PVN-2022-13 Brudd på personopplysnings- og informasjonssikkerheten i Østre Toten kommune - overtredelsesgebyr
Østre Toten kommune ble i 2021 utsatt for et omfattende løsepengevirusangrep på sine IT-systemer. Hele den kommunale tjenesteleveransen, med få unntak, ble rammet i angrepet og betydelig mengder personopplysninger kom på avveie. Nemnda kom til at det var klar sannsynlighetsovervekt for at både de objektive og subjektive vilkårene for å ilegge overtredelsesgebyr var oppfylt. Skyldkravet for ileggelse av et overtredelsesgebyr for foretak og offentlige myndigheter er uaktsomhet, jf. forvaltningsloven § 46, da «ikke annet er bestemt» i personvernforordningen. Nemnda la til grunn at det ikke er et krav om at skylden individualiseres, jf. HR-2022-1271-A, avsnitt 46-50, som omhandler foretaksstraff. Nemnda mente at sikkerhetsbruddet var alvorlig og at kommunen skulle ilegges et overtredelsesgebyr for brudd på personopplysningssikkerheten, jf. personopplysningsloven § 26, jf. personvernforordningen artikkel 83. Nemnda opprettholdt Datatilsynets vedtak om å ilegge Østre Toten kommune et overtredelsesgebyr på 4 000 000 kroner.