Hoppa till innehåll

Inkassobolag fick påföljdsavgift för allvarliga dataskyddsöverträdelser – företaget besvarade inte privatpersoners begäran att få granska sina egna uppgifter

Utgivningsdatum 11.1.2023 9.01 | Publicerad på svenska 23.1.2023 kl. 9.48
Pressmeddelande

Dataombudsmannens byrås påföljdskollegium har påfört inkassobolaget Alektum Oy en påföljdsavgift på 750 000 euro. Inkassoföretaget hade inte besvarat begäranden som handlade om den registrerades rättigheter. Företaget försvårade och bromsade också upp utredningen av ärendet genom att hålla sig undan för tillsynsmyndigheten.

Dataombudsmannens byrå började utreda ärendet efter att ha mottagit tre klagomål av privatpersoner. Enligt två av klagomålen hade Alektum Oy inte besvarat begärandena om att få granska de egna uppgifterna. En av de klagande hade fått ett svar av Alektum Oy, men trots begäran fick hen ingen kopia av sina personuppgifter.

”Rätten att granska sina egna personuppgifter är central dataskyddsrättighet. Om en person inte har tillgång till sina egna uppgifter kan hen inte till exempel korrigera felaktiga uppgifter eller kontrollera lagligheten av behandlingen av personuppgifter”, konstaterar biträdande dataombudsmannen Heljä-Tuulia Pihamaa.

Under dataombudsmannens byrås utredning kom det fram att Alektum Oy hade i regel låtit bli att besvara begäranden som handlar om den registrerades dataskyddsrättigheter. En organisation som behandlar personuppgifter är skyldig att besvara begäranden som handlar om den registrerades rättigheten inom en månad. Om det har inkommit ett stort antal begäranden eller om begärandena är komplicerade kan den organisation som är registeransvarig ange att organisationen behöver mer tid, högst två månader.

Vad gäller en av de klagande förklarade Alektum Oy att begäran inte besvarades i och med att företaget enligt egen utsago inte längre behandlade den registrerades personuppgifter. Även i detta fall borde företaget ha besvarat begäran och berätta att företaget inte längre behandlar den registrerades personuppgifter. Påföljdskollegiet anser att företaget inte hade blivit tillräckligt insatt i kravet i dataskyddslagstiftningen och att företagets förfaringssätt har vittnar om likgiltighet för lagstiftningen.

Företaget iakttog inte sin skyldighet att samarbeta med tillsynsmyndigheten

Under utredningen försökte dataombudsmannens byrå på olika sätt att få höra Alektum Oy. Påföljdskollegiet anser att företaget har varit ovillig att lämna en redogörelse om sitt förfarande och samarbeta med dataombudsmannens byrå. Enligt dataskyddsförordningen ska en organisation som är personuppgiftsansvarig samarbeta med tillsynsmyndigheten och lämna in de uppgifter som dataskyddsmyndigheten bett om.

I sin bedömning beaktade påföljdskollegiet det faktum att ärendet också handlar om personers rättsskydd. Inkassoavgifterna kan i sista hand tas ut genom myndighetens tvångsmedel, och gäldenären har rätt att få veta om risken för rättslig indrivning.

Biträdande dataombudsmannens och påföljdskollegiets beslut har ännu inte vunnit laga kraft. Ändring i besluten kan sökas genom besvär hos förvaltningsdomstolen.

Biträdande dataombudsmannens och påföljdskollegiets beslut (pdf)

Mer information:

Biträdande dataombudsmannen Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, tfn 029 566 6787

Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för brott mot dataskyddslagstiftningen. Påföljdsavgifternas maximala belopp får vara fyra procent av företagets omsättning eller 20 miljoner euro.

Tillbaka till toppen