Påföljdsavgift till ett företag som behandlat hälsouppgifter utan adekvat samtycke
Ett företag hade inte begärt ett uttryckligt samtycke av användarna av sin tjänst för behandling av personuppgiftstyper relaterade till hälsa. Dataombudsmannens byrå påförde företaget en påföljdavgift för överträdelse av dataskyddsförordningen, eftersom behandlingen av hälsouppgifter är en del av företagets kärnverksamhet. Dessutom ålade dataombudsmannen företaget att korrigera sitt förfarande vid begäranden av samtycke.
Dataombudsmannens byrå utredde företagets förfaringssätt på basis av klagomål som byrån mottagit under åren 2018–2019. Utredningarna visade att företaget inte hade samtycken i enlighet med EU:s allmänna dataskyddsförordning för att behandla uppgifter om BMI och maximal syreupptagningsförmåga.
Hälsouppgifter tillhör de så kallade särskilda kategorier av personuppgifter och utgångspunkten är att deras behandling är förbjuden. Uppgifter kan behandlas bland annat när den registrerade har lämnat sitt samtycke till behandlingen. Företaget hade begärt samtycken till behandling till allmänna hälsouppgifter, men inte specificerat vilka uppgifter som samlades in och behandlades. De begärda samtyckena uppfyllde inte kraven i dataskyddsförordningen eftersom de inte var uttryckliga och medvetna.
Dataombudsmannen anser att den registeransvariga hade underrättat de registrerade om behandlingen av deras personuppgifter, men inte gett tillräckligt med information om de typer av personuppgifter som behandlas eller i vilket syfte de olika typerna av personuppgifter behandlas.
Påföljdskollegiet fäste särskild uppmärksamhet vid att omfattande behandling av hälsouppgifter är en central del av företagets kärnverksamhet.
”Ett företag där behandling av personuppgifter är en central del av verksamheten ska alltid sörja noga för alla förutsättningar för adekvat behandling av personuppgifter. I den dataintensiva ekonomin kommer betydelsen av detta att öka konstant”, konstaterar dataombudsmannen Anu Talus.
Ärendet behandlades i gränsöverskridande samarbete mellan EU-länderna
Den tjänst som företaget erbjuder är tillgänglig även i andra EU- och EES-länder, varför ärendet behandlades i samarbete mellan tillsynsmyndigheterna. Ett av klagomålen hade anhängiggjorts i en annan medlemsstat.
Företagets verksamhetsställe i Finland ansvarar för behandlingen av personuppgifterna, och dataombudsmannens byrå var den ledande tillsynsmyndigheten under utredningen. De deltagande tillsynsmyndigheterna har godkänt dataombudsmannens och påföljdskollegiets beslut, och beslutet är bindande för dem.
Dataombudsmannens byrås påföljdskollegium påförde företaget en påföljdsavgift på 122 000 euro för dataskyddsöverträdelser. Företaget fick även en anmärkning.
Besluten har inte ännu vunnit laga kraft och de kan överklagas hos förvaltningsrätten.
Dataombudsmannens och påföljdskollegiets beslut (pdf, på finska)
Mer information:
Dataombudsmannen Anu Talus, anu.talus(at)om.fi, tfn 029 566 6766
Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för brott mot dataskyddslagstiftningen. Påföljdsavgifternas maximala belopp får vara fyra procent av företagets omsättning eller 20 miljoner euro.