Norge: Vägtullföretaget Ferde meddelas om 5 miljoner norska kronor i böter för olaglig överföring av personuppgifter till Kina

Den norska dataskyddsmyndigheten Datatilsynet har meddelat en avgift på 5 miljoner norska kronor till det norska vägtullföretaget Ferde AS för att bland annat ha olagligt överfört personuppgifter om norska bilister till ett personuppgiftsbiträde i Kina.

Genom en nyhet på NRK blev Datatilsynet medveten om att Ferde överfört överfört personuppgifter om norska bilister till ett personuppgiftsbiträde i Kina. Mot denna bakgrund inledde den norska dataskyddsmyndigheten ett tillsynsärende med fokus på om Ferde infört rutiner och åtgärder för att säkerställa adekvat informationssäkerhet för den information som överförts till Kina.

Datatilsynets preliminära slutsats är att Ferde brutit mot ett antal grundläggande skyldigheter som företaget har enligt dataskyddsförordningen (“GDPR”) under en period på 1-2 år. Ferde har bland annat inte haft en giltig rättslig grund för att överföra personuppgifter till Kina.

GDPR kräver att Ferde som personuppgiftsansvarig kan dokumentera att de har genomfört ett antal åtgärder för att säkerställa att personuppgifterna behandlats på ett tillräckligt bra sätt.

Datatilsynet har i sina utredningar avslöjat att Ferde saknade både ett personuppgiftsbiträdesavtal, en konsekvensbedömning avseende dataskydd och en giltig överföringsgrund för behandling av personuppgifter om bilister i Kina. Dessa är alla skyldigheter enligt GDPR och måste finnas innan relevant behandling av personuppgifter kan äga rum.

Datatilsynet anser att dessa överträdelser av GDPR är mycket allvarliga. Syftet med att ha dessa instrument på plats är att sätta ramarna för hanteringen av personuppgifter, att identifiera eventuella svagheter i systemet och att säkerställa en säker och konfidentiell behandling av uppgifterna.

Datatilsynet har endast fokuserat på frågor som rör ett personuppgiftsbiträdesavtal, konsekvensbedömning avseende dataskydd och grunden för överföring av personuppgifter till land utanför EES. Datatilsynet har ytterligare begränsat sina utredningar till de faktiska förhållandena som de var under perioden september 2017 och fram till oktober 2019. Datatilsynet har inte bedöm andra frågor relaterade till Feres behandling av personuppgifter, inklusive innehållet i de avtal som ingåtts, innehållet i konsekvensbedömningen avseende dataskydd och kriterierna som följer av EU-domstolens dom i målet Schrems II.

Datatilsynet har gett Ferde till den 4 juni 2021 att inkomma med eventuella synpunkter. Ett slutgiltigt beslut fattas efter att Datatilsynet har övervägt eventuella synpunkter från Ferde.

Du kan läsa pressmeddelandet här och meddelandet om sanktionsavgifter här, båda endast tillgängliga på norska.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.