L’Autorité norvégienne de protection des données a décidé d’imposer au Fonds de pension du gouvernement (SPK) une sanction de 2 millions de NOK (195 430,06 euros) pour avoir obtenu des informations sans base juridique. Environ 44.000 personnes bénéficiant d’une pension d’invalidité ont été touchées par ce détournement.

Le traitement par le SPK d’informations hautement personnelles était illégal et a affecté un groupe de personnes particulièrement vulnérables.

Contexte de l’affaire

L’affaire a commencé par un rapport de non-conformité du fonds de pension du gouvernement à l’Autorité norvégienne de protection des données en septembre 2019. La société avait obtenu des informations sur les revenus auprès des autorités fiscales depuis 2016. Elle a constaté qu’une partie de ces informations avait été obtenue sans base juridique, car les informations n’étaient pas nécessaires à l’objectif poursuivi.

Les informations ont été obtenues par le biais d’un ensemble de données prédéfinies qui contenait des informations excédentaires.

En d’autres termes, environ 44.000 personnes bénéficiant d’une pension d’invalidité sont concernées par le détournement. Il comprenait des catégories spéciales de renseignements personnels sous la forme d’informations sur les pensions d’invalidité autres que celles du SPK et du régime d’assurance nationale.

Plusieurs principes ont été violés

Le SPK est considéré comme ayant violé plusieurs principes relatifs au traitement des données à caractère personnel et l’exigence d’une base juridique.

La décision relative à la taxe d’infraction est définitive, mais le Fonds de pension de l’État peut faire appel de cette décision dans les trois semaines suivant la réception de la lettre.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA NORVEGIA