Artikkel

Datatilsynet varsler rekordhøyt overtredelsesgebyr

Datatilsynet sendte 25.02.2020 varsel om vedtak om pålegg og overtredelsesgebyr til Statens vegvesen. Statens vegvesen står i fare for å måtte betale fire millioner kroner for overtredelse av personvernforordningen. Datatilsynet har i sitt varsel konkludert med at Statens vegvesen har handlet grovt uaktsomt.

Bakgrunnen for varselet er Statens vegvesens manglende sletting av passeringsopplysninger, som brikkenummer, lokasjon og passeringstidspunkter. Klager i saken dokumenterte at systemet lagret opplysninger tilbake til 2011, og det kom frem i saken at bostedsadresser fra 2008 og 2010 fortsatt var registrert.

Datatilsynet er av den oppfatning at den manglende slettingen medfører at Statens vegvesen har behandlet personopplysninger lengre enn det som er nødvendig for formålet.

Statens vegvesen får særlig kritikk for ikke å ha vurdert og implementert mulighet for automatisk sletting. Datatilsynets vurdering er at Statens vegvesen følgelig ikke har oppfylt kravene til innebygd personvern. I tillegg har Statens vegvesen brutt personvernregelverket ved at de ikke klart å slette personopplysninger når klager sendte henvendelse om dette. 

«Det er urovekkende at bompengesystemet har eksistert i nær 20 år uten at man har oppdaget den manglende slette-funksjonaliteten. Det tyder på manglende fokus på rettighetene til de registrerte og manglende testing av systemet».

                - Datatilsynet i vedtak til Statens Vegvesen 25.02.20

 

Datatilsynet: Forslag til utbedring hadde ikke vesentlig betydning

Datatilsynets varsel viser at det ikke aksepteres at systemer ikke oppfyller kravene til innebygd personvern. Selv om Statens vegvesen viste til at de hadde forsøk å endre funksjonaliteten, samt hadde nytt system på plass, så uttaler Datatilsynet at dette «ikke har vesentlig betydning da denne funksjonaliteten skulle vært på plass fra starten av». Noe som også viser hvor kompleks disse sakene er.

For alle som fortsatt benytter gamle systemer som ikke oppfyller kravene til innebygd personvern, så anbefales det å sette i gang prosessene med å endre eller bytte system. Vi anbefaler også at det samtidig innarbeides gode rutiner for sletting.

Vi nevner for øvrig at Datatilsynet ved utmålingen av overtredelsesgebyret så at det forelå klare paralleller til «Deutsche Wohnen-saken» hvor det ble ilagt bot på 14,5 millioner euro for manglende sletting i arkivsystem for leietakere.

 

 

Oversikt over foreløpige GDPR-bøter

Les Deloitte Advokatfirmas oversikt over de viktigste vedtakene om GDPR-bøter etter regelverkets ikrafttredelse i 2018.
 

Se oversikten her
Var denne siden nyttig?