Autoriteit Persoonsgegevens (AP) har utfärdat en sanktionsavgift på 100 miljoner euro mot ett företag för otillåten överföring av personuppgifter från användare av taxiappen Yango till Ryssland utan tillräckliga skyddsåtgärder enligt dataskyddsförordningen (GDPR).
Bakgrund
Bolaget, registrerat i Nederländerna, driver den europeiska versionen av taxiappen Yango som är verksam i Norge och Finland. Bolaget samlade in och lagrade personuppgifter från såväl kunder som chaufförer på servrar i Ryssland. Det rör sig om en bred kategori uppgifter, däribland körkortsskanningar, bostadsadresser, kontaktuppgifter, bankkontonummer, exakta positionsdata, resedata, fotografier, innehåll i chattkonversationer och personnummer.
AP inledde en utredning i slutet av 2023 i samarbete med de norska och finska dataskyddsmyndigheterna. AP:s behörighet grundades på att bolaget är registrerat i Nederländerna, medan de övriga myndigheterna medverkade eftersom de registrerade befinner sig i Norge och Finland.
Myndighetens bedömning
AP konstaterade att bolaget överfört personuppgifter till Ryssland utan att säkerställa att uppgifterna åtnjuter ett likvärdigt skydd som inom EU. Enligt GDPR får personuppgifter endast överföras till tredjeland om lämpliga skyddsåtgärder finns på plats. AP bedömde att sådana åtgärder saknades och att den ryska statens potentiella tillgång till uppgifterna, i avsaknad av en oberoende dataskyddstillsyn i Ryssland, innebar en allvarlig risk för de registrerade.
AP ålade bolaget att omedelbart upphöra med överföringen av personuppgifter från användare i Norge och Finland till Ryssland. Sanktionsavgiften fastställdes till 100 miljoner euro och beräknades med utgångspunkt i moderbolagets koncernomsättning, som uppgick till drygt 12 miljarder euro för 2024.
Praktiska konsekvenser
Beslutet visar hur juridiskt komplicerat det kan bli när personuppgifter skickas till länder som inte uppfyller EU:s krav på dataskydd, särskilt när mottagarlandet saknar oberoende tillsyn och den lokala lagstiftningen ger staten möjlighet att komma åt uppgifterna.
Standardavtalsklausuler (SCC) är det vanligaste sättet att hantera den typen av överföringar, men det räcker inte att bara ha dem på plats. Företaget måste också genomföra en Transfer Impact Assessment (TIA), en konkret bedömning av om de rättsliga och institutionella förhållandena i mottagarlandet i praktiken urholkar det skydd som SCC är tänkta att ge.
Beslutet belyser även en fråga som ofta underskattas i koncernstrukturer: att moderbolagets omsättning kan ligga till grund för hur sanktionen beräknas. Det innebär att ett dotterbolag som formellt är personuppgiftsansvarigt ändå kan dra med sig hela koncernens exponering när böterna fastställs.
Kontakta oss
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör tredjelandsöverföringar, bedömning av lämpliga skyddsåtgärder och regelefterlevnad vid internationell datahantering. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: AP.