挪威公司涉嫌向中国非法跨境传输数据，被数据保护监管机构拟处以500万克朗罚款

Original 数保前线合规小叨客 2022-03-20

收录于话题 #数保前线 51个

文章系本公众号独家首发，未经授权不得转载、摘编

2021年5月6日，因涉嫌非法向其在中国的数据处理者传输驾驶员的个人数据，挪威数据保护监管机构（Norwegian Data Protection Authority, Datatilsynet）拟对挪威道路收费企业Ferde 处以500万挪威克朗（约50万欧元）的罚款。

注：Datatilsynet表示这并不是最终决定，将会在收到Ferde答辩后作出最终决定。

事实概述

Ferde成立于2016年10月5日，总部设在挪威卑尔根，是在挪威政府设立的五个区域性公路收费公司之一。主要业务是为新的收费项目融资，并进行收费。总目标是通过高效的收费和良好的融资条件确保挪威西南区的收费融资。（公司官网见https://ferde.no/en/about-ferde）

Datatilsynet通过一则公开报道的新闻发现线索，Ferde疑似向中国非法传输驾驶员的通行费及通行证相关个人数据。

调查期间，重点评估Ferde是否有足够的技术及组织措施确保传输至中国的数据的安全性与机密性，以及2017年9月至2019年10月间的数据处理情况，包括数据处理协议、风险评估及其他个人数据处理相关事项。

调查显示，Ferde在向位于中国的数据处理者传输个人数据的过程中，未签署数据处理协议，未进行数据保护影响评估，缺乏数据跨境传输的合法依据。

违规行为分析

合规启示

在委托数据处理者时，应通过签订数据处理协议约定双方权利义务，明确数据处理规则、目的和方式；
当处理行为使用了新技术或者处理行为的性质、范围、内容和目的可能会对自然人的权利和自由产生高风险时，应开展数据保护影响评估并留存评估记录；
在涉及数据跨境情况下，应充分考虑当地法规对于数据跨境的合规要求，以GDPR为例，在不满足充分性认定国家、公司约束规则（BCR）的情况下，应签署标准合同条款；
在数据跨境传输情况下，应当采取技术措施及组织措施保障数据传输的安全性与机密性；
跨国企业特别是中资企业，在向海外特别是欧洲客户提供个人数据处理相关服务时，应通过签署协议、采取充分和有效的安全措施等，导入合规要求，保障客户利益，避免业务中断。

案例原文

本文作者：Y.YX

审校：G.RX，Sh.MH

免责声明

本文撰写所需的信息采集自合法公开的渠道，我们无法对信息的真实性、完整性和准确性提供任何形式的保证；

本文仅为分享、交流、学习之目的，任何人都不应以本文全部或部分内容作为决策依据，因此造成的后果将由行为人自行负责。

印度尼西亚反贿赂反腐败法律法规简介

美国出口管制条例（EAR）下的出口授权浅析

美国财政部宣布暂时撤消针对箩筐技术有限公司的制裁

霍尼韦尔因未经授权向中国出口受控技术数据被处以1300万美元罚款

SAP因违反美国出口管制条例被处以超过800万美元罚款

让我知道你在看