– Datatilsynet ble gjennom en nyhetssak på NRK kjent med at Ferde AS overfører opplysninger knyttet til passeringer i bomringer til en databehandler i Kina. På denne bakgrunn startet Datatilsynet en tilsynssak med fokus på om Ferde har hatt på plass rutiner og tiltak for å sikre tilstrekkelig informasjonssikkerhet for opplysningene som overføres til Kina, opplyser Datatilsynet.

– Vår konklusjon er at Ferde AS har brutt en rekke grunnleggende plikter som virksomheten har etter personvernforordningen i en periode på mellom 1–2 år. Blant annet har de ikke hatt et gyldig grunnlag for å overføre personopplysninger til Kina, sier direktør Bjørn Erik Thon i Datatilsynet.

Dermed står Datatilsynet fast ved beslutningen om å ilegge et gebyr på fem millioner kroner, etter å ha sendt selskapet et varsel om gebyr på samme beløp tidligere i år.

Dette melder Datatilsynet på sine nettsider.

Flere alvorlige mangler

Personvernforordningen krever at Ferde AS som behandlingsansvarlig kan dokumentere at de har iverksatt en rekke tiltak for å sikre at personopplysningene blir behandlet på en tilstrekkelig god måte.

Datatilsynet har i sine undersøkelser avdekket at Ferde AS manglet både databehandleravtale, risikovurdering og overføringsgrunnlag for behandlingen av personopplysninger om bilister i Kina. Disse er alle sentrale plikter etter personvernregelverket, og skal være på plass før den aktuelle behandlingen av personopplysninger kan finne sted.

– Dette er en alvorlig sak. Formålet med å ha disse instrumentene på plass er å angi rammene for håndteringen av personopplysningene, avdekke mulige svakheter i systemet og sørge for sikker og konfidensiell behandling av opplysningene. Selskapet har også overført persondata til Kina, og det er et stort antall personer som er berørt. Derfor har vi nå gitt et så stort overtredelsesgebyr, sier Bjørn Erik Thon, direktør i Datatilsynet.

Fokus på overføring ut av EØS

Datatilsynet har kun fokusert på spørsmål knyttet til eksistensen av databehandleravtale, risikovurdering samt overføringsgrunnlag ved overføring av personopplysninger utenfor EØS. Vi har videre avgrenset våre undersøkelser til de faktiske forhold slik de var i tidsrommet september 2017 og frem til oktober 2019.

Datatilsynet har ikke vurdert andre forhold knyttet til Ferde sin behandling av personopplysninger, herunder innholdet i avtalene som er inngått, innholdet i risikovurderingen og kriteriene som følger av EU-domstolens dom i Schrems II-saken.

– Vedtaket kan påklages. Klagefristen er tre uker fra mottaket av brevet, melder Datatilsynet.

Sandnesposten har bedt kommunikasjonsansvarlig Marit Husa i Ferde om en kommentar til offentliggjørelsen av boten. Svaret legges til straks det foreligger.