Varsel om overtredelsesgebyr til Ferde AS
Datatilsynet varsler gebyr på 5 millioner kroner til det norske bompengeselskapet Ferde for blant annet å ha ulovlig overført personopplysninger om norske bilister til Kina.
Datatilsynet varsler gebyr på 5 millioner kroner til det norske bompengeselskapet Ferde for blant annet å ha ulovlig overført personopplysninger om norske bilister til Kina.
Datatilsynet ble gjennom en nyhetssak på NRK kjent med at Ferde AS overfører opplysninger knyttet til passeringer i bomringer til en databehandler i Kina. På denne bakgrunn startet Datatilsynet en tilsynssak med fokus på om Ferde har hatt på plass rutiner og tiltak for å sikre tilstrekkelig informasjonssikkerhet for opplysningene som overføres til Kina.
- Vår foreløpige konklusjon er at Ferde AS har brutt en rekke grunnleggende plikter som virksomheten har etter personvernforordningen i en periode på mellom 1-2 år. Blant annet har de ikke hatt et gyldig grunnlag for å overføre personopplysninger til Kina, sier direktør Bjørn Erik Thon i Datatilsynet.
Personvernforordningen krever at Ferde AS som behandlingsansvarlig kan dokumentere at de har iverksatt en rekke tiltak for å sikre at personopplysningene blir behandlet på en tilstrekkelig god måte.
Datatilsynet har i sine undersøkelser avdekket at Ferde AS manglet både databehandleravtale, risikovurdering og overføringsgrunnlag for behandlingen av personopplysninger om bilister i Kina. Disse er alle plikter etter personvernregelverket, og skal være på plass før den aktuelle behandlingen av personopplysninger kan finne sted.
Datatilsynet anser disse overtredelsene av personvernforordningen som svært alvorlige. Formålet med å ha disse instrumentene på plass er å angi rammene for håndteringen av personopplysningene, avdekke mulige svakheter i det systemet og sørge for sikker og konfidensiell behandling av opplysningene.
Datatilsynet har kun fokusert på spørsmål knyttet til eksistensen av databehandleravtale, risikovurdering samt overføringsgrunnlag ved overføring av personopplysninger utenfor EØS. Vi har videre avgrenset våre undersøkelser til de faktiske forhold slik de var i tidsrommet september 2017 og frem til oktober 2019. Datatilsynet har ikke vurdert andre forhold knyttet til Ferde sin behandling av personopplysninger, herunder innholdet i avtalene som er inngått, innholdet i risikovurderingen og kriteriene som følger av EU-domstolens dom i Schrems II-saken.
Ferde AS har frist til å gi sine merknader til varselet innen 4. juni 2021. Hensikten med et varsel er å bidra til at de skal kunne komme med tilbakemelding om hvordan de vurderer saken. Vi fatter endelig vedtak etter at vi har vurdert eventuelle merknader fra Ferde AS.