Statens vegvesen må betale 4 millioner i gebyr

Datatilsynet har pålagt Statens vegvesen å betale et overtredelsesgebyr på hele 4 millioner, på grunn av manglende sletting av passeringsopplysninger i bomringen.

REKORDGEBYR: Et overtredelsesgebyr på 4 millioner er det høyeste Datatilsynet har gitt for brudd på personvernreglene GDPR. Foto: NTB Scanpix
REKORDGEBYR: Et overtredelsesgebyr på 4 millioner er det høyeste Datatilsynet har gitt for brudd på personvernreglene GDPR. Foto: NTB Scanpix Vis mer

Overtredelsesgebyret på fire millioner kroner er det høyeste Datatilsynet så langt har varslet etter det nye regelverket (GDPR), skriver de i en pressemelding.

Årsaken til det skyhøye gebyret er manglende sletting av passeringsopplysninger i bomringen.

Statens vegvesen skal ikke ha slettet passeringsopplysninger som brikkenummer, lokasjon og passeringstidspunkt i sin database. I det opprinnelige systemet for lagring av passeringer i bomringen, var det ikke mulig å slette passeringsopplysninger.

- Ulovlig

- Vegvesenet har behandlet personopplysninger ulovlig. Slettefunksjonen har manglet, og det er snakk om enormt mye informasjon som ikke har vært nødvendig å lagre, sier direktør Bjørn Erik Thon.

Datatilsynet skriver at det i vurderingen er særlig lagt vekt på at man i systemet ikke hadde vurdert innebygd personvern, for eksempel automatisk sletting.

- Da er det alvorlig at systemet ikke var innrettet etter personvernregelverket. Folk skal kunne ferdes uten at det blir foretatt unødvendige registreringer, sier Thon.

Arbeider med en ny database

I varsel om pålegg ber Datatilsynet Statens vegvesen om å slette personopplysninger, som brikkenummer, lokasjon og passeringstidspunkt, som lagres utover den tid Vegvesenet lovlig kan oppbevare disse personopplysningene. Grunnen er at slike personopplysninger ikke lenger er nødvendige for formålet de opprinnelig ble samlet inn eller behandlet for.

Statens vegvesen skal ifølge Datatilsynet arbeide med å rette opp i manglene, og vil innføre en ny database hvor funksjonaliteten til å slette data er til stede.

Full gjennomgang

Avdelingsdirektør for Transportutvikling, Per Roald Andersen, sier til Dinside at de ser på vedtaket fra Datatilsynet med stort alvor.

- Dette ser vi på som veldig alvorlig, og vi går nå grundig gjennom vedtaket for å ta en beslutning rundt hva vi gjør videre.

Andersen fortelle at de er i gang med en full gjennomgang med sin leverandør for å se på hva som er gjort, og hva som ikke er gjort med tanke på personvernet.

- Vi jobber med forholdene som denne saken gjelder hver dag for å få klarhet i hvilke data som ikke er slettet, sier Andersen.

Han forteller videre at de allerede har en prosess på gang med etablering av en slettemotor, men at dette er en komplisert prosess, ettersom de må være sikre på hva de sletter.

Andersen understreker at det ikke er noen data som er på avveie, og at all data som de har lagret er lagret sikkert. Dessuten kjørte de en større slettejobb før jul.

- Nå jobber vi målrettet for å få satt slettemotoren i produksjon, og ønsker at dette skal være på plass så raskt som mulig, sier Andersen.