Norjan tietosuojaviranomaiselta seuraamusmaksu SATS-kuntokeskusketjulle useista tietosuojarikkomuksista

Norjan valvontaviranomainen on määrännyt kuntokeskusketju SATSille 10 miljoonan Norjan kruunun (noin 900 000 euron) hallinnollisen seuraamusmaksun useista puutteista tietosuojalainsäädännön noudattamisessa. Rikkomukset koskivat erityisesti rekisteröidyn oikeuksien toteuttamista, asiakkaiden informointia henkilötietojen käsittelystä ja henkilötietojen käsittelyperusteen puuttumista. Kuntokeskusketju toimii Norjan lisäksi myös Suomessa, Ruotsissa ja Tanskassa.

Norjan valvontaviranomainen sai kuntokeskusketjun asiakkailta vuosien 2018 ja 2021 välillä useita kanteluita, jotka koskivat rekisteröidyn oikeuksien toteuttamista. SATS ei ollut toteuttanut asiakkaiden pyyntöjä tarkastaa tai poistaa tietonsa täysimääräisesti tai tietosuoja-asetuksessa säädetyssä määräajassa. ”Se, että yritykset täyttävät rekisteröidyn oikeuksiin liittyvät velvollisuutensa, on ehdottoman keskeistä tietosuojan turvaamisen kannalta”, Norjan valvontaviranomainen toteaa.

Yhtiö ei ollut myöskään määritellyt asianmukaisesti perustetta käsitellä kuntokeskusten jäsenten treenihistoriatietoja. Yleistä sopimusehtojen hyväksymistä ei voitu pitää pätevänä suostumuksena asiakkaiden treenihistoriatietojen käsittelylle. Tietojen käsittely ei ollut tarpeen myöskään sopimuksen täytäntöönpanemiseksi.

Lisäksi asiakkaille annetussa tietosuojainformaatiossa mainittiin eri käsittelyperuste kuin mitä SATS kertoi tosiasiallisesti soveltaneensa. Norjan valvontaviranomainen katsoi informoinnin olleen harhaanjohtavaa. SATS ei myöskään ollut kertonut riittävällä tavalla porttikiellon saaneiden jäsenten henkilötietojen säilyttämisestä tai käsittelyperusteesta.

Asia ratkaistiin tietosuojaviranomaisten rajat ylittävässä yhteistyömenettelyssä, jossa Norjan valvontaviranomainen johti asian selvitystä. Myös tietosuojavaltuutetun toimisto osallistui asian käsittelyyn.

SATS on Pohjoismaiden suurin kuntokeskusketju, jolla on noin 700 000 jäsentä. SATS-kuntokeskusketju toimii Suomessa Elixia-nimellä.

Lisätietoja:

​​​​​​​Norjan valvontaviranomaisen päätös viranomaisen verkkosivulla (englanniksi)

Norjan valvontaviranomaisen tiedote norjaksi: Overtredelsesgebyr til Sats (8.2.2023)

Päätös on tehty tietosuojaviranomaisten rajat ylittävässä yhteistyömenettelyssä (ns. yhden luukun periaate, engl. One-Stop-Shop). Norjan valvontaviranomainen toimi johtavana valvontaviranomaisena, sillä rekisterinpitäjän päätoimipaikka sijaitsee Norjassa. Suomen, Ruotsin ja Tanskan tietosuojaviranomaiset toimivat asian käsittelyssä osallistuvina valvontaviranomaisina. Norjan valvontaviranomainen antoi päätöksen kuultuaan osallistuvia valvontaviranomaisia päätösluonnoksesta.