Dataombudsmannen: den personuppgiftsansvarige ska se till att genomföra tillräckliga åtgärder för att tillgodose den registrerades rättigheter

Dataombudsmannen har gett anmärkningar om försummelse av den registrerades rättigheter och den personuppgiftsansvariges skyldigheter enligt den allmänna dataskyddsförordningen till två företag som har fortsatt kontakten med kunder trots en begäran om radering av uppgifter och en begäran gällande rätten att göra invändningar. I båda fallen motiverar de personuppgiftsansvarige de fortsatta kontakterna med tekniska fel i systemen.

Rätten att göra invändningar mot direktmarknadsföring tillgodosågs inte på grund av ett fel i patientdatasystemet

I det ena fallet hade en kund två gånger bett ett optikerföretag att upphöra med kontakter som kunden hade börjat få efter att ha besökt en optikeraffär. Enligt artikel 21 i den allmänna dataskyddsförordningen har den registrerade rätt att när som helst invända mot behandling av personuppgifter för direktmarknadsföring, varvid uppgifterna inte ska behandlas för sådana ändamål.

Företaget hade meddelat att de antecknar ett förbud mot direktmarknadsföring i kundens uppgifter, men trots detta fortsatte sändningen av direktmarknadsföringsmeddelanden. Enligt optikerföretaget var orsaken till detta ett tekniskt fel i företagets system. Den personuppgiftsansvarige uppgav att felet korrigerades genast när det upptäcktes.

Kunduppgifterna raderades inte automatiskt från e-postdistributionssystemet

I det andra fallet hade en kund upprepade gånger fått kundmeddelanden från ett nättjänstföretag efter att kundrelationen hade upphört, trots att kunden flera gånger hade bett företaget radera uppgifterna från e-postdistributionen. Enligt artikel 17 i den allmänna dataskyddsförordningen har den registrerade rätt att av den personuppgiftsansvarige få sina personuppgifter raderade, om uppgifterna inte längre är nödvändiga för de ändamål för vilka de samlats in.

Enligt den personuppgiftsansvarige berodde sändningen av meddelanden på ett tekniskt fel, som ledde till att kundens e-postadress, som markerats som passiv, inte automatiskt hade raderats från listan för kundmeddelanden. Den personuppgiftsansvarige uppger att man i samband med begäran om radering i fortsättningen även kommer att kontrollera manuellt att uppgifterna om personen raderas från listan.

De personuppgiftsansvariga ålades att ändra sin verksamhet så att den stämmer överens med den allmänna dataskyddsförordningen

Personuppgiftsansvariga bör försäkra sig om funktionen i de tekniska och organisatoriska åtgärder som genomförs vid behandlingen av personuppgifter för att behandlingen ska stämma överens med den allmänna dataskyddsförordningen. Denna skyldighet gäller mängden personuppgifter som samlas in, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Dataombudsmannen anser i besluten att de personuppgiftsansvariga inte har genomfört sådana åtgärder för att försäkra sig om att de endast behandlar nödvändiga personuppgifter.

Dataombudsmannen gav båda personuppgiftsansvariga en anmärkning, eftersom de inte hade säkerställt att den registrerades rättigheter tillgodoses på ett tillräckligt sätt.

Besluten har ännu inte vunnit laga kraft och de kan överklagas hos förvaltningsdomstolen.

Dataombudsmannens beslut gällande invändning mot direktmarknadsföring i Finlex (på finska)

Dataombudsmannens beslut gällande radering av uppgifter i Finlex (på finska)

Mer information:

Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766