Påföljdsavgift för Otavamedia på grund av brister i tillgodoseendet av dataskyddsrättigheter
Dataombudsmannen observerade brister i tillgodoseendet av begäran om granskning och utplåning av de registrerades uppgifter vid Otavamedia Oy. Att kräva en blankett som skulle undertecknas för identifiering av kunden stred därtill mot dataskyddsbestämmelser.
Vid dataombudsmannens byrå inleddes åren 2018–2021 elva ärenden som gäller Otavamedia. Klaganden hade bland annat inte fått något svar på sina begäran och förfrågningar angående deras dataskyddsrättigheter.
De registrerades kontaktkanaler ska testas regelbundet
Enligt den utredning som Otavamedia gett hade en del av dataskyddsbegäran inte blivit tillgodosedda på grund av ett tekniskt problem med e-postdirigering i samband med byte av tjänsteleverantör. Under felsituationen hade de meddelanden som inkommit till en e-postlåda som reserverats för dataskyddsärenden inte dirigerats till de som arbetar med kundbetjäning. Situationen upptäcktes först efter begäran om utredning från dataombudsmannens byrå. Avbrottet i e-postdirigeringen hade då pågått i sju månader.
Dataombudsmannen konstaterar att Otavamedia borde ha sett till att testa sin e-postlåda i och med att det varit fråga om de registrerades huvudsakliga elektroniska kontaktkanal när det gäller dataskyddsfrågor.
Bolaget har senare tillgodosett alla de dataskyddsbegäran som varit föremål för klagomål samt informerat att de börjat använda sig av en process för regelbunden testning av e-posten.
För identifiering ska inte begäras onödiga uppgifter
De registrerade har haft en möjlighet att lämna in begäran om deras egna uppgifter till Otavamedia med en utskrivbar blankett. Personens underskrift krävdes på blanketten i identifieringssyften.
Dataombudsmannen anser att Otavamedia genom detta förfaringssätt samlat in uppgifter för identifiering i onödigt stor omfattning. Otavamedia behandlar inte underskriftsuppgifter i andra sammanhang, och därför har underskrifterna till exempel inte kunnat jämföras med uppgifter som innehafts tidigare.
Dataombudsmannen påminner om att den personuppgiftsansvarige inte får försvåra användningen av den registrerades rättigheter. I fråga om dataskyddsbegäran får man till exempel inte ställa vissa formella krav utan grundad anledning. Den allmänna dataskyddsförordningen innehåller, till skillnad mot den gamla personuppgiftslagen, inget krav på underskrift som en förutsättning för att bestyrka identiteten.
Påföljdsavgift och anmärkning för dataskyddsbrott
Påföljdskollegiet vid dataombudsmannens byrå har påfört Otavamedia en administrativ påföljdsavgift på 85 000 euro på grund av bristerna i tillgodoseendet av de registrerades rättigheter via e-postkanalen. Dataombudsmannen ålade Otavamedia att åtgärda sitt förfarande för att vara förenligt med dataskyddsbestämmelser samt att avstå från en blankett som måste undertecknas. Bolaget gavs dessutom en anmärkning för försummelse av den registrerades rättigheter.
Enligt påföljdskollegiet har bristerna i det förfaringsätt som använts vid tillgodoseendet av dataskyddsrättigheter påverkat ett stort antal registrerade. Otavamedias nättjänster når varje månad ut till över 2 miljoner finländare.
Besluten har vunnit laga kraft.
Dataombudsmannens och påföljdskollegiets beslut i Finlex
Mer information:
Dataombudsman Anu Talus, anu.talus(at)om.fi, tfn 029 566 6766
Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för brott mot dataskyddslagstiftningen. Påföljdsavgifternas maximala belopp får vara fyra procent av företagets omsättning eller 20 miljoner euro.