Datatilsynet har meddelat en avgift på 5 miljoner norska kronor till det norska vägtullföretaget Ferde AS för att bland annat ha olagligt överfört personuppgifter om norska bilister till ett personuppgiftsbiträde i Kina.
Genom en nyhet på NRK blev Datatilsynet medveten om att Ferde överfört överfört personuppgifter om norska bilister till ett personuppgiftsbiträde i Kina. Mot denna bakgrund inledde den norska dataskyddsmyndigheten ett tillsynsärende med fokus på om Ferde infört rutiner och åtgärder för att säkerställa adekvat informationssäkerhet för den information som överförts till Kina.
Datatilsynets preliminära slutsats är att Ferde brutit mot ett antal grundläggande skyldigheter som företaget har enligt dataskyddsförordningen (“GDPR”) under en period på 1-2 år. Ferde har bland annat inte haft en giltig rättslig grund för att överföra personuppgifter till Kina.
GDPR kräver att Ferde som personuppgiftsansvarig kan dokumentera att de har genomfört ett antal åtgärder för att säkerställa att personuppgifterna behandlats på ett tillräckligt bra sätt.
Datatilsynet har i sina utredningar avslöjat att Ferde saknade både ett personuppgiftsbiträdesavtal, en konsekvensbedömning avseende dataskydd och en giltig överföringsgrund för behandling av personuppgifter om bilister i Kina. Dessa är alla skyldigheter enligt GDPR och måste finnas innan relevant behandling av personuppgifter kan äga rum.
Datatilsynet anser att dessa överträdelser av GDPR är mycket allvarliga. Syftet med att ha dessa instrument på plats är att sätta ramarna för hanteringen av personuppgifter, att identifiera eventuella svagheter i systemet och att säkerställa en säker och konfidentiell behandling av uppgifterna.
Datatilsynet har endast fokuserat på frågor som rör ett personuppgiftsbiträdesavtal, konsekvensbedömning avseende dataskydd och grunden för överföring av personuppgifter till land utanför EES. Datatilsynet har ytterligare begränsat sina utredningar till de faktiska förhållandena som de var under perioden september 2017 och fram till oktober 2019. Datatilsynet har inte bedöm andra frågor relaterade till Feres behandling av personuppgifter, inklusive innehållet i de avtal som ingåtts, innehållet i konsekvensbedömningen avseende dataskydd och kriterierna som följer av EU-domstolens dom i målet Schrems II.
Datatilsynet har gett Ferde till den 4 juni 2021 att inkomma med eventuella synpunkter. Ett slutgiltigt beslut fattas efter att Datatilsynet har övervägt eventuella synpunkter från Ferde.