Hyppää sisältöön

Företaget påförs en påföljdsavgift för elektronisk direktmarknadsföring utan samtycke på förhand och för försummelse av den registrerades rättigheter

5.8.2020 10.51 | Publicerad på svenska 13.8.2020 kl. 11.30
Pressmeddelande

Påföljdskollegiet vid dataombudsmannens byrå har påfört Acc Consulting Varsinais-Suomi (Independent Consulting Oy) en administrativ påföljdsavgift för sändning av elektronisk direktmarknadsföring utan samtycke på förhand och för överträdelse av den registrerades rättigheter. Företaget har inte besvarat begäranden om den registrerades rättigheter eller tillgodosett dem och har inte kunnat visa att personuppgifterna har behandlats lagenligt.

Dataombudsmannens byrå tog emot elva klagomål till behandling under våren och sommaren 2019 om elektronisk direktmarknadsföring och underlåtenhet att tillgodose den registrerades rättigheter enligt den allmänna dataskyddsförordningen. Ämnen för direktmarknadsföringen var olika kurser såsom heta arbeten och avlägsnande av asbest.

Anmärkning om avsaknad av samtycke för elektronisk direktmarknadsföring

De registrerade angav i sina klagomål att de har fått direktmarknadsföringsmeddelanden från företaget utan att de har gett sitt samtycke till det. Enligt 200 § i lagen om dataskydd vid elektronisk kommunikation (917/2014) får direktmarknadsföring riktas endast till sådana fysiska personer som på förhand har gett sitt samtycke till det. Enligt artikel 4.11 i EU:s allmänna dataskyddsförordning ska samtycket vara en frivillig, specifik, informerad och otvetydig viljeyttring.

Några av de registrerade hade svarat på direktmarknadsföringsmeddelandet som skickades per SMS på sättet som den personuppgiftsansvarige specificerat för att förbjuda direktmarknadsföringen. Trots förbudet hade de registrerade fortfarande fått direktmarknadsföringsmeddelanden från den personuppgiftsansvarige. Den personuppgiftsansvarige har därför inte iakttagit de registrerades rätt att göra invändningar mot direktmarknadsföring enligt den allmänna dataskyddsförordningen.

Den personuppgiftsansvarige har ansett sig ha riktat direktmarknadsföring mot samfund, vilket inte kräver ett tillstånd på förhand för elektronisk direktmarknadsföring enligt lagen om dataskydd vid elektronisk kommunikation. Den personuppgiftsansvarige har berättat att de registrerades telefonnummer har använts av företaget där den registrerade arbetar och att dessa företag ingår i den personuppgiftsansvariges kundsegment.

Biträdande dataombudsmannen konstaterar dock att den personuppgiftsansvarige borde ha separat utrett den ifrågavarande personens ställning i samfundet innan direktmarknadsföringen riktades och bedöma särskilt om kurserna som marknadsfördes är relevanta för personens arbetsuppgifter. Direktmarknadsföringen som den personuppgiftsansvarige riktade mot fysiska personer kan därför inte anses ha varit riktad mot samfund och den personuppgiftsansvarige borde ha bett den registrerades samtycke för direktmarknadsföring.

Den personuppgiftsansvarige har fått en anmärkning för behandling av personuppgifter utan samtycke enligt den allmänna dataskyddsförordningen. Dessutom ålägger biträdande dataombudsmannen den personuppgiftsansvarige att åtgärda sitt förfarande angående direktmarknadsföring som riktas mot samfund.

Försummelse av tillgodoseende av den registrerades rättigheter och efterlevnad av ansvarsskyldigheten

En del av klagomålen har även handlat om begäranden om rättigheter enligt den allmänna dataskyddsförordningen som de registrerade har framfört till den personuppgiftsansvarige. Den personuppgiftsansvarige har dock inte svarat på begäranden på sättet som föreskrivs i den allmänna dataskyddsförordningen, dvs. utan oskäligt dröjsmål och högst en månad från mottagande av begäran. Den personuppgiftsansvarige har heller inte tillgodosett begäranden om dessa rättigheter.

Enligt biträdande dataombudsmannen verkar den personuppgiftsansvarige inte ha ordnat sitt förfarande för behandling av personuppgifter på ett sätt som gör det möjligt för denne att berätta om de registrerades rättigheter har blivit tillgodosedda eller om begäranden om rättigheter har mottagits. Biträdande dataombudsmannen konstaterar att den personuppgiftsansvarige har därför inte kunnat visa att personuppgifterna har behandlats lagenligt.

Biträdande dataombudsmannen gav företaget en anmärkning om försummelse av den registrerades rättigheter och underlåtenhet att tillgodose dem. Dessutom förordnade biträdande dataombudsmannen företaget att ändra sina förfarande och genomföra den registrerades rättigheter i enlighet med den allmänna dataskyddsförordningen.

Företaget påfördes en påföljdsavgift

Påföljdskollegiet vid dataombudsmannens byrå påförde företaget en påföljdsavgift på 7 000 euro utöver de ovan nämnda korrigerande åtgärderna. Påföljdskollegiet anser att påföljden är varnande, effektiv och proportionerlig med tanke på överträdelsernas karaktär.

Som försvårande omständigheter har man i beslutsfattande beaktat särskilt gärningens uppsåt, antalet likadana överträdelser under en kort period, den personuppgiftsansvariges likgiltighet för att samarbeta med tillsynsmyndigheter samt det att den personuppgiftsansvarige inte har visat initiativ under utredningen för att vidta korrigerande åtgärder för direktmarknadsföring och tillgodoseende av den registrerades rättigheter.

En lindrande omständighet som har minskat påföljdsavgiften anses att vara det att det inte har framkommit under beredelse av ärendet att de registrerade skulle ha orsakats ekonomisk eller annan materiell skada.

Besvär över biträdande dataombudsmannens och påföljdskollegiets beslut får anföras hos förvaltningsdomstolen, och de ännu inte vunnit laga kraft.

Påföljdskollegiets beslut om elektronisk direktmarknadsföring och den registrerades rättigheter enligt den allmänna dataskyddsförordningen på Finlex (på finska)

Biträdande dataombudsmannens beslut publiceras på Finlex (på finska)

Mer information:

Påföljdskollegiets beslut: dataombudsman Reijo Aarnio, tfn 029 566 6730, reijo.aarnio(at)om.fi

Biträdande dataombudsmannens beslut: biträdande dataombudsmannen Jari Råman, tfn 029 566 6757, jari.raman(at)om.fi

Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för brott mot dataskyddslagstiftningen. Påföljdsavgifternas maximala belopp får vara fyra procent av företagets omsättning eller 20 miljoner euro.

Sivun alkuun