Påföljdsavgift för resebyrå för brott mot dataskyddslagstiftningen
Dataombudsmannens byrå har påfört ett resebyråföretag en administrativ påföljdsavgift för brott mot den allmänna dataskyddsförordningen. Bristerna i företagets verksamhet gällde särskilt säkerhet i samband behandlingen av uppgifter och tillgodoseende av den registrerades rättigheter. Resebyrån hade bland annat använt en nätförbindelse som inte var krypterad i ett visumansökningsformulär och lagrat formulär som innehöll personuppgifter på en öppen webbserver.
En kund hos resebyråföretaget berättade för dataombudsmannens byrå om sina misstankar att företaget inte behandlar uppgifterna i visumbeställningsblanketten i enlighet med dataskyddsbestämmelserna. Kunden hade också bett resebyrån att radera uppgifterna om sig själv från systemet, men företaget hade inte tillmötesgått kundens begäran.
Försummelser av säkerhet i samband med behandlingen av personuppgifter
Nätförbindelsen till företagets webbplats och elektroniska visumansökningsformulär var inte krypterad. Dessutom sparades uppgifter som matades in i formuläret som PDF-filer i en mapp på en öppen webbserver.
I uppgifterna som matades in i formuläret ingick bland annat namn, kontaktuppgifter och passnummer. Dataombudsmannen understryker att särskilt passnumret är en riskfaktor om det förenas med andra uppgifter.
Dataombudsmannen anser att resebyrån har försummat sina skyldigheter avseende lämpligt skydd av uppgifter och säkerhet i samband med behandlingen av uppgifter. Företaget bröt även mot sin skyldighet att tillmötesgå den registrerades begäran om radering av personuppgifter.
Påföljdskollegiet vid dataombudsmannens byrå påförde i december 2021 en mindre koncern inom resebranschen, som resebyråföretaget anses vara en del av, en påföljdsavgift på 6 500 euro.
Dataombudsmannens och påföljdskollegiets beslut i Finlex
Besluten har ännu inte vunnit laga kraft.
Mer information:
Dataombudsman Anu Talus, anu.talus(at)om.fi, tfn 029 566 676
Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för brott mot dataskyddslagstiftningen. Påföljdsavgifternas maximala belopp får vara fyra procent av företagets omsättning eller 20 miljoner euro.