Valikko

Påföljdskollegiet vid dataombudsmannens byrå påförde administrativ påföljdsavgift för flera brister i behandlingen av personuppgifter

29.5.2020 14.46 | Publicerad på svenska 2.6.2020 kl. 16.39
Pressmeddelande

Påföljdskollegiet påförde den 26 maj en administrativ påföljdsavgift för Taksi Helsinki Oy för överträdelser mot dataskyddslagstiftningen. Bolaget hade inte bedömt riskerna och konsekvenserna med behandlingen av personuppgifter förrän det tog i bruk ett kameraövervakningssystem som spelar in bild och ljud i sina taxibilar. Det fanns också brister i informationen till kunder och dokumenteringen av behandling av personuppgifter.

Dataombudsmannens byrå började utreda lagenligheten i behandlingen av personuppgifter hos Taksi Helsinki i november 2019. Det framkom allvarliga brister i hur bolaget behandlar personuppgifter.

Konsekvenserna av behandlingen av personuppgifter hade inte bedömts i enlighet med dataskyddslagstiftningen

Sommaren 2019 förnyade Taksi Helsinki sitt kameraövervakningssystem så att det spelar in ljud och bild. Bolaget bedömde emellertid inte lagenligheten i behandlingen av personuppgifter i anslutning till detta på det sätt som EU:s allmänna dataskyddsförordning kräver.

Biträdande dataombudsman ålade företaget att göra ett jämviktstest, där man bland annat bedömer om behandlingen av personuppgifter är nödvändig samt konsekvenserna för de registrerade personernas intressen och rättigheter.

Taksi Helsinki hade inte heller gjort konsekvensbedömningar i enlighet med dataskyddsförordningen innan behandlingen av personuppgifter påbörjades. Konsekvensbedömningen av dataskyddet borde ha gjorts om säkerhetskameraövervakningen, behandlingen av platsinformation samt automatiska beslut och profilering som görs i samband med stamkundsprogrammet. Biträdande dataombudsmannen ålade företaget att göra de krävda konsekvensbedömningarna.

Ingen motivering gavs för behandlingen av ljuddata

Taksi Helsinki uppgav att de behandlar förarnas, personalens och förarnas kunders personuppgifter med hjälp av ett kameraövervakningssystem som spelar in bild och ljud. Bolaget uppgav emellertid inga motiveringar till varför det behandlade ljuduppgifter endast i en del av de taxibilar som det förmedlar. Senare uppgav bolaget att det rörde sig om ett missförstånd i fråga om behandlingen av ljuduppgifter.

Biträdande dataombudsmannen ansåg att behandlingen av ljuduppgifter inte var förenlig med dataskyddsförordningens princip om uppgiftsminimering. Biträdande dataombudsmannen ålade Taksi Helsinki att säkerställa att behandlingen av ljuduppgifter utan saklig grund ska avslutas omedelbart.

Problem med grundläggande dataskyddsfrågor

I biträdande dataombudsmannens utredning framgick det också att Taksi Helsinki inte berättade om behandlingen av personuppgifter på det sätt som dataskyddslagstiftningen förutsätter. I meddelandena i taxibilarna fanns ingen information om inspelning av ljud eller om var kunderna kunde ha fått information om detta.

Bolaget berättade inte heller om automatiserat beslutsfattande och profilering som görs i samband med stamkundsprogrammet i sin dataskyddsbeskrivning. Biträdande dataombudsmannen ålade företaget att ändra sina informationsrutiner så att information om behandlingen av personuppgifter ges på ett förståeligt sätt. Uppgifterna ska också vara lättillgängliga.

I utredningen upptäcktes även brister i dokumenteringen och definieringen av roller för behandling av personuppgifter. Biträdande dataombudsmannen ålade Taksi Helsinki att korrigera sina praxis.

Påföljden är administrativ påföljdsavgift

Det framkom flera allvarliga brister i hur Taksi Helsinki behandlar personuppgifter när det gäller identifiering av risker, iakttagande av dataskyddsprinciper och tillgodoseende av de registrerades rättigheter.
Påföljdskollegiet vid dataombudsmannens byrå påförde en påföljdsavgift på 72 000 euro för Taksi Helsinki. Kollegiet uppskattade att beloppet är proportionerligt, effektivt och varnande.

Besvär över biträdande dataombudsmannens och påföljdskollegiets beslut får anföras hos förvaltningsdomstolen, och följaktligen har de inte vunnit laga kraft.

Biträdande dataombudsmannens och påföljdskollegiets beslut om lagenligheten i behandlingen av personuppgifter (pdf på finska)

Ytterligare information:
Påföljdskollegiets beslut: dataombudsman Reijo Aarnio, tfn 029 566 6730, reijo.aarnio(at)om.fi
Biträdande dataombudsmannens beslut: biträdande dataombudsman Anu Talus, anu.talus(at)om.fi

Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för brott mot dataskyddslagstiftningen. Påföljdsavgifternas maximala belopp får vara fyra procent av företagets omsättning eller 20 miljoner euro.