Gebyr til Ferde AS
Datatilsynet ilegger et overtredelsesgebyr på 5 millioner kroner til det norske bompengeselskapet Ferde. Selskapet skal blant annet ulovlig ha overført personopplysninger om norske bilister til Kina.
Datatilsynet ble gjennom en nyhetssak på NRK kjent med at Ferde AS overfører opplysninger knyttet til passeringer i bomringer til en databehandler i Kina. På denne bakgrunn startet Datatilsynet en tilsynssak med fokus på om Ferde har hatt på plass rutiner og tiltak for å sikre tilstrekkelig informasjonssikkerhet for opplysningene som overføres til Kina.
- Vår konklusjon er at Ferde AS har brutt en rekke grunnleggende plikter som virksomheten har etter personvernforordningen i en periode på mellom 1-2 år. Blant annet har de ikke hatt et gyldig grunnlag for å overføre personopplysninger til Kina, sier direktør Bjørn Erik Thon i Datatilsynet.
Dermed står Datatilsynet fast ved beslutningen om å ilegge et gebyr på 5 millioner kroner, etter å ha sendt selskapet et varsel om gebyr på samme beløp tidligere i år.
Flere alvorlige mangler
Personvernforordningen krever at Ferde AS som behandlingsansvarlig kan dokumentere at de har iverksatt en rekke tiltak for å sikre at personopplysningene blir behandlet på en tilstrekkelig god måte.
Datatilsynet har i sine undersøkelser avdekket at Ferde AS manglet både databehandleravtale, risikovurdering og overføringsgrunnlag for behandlingen av personopplysninger om bilister i Kina. Disse er alle sentrale plikter etter personvernregelverket, og skal være på plass før den aktuelle behandlingen av personopplysninger kan finne sted.
- Dette er en alvorlig sak. Formålet med å ha disse instrumentene på plass er å angi rammene for håndteringen av personopplysningene, avdekke mulige svakheter i systemet og sørge for sikker og konfidensiell behandling av opplysningene. Selskapet har også overført persondata til Kina, og det er et stort antall personer som er berørt. Derfor har vi nå gitt et så stort overtredelsesgebyr, sier Bjørn Erik Thon, direktør i Datatilsynet.
Fokus på overføring ut av EØS
Datatilsynet har kun fokusert på spørsmål knyttet til eksistensen av databehandleravtale, risikovurdering samt overføringsgrunnlag ved overføring av personopplysninger utenfor EØS. Vi har videre avgrenset våre undersøkelser til de faktiske forhold slik de var i tidsrommet september 2017 og frem til oktober 2019. Datatilsynet har ikke vurdert andre forhold knyttet til Ferde sin behandling av personopplysninger, herunder innholdet i avtalene som er inngått, innholdet i risikovurderingen og kriteriene som følger av EU-domstolens dom i Schrems II-saken.
Vedtaket kan påklages. Klagefristen er tre uker fra mottaket av brevet.