Hoppa till innehåll

Optikeraffär kan behandla kundens personuppgifter även på andra grunder än kundens samtycke

Utgivningsdatum 16.2.2021 16.57 | Publicerad på svenska 22.2.2021 kl. 14.50
Pressmeddelande

Dataombudsmannen har meddelat sitt beslut om en optikeraffärs behandling av personuppgifter i ett ärende som gäller radering av uppgifter om kunden. Dataombudsmannen anser att den personuppgiftsansvarige har haft en grund enligt den allmänna dataskyddsförordningen att behandla personuppgifter, och att de personuppgifter som behandlades var nödvändiga för att identifiera kunden. Den personuppgiftsansvarige har dock inte på ett tillräckligt sätt berättat för den registrerade vilka åtgärder som har vidtagits på grund av raderingsbegäran eller varför uppgifterna inte kan raderas. Den personuppgiftsansvarige ålades också att radera sådana uppgifter som i inte behöver förvaras för dess lagstadgade uppgift.

Dataombudsmannens byrå mottog ett klagomål från en kund som hade begärt en optikeraffär att radera uppgifter om kunden, men inte fått ett svar på sin begäran.

Efter att ha köpt glasögon i optikeraffären märkte kunden att uppgifter om kunden hade sparats i företagets system. Sökanden kontaktade optikeraffären och meddelade att samtycke till att spara uppgifterna inte hade getts. Kunden bad den personuppgiftsansvarige att radera alla uppgifter om sig själv, men fick inget svar på sin förfrågan.

Den personuppgiftsansvarige kan behandla personuppgifter för att försäkra sig om kundens identitet

I samband med begäran om radering av uppgifterna hade den personuppgiftsansvarige bett om uppgifter av kunderna för att försäkra sig om deras identitet. Det var möjligt att göra en begäran om radering av uppgifterna med ett webbformulär. Den personuppgiftsansvarige uppgav att man på webbformuläret ber om identifieringsuppgifter, vilka jämförs med uppgifterna i kundregistret. 

Eftersom de uppgifter som den personuppgiftsansvarige samlar in i identifieringssyfte är de samma som den personuppgifterna vanligtvis behandlar om de registrerade i sitt kundregister, anser dataombudsmannen att personuppgifterna inte har behandlats i strid med principen om uppgiftsminimering i den allmänna dataskyddsförordningen.

Det har funnits en laglig grund för behandlingen, men informationen till den registrerade har varit bristfällig

Enligt den utredning som den personuppgiftsansvarige lämnat in har behandlingen av kundens personuppgifter grundat sig på avtal samt den personuppgiftsansvariges berättigade intresse. Dataombudsmannen konstaterar att samtycke endast är en möjlig grund för behandlingen av personuppgifter.

Om sökanden har anlitat optiker- eller ögonläkartjänster, kan behandlingen av personuppgifter också ha baserat sig på den personuppgiftsansvariges lagstadgade skyldighet. Enligt lagen om yrkesutbildade personer inom hälso- och sjukvården är en optiker en yrkesutbildad person inom hälso- och sjukvården. Därför ska optikern enligt lagen om patientens ställning och rättigheter anteckna sådana uppgifter i journalhandlingar som behövs för att ordna, planera, tillhandahålla och följa upp vården och behandlingen av en patient.

Dataombudsmannen anser i sitt beslut att den personuppgiftsansvarige har haft en grund enligt artikel 6 i den allmänna dataskyddsförordningen för behandlingen av personuppgifter.

Dataombudsmannen har dock gett en anmärkning till den personuppgiftsansvarige. Enligt dataombudsmannen har den personuppgiftsansvarige inte informerat kunden tillräckligt tydligt om vilka åtgärder som den personuppgiftsansvarige har vidtagit efter begäran eller varför uppgifterna inte kan raderas. Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, förutsätter den allmänna dataskyddsförordningen att den personuppgiftsansvarige utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till detta. 

Dataombudsmannen har även ålagt den personuppgiftsansvarige att iaktta kundens begäran och få sina uppgifter raderade till den del som det inte rör sig om journalhandlingar enligt lagen om patientens ställning och rättigheter.

Beslutet kan överklagas hos förvaltningsdomstolen, och det har följaktligen ännu inte vunnit laga kraft.

Dataombudsmannens beslut i Finlex (på finska)

Mer information:

Dataombudsman Anu Talus, anu.talus(at)om.fi, tfn 029 566 6766

Tillbaka till toppen