for når de kan innhente kredittvurderinger.

15.12.2021

Datatilsynet har vedtatt et overtredelsesgebyr på 65 millioner kroner til datingappen Grindr for brudd på samtykkekravene i personvernforordningen (GDPR).

08.12.2021

Datatilsynet har vedtatt å gi Statens pensjonskasse (SPK) et overtredelsesgebyr på 1 million kroner. Bakgrunnen for vedtaket er at SPK har hentet inn unødvendige inntektsopplysninger om ca. 24 000 personer.

06.10.2021

Datatilsynet har gitt Ultra-Technology AS et overtredelsesgebyr på 125 000 kroner for å ha kredittvurdert en person uten rettslig grunnlag.

01.10.2021

Datatilsynet har vedtatt å gi St. Olavs hospital et overtredelsesgebyr på 750 000 kroner på grunn av manglende tilgangsstyring av mappeområder utenfor pasientjournalen.

30.09.2021

Datatilsynet har vedtatt å gi Høylandet kommune 200 000 kroner i overtredelsesgebyr. Bildefiler med helseopplysninger om personer uten tilknytning til kommunen lå tilgjengelig for ansatte ved helsestasjonen.

30.09.2021

Datatilsynet ilegger et overtredelsesgebyr på 5 millioner kroner til det norske bompengeselskapet Ferde. Selskapet skal blant annet ulovlig ha overført personopplysninger om norske bilister til Kina.

01.09.2021

Datatilsynet ber direktoratet om å utarbeide en behandlingsprotokoll, samt å fremlegge internkontroll og dokumentasjon som viser hvordan behandlingsansvaret er plassert i hele etaten.

31.08.2021

Datatilsynet pålegger Google å slette tre søketreff.

12.08.2021

Datatilsynet krev eit gebyr på 100 000 kroner frå Waxing Palace AS. Verksemda driv ein voksesalong, og der har dei kameraovervaka resepsjonsområdet i strid med personvernforordninga.

09.08.2021

Datatilsynet har ilagt en virksomhet en irettesettelse for brudd på personvernforordningens krav til informasjon og innsyn i egne personopplysninger.

06.07.2021

Datatilsynet har fattet vedtak om overtredelsesgebyr på 50 000 kroner.

24.06.2021

Datatilsynet har gitt Moss kommune eit gebyr på 500 000 kroner for ikkje å ha sikra personopplysningar godt nok. Feilen er retta opp, og saka er avslutta.

22.06.2021

Bakgrunnen for saken er en klage fra en tidligere ansatt som opplevde at arbeidsgiveren gjorde innsyn i den tidligere ansattes e-postkasse.

11.06.2021

Datatilsynet har gitt BRAbank et overtredelsesgebyr på 400 000 kroner for brudd på personvernforordningen. Saken gjelder manglende risikovurdering og testing i forbindelse med lansering av en kundeportal for banktjenester.

03.06.2021

Datatilsynet ber selskapet Smartere Utdanning AS om å utbetre løysinga dei har for å hente inn samtykke, slik at den oppfyller krava i personvernforordninga.

27.05.2021

Datatilsynet har sendt vedtak om overtredelsesgebyr på 1 million kroner til Innovasjon Norge. Saken gjelder kredittvurdering uten behandlingsgrunnlag.

20.05.2021

Datatilsynet har gitt Oslo kommune et overtredelsesgebyr på 400 000 kroner for publisering av dokumenter med sensitive personopplysninger.

11.05.2021

Datatilsynets tilsyn med Oslo universitetssykehus HF (OUS) viser at sykehuset ikke kan dokumentere at de har kontroll over pasientenes opplysninger når det trenger laboratorietjenester fra andre land.

11.05.2021

Datatilsynet har gitt Norges idrettsforbund (NIF) et overtredelsesgebyr på 1 250 000 kroner for brudd på personvernforordningen. Bakgrunnen for saken er at personopplysninger om 3,2 millioner nordmenn ble liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning.

21.04.2021

Datatilsynet har gitt Basaren Drift AS et overtredelsesgebyr på 200 000 kroner for brudd på personvernforordningen. Saken gjelder kameraovervåking av restaurantlokaler.

09.04.2021

Datatilsynet har gitt Asker kommune et overtredelsesgebyr på én million kroner. Gebyret gis etter at kommunen publiserte taushetsbelagte personopplysninger og fødselsnummer på hjemmesiden sin.

09.04.2021

Datatilsynet har vedatt et overtredelsesgebyr på 35 000 kroner til Miljø- og Kvalitetsledelse AS for ulovlig oversendelse av personopplysninger fra kameraopptak.

25.03.2021

Datatilsynet krev kraftselskapet Dragefossen AS for eit gebyr på 150 000 kroner. Gebyret vert gitt etter at selskapet kameraovervaka Rognan sentrum og kringkasta opptaka direkte på internett utan rettsleg grunnlag.

24.03.2021

Datatilsynet har vedteke å gje Ålesund kommune eit overtredelsesgebyr på 50 000 kronar for deira bruk av treningsappen Strava.

02.03.2021

Ei verksemd har fått vedtak om gebyr på 250 000 kroner for ulovleg vidaresending av e-posten til ein tilsett. Namnet på verksemda er unntatt offentlegheit for å skjerme identiteten til de tilsette. 

03.02.2021

Datatilsynet krev 200 000 kroner i gebyr frå Cyberbook AS for ulovleg automatisk vidaresending av e-posten til ein tidlegare tilsett.

19.01.2021

Datatilsynet har gjeve Aquateknikk AS eit gebyr på 100 000 kroner for å ha kredittvurdert ein privatperson utan rettsleg grunnlag.