Norska Datatilsynet utfärdar ett vite om 4 100 000kronor till Statens Vegvesen.

Vitet är det högsta som utdömts i Norge och träffar dessutom en myndighet, utan att någon information blivit röjd.

Tillsyn inleddes efter en anmälan från en privatperson som gjorde Datatilsynet uppmärksamma på att information från vägtullsstationer sparades längre än de 5 år de skulle sparas.

Informationen har sparats i ett system som saknat funktion för att ta bort personuppgifter. Statens Vegvesen har känt till bristen, men har inte löst det tillsammans med sin leverantör.

Datatilsynet drar slutsatsen att Statens Vegvesen har:

  • Lagrat personuppgifter längre än vad som är lagligt vilket är ett brott mot artikel 5.1a och 17.1a och d.
  • Saknat implementering av passande tekniska och organisatoriska lösningar som gör det möjligt att följa dataskyddsprinciperna, bland annat dataminimering, vilket gör att man inte uppfyller kraven i artikel 25.1.

Datatillsynet ser stora likheter med Deutsche Wohnen fallet i Tyskland:

  • Personuppgifter kunde inte raderas
  • Man har försökt lösa problemet men misslyckats
  • Personuppgifterna har inte blivit röjda
  • Lagringen inleddes innan GDPR trädde i kraft
  • Man hade inte kontrollerat om personuppgifter var dokumenterade
  • Man har inte tagit hänsyn till ”privacy-by-design”

I jämförelse med de dryga 150Mkr som Deutsche Wohnen fick i vite, kan det 4Mkr anses vara lite. Man ska då ta i beaktandet att det norska maxvitet för offentlig sektor är 10M norska kronor.

Återigen ser vi hur viktigt det är att ha sin data dokumenterad och under kontroll, för att kunna leverera på skyldigheterna mot registrerade.

https://www.datatilsynet.no/contentassets/0c61777547e74a6e90ad4555a1728869/varsel-om-vedtak-om-palegg-og-overtredelsesgebyr_statens-vegvesen.pdf