Dáturáðið hevur á fundi tann 4. desember 2025 tikið avgerð um, at Dátueftirlitið skal melda Atlantic Airways til løgregluna fyri brot á dátuverndarlógina
Dátueftirlitið hevur mælt til, at málskravið verður ein sekt á 14. mió. kr.
Dátueftirlitið skrivar, at tann 18. juni 2024 boðaði Fiskivinnu- og Samferðslumálaráði at SAR -upptøkur, sum Atlantic Airways gjørdi, tá Kambur sakk, vórðu lagdar á Youtube. Fiskivinnu- og Samferðslumálaráði bað Dátueftirlitið um hjálp at taka upptøkurnar av Youtube. Fiskivinnu- og Samferðslumálaráði greiddi frá, at starvsfólk frá Atlantic høvdu verið til eina ráðstevnu fyri bjargingarfólk og hevði latið upptøkuna til triðjamann at brúka í sínum arbeiði. Viðkomandi lúttók á ráðstevnuni tí viðkomandi starvast hjá einum veitara av SAR-útgerð. Triðjimaður hevði við óvart koyrt upptøkurnar á Youtube og upptøkurnar høvdu verið vístar 300 ferðir, áðrenn tær vóru tiknar av Youtube.
Av tí at talan var um eitt trygdarbrot fór Dátueftirlitið undir eitt eftirlitsmál av Atlantic Airways fyri at kanna, um dátuábyrgdarin hevði sett hóskandi tøknilig og bygnaðarlig tiltøk í verk. Í § 46 er ásett, at dátuábyrgdarir skulu seta í verk hóskandi tøkilig og bygnaðarlig tiltøk, sum tryggja eitt trygdarstøði ið hóskar til váðarnar, sum standast av viðgerðini.
Eitt trygdarbrot er m.a. ein støða, har persónupplýsingar av órøttum verða latnar víðari til óviðkomandi triðjamann ella almannakunngjørdar. Í ítøkiliga málinum vóru persónupplýsingar bæði latnar triðjamanni av órøttum og eisini almannakunngjørdar av órøttum.
(Viðmerkjast skal, at eftirlitsmálið hjá Dátueftirlitinum ikki snýr seg um sjálvt SAR-arbeiðið hjá Atlantic Airways ella um flogvirksemið hjá Atlantic Airways í heila tikið, men um ítøkiligu handfaringina av persónupplýsingum, ið stava frá bjargingararbeiðinum í sambandi við, at Kambur sakk.)
Dátueftirlitið sendi Atlantic Airways eina røð av spurningum og biðið var um eitt avrit av teimum skrivligu mannagongdum, sum Atlantic Airways hevur fyri handfaring av SAR-upptøkum, herundir hvussu tær verða goymdar, hvør hevur atgongd, hvussu leingi tær verða goymdar, ið hvørjum førum tær verða latnar víðari til ein triðjamann og eina lýsing av, hvat tær verða nýttar til.
Atlantic Airways setti seg í samband við Dátueftirlitið í 2018 fyri at fáa vegleiðing um, hvørji tiltøk Atlantic Airways skuldi seta í verk fyri at lúka treytirnar viðvíkjandi SAR-upptøkum í táverandi persónupplýsingalógini. Atlantic fekk tá nágreiniliga vegleiðing um at gera greiðar mannagongdir fyri, hvussu leingi upptøkurnar verða varðveittar, hvussu myndirnar skulu slørast, hvussu kunningin fer fram til skrásetta v.m. Hóast Atlantic Airways hevði gjørt eina mannagongd, kundi Dátueftirlitið í samband við eftirlitið í 2025 staðfesta, at mannagongdin als ikki var nøktandi, at Atlantic Airways ikki hevði fylgt síni egnu mannagongd, og at Atlantic ikki hevði sett í verk hóskandi tøknilig og bygnaðarlig tiltøk í verk, sum tryggja eitt trygdarstøði, sum hóskar til váðarnar ið standast av viðgerðini, soleiðis sum álagt er í §§ 46 í dátuverndarlógini.
Dátueftirlitið metti at Atlantic Airways var dátuábyrgdari, tí at Atlantic hevði ásett endamálið við at taka upp og hjálpitólini til at persónupplýsingar kunnu viðgerast. Endamálið hjá Atlantic Airways at taka upp var at skjalprógva, eftirmeta og læra av venjingum og átøkum.
Samanumtikið metti Dátueftirlitið, at Atlantic Airways við grovum ósketni hevur broti𠧧 7, 23, 46, 47 og 48 í dátuverndarlógini og valdi at melda málið til løgregluna.
Dáturáðið samtykti á fundi tann 14. september 2023, at Dátueftirlitið fer at taka støði í vegleiðingini hjá Europeiska Dáturáðnum um ásetan av sektarstødd, tá Dátueftirlitið meldar mál til løgregluna.
Í GDPR verða sektir býttar í tveir flokkar við hvør sínum sektarstøði í ávíkavist grein 83, stk. 4 og stk. 5. Einstøku brotini verða síðani býtt í hesar flokkar, alt eftir hvussu álvarslig tey verða metta at vera.
§§ 7 og 23 í dátuverndarlógini (grein 5 og 13 í GDPR) verður bólkað í grein 83, stk 5, ið er hægra sektarramman, og §§ 46, 47 og 48 í dátuverndarlógini (grein 32, 33 og 34 í GDPR) verður bólkað í grein 83, stk. 4, ið er lægra sektarramman.
Støddin á einstøku sektini verður ásett eftir eini ítøkiligari metinum, hvussu álvarsligt brotið er. Tað verður bæði hugt eftir, hvørja áseting dátuábyrgdarin hevur brotið, og hvussu álvarsligt ítøkiliga brotið er. Síðandi verður tikið hædd fyri støddini á fyritøkuni/samtakinum.
Við støði í vegleiðingini hjá Eurupeiska Dáturáðnum mælti Dátueftirlitið løgregluni til, at málskravið móti Atlantic Airways verður ein sekt á 14. mió. kr.
