Ferde AS, ett företag som handhar vägtullar i Norge, har fått ett vite om 5 miljoner norska kronor.

Företaget har olovligen överfört mängder av ostrukturerad data innehållandes personuppgifter till Kina och kritiseras för att sakna personuppgiftbiträdesavtal, riskutvärdering och dokumenterad laglig grund för behandlingen.

Norska Datatillsynet är också tydliga med var ansvaret för det inträffade ligger:

”Ansvaret ligger på styrelsen för Ferde AS, norska aktiebolagslagen 6-12 första stycket och aktiebolagslagen 6-30. Vi betonar styrelsens tillsynsansvar gentemot företaget verksamhet, norska aktiebolagslagen 6-13.

Denna oaktsamhet tillskrivs styrelsen genom styrelsens ordförande som måste anses ha agerat på företagets vägnar.”

Att styrelsen är ytterst ansvarig för att den verksamhet som bedrivs är laglig är känt sedan tidigare och GDPR pekar tydligt ut styrelsen som ytterst ansvarig.  Däremot är det ovanligt att en tillsynsmyndighet så tydligt uttalar sig om brister i tillsynsansvaret.

Skadeståndsrättsligt finns nu alla möjligheter för ägarna av Ferde AS att kräva kompensation från styrelseordförande och styrelse och beslutet borde vara en väckarklocka för alla styrelseledamöter, då det norska beslutet ligger till grund för bedömningar i hela Europa.

https://www.datatilsynet.no/contentassets/7121f4f2de614186bc535823c9da7102/20_01727-3vedtak-om-overtredelsesgebyr—ferde-as.pdf