Meny

Påföljdskollegiet vid dataombudsmannens byrå påförde tre påföljdsavgifter för dataskyddsöverträdelser

22.5.2020 14.39 | Publicerad på svenska 25.5.2020 kl. 15.37
Pressmeddelande

Påföljdskollegiet påförde den 18 maj påföljdsavgifter för tre företag för överträdelser mot dataskyddslagstiftningen. Överträdelserna gäller bristfällig information om dataskyddsrättigheter, underlåtenhet att utföra konsekvensbedömning och onödig insamling av personuppgifter.

Brister i informationen till dem som gjort flyttanmälan

Personer som anfört klagan hos dataombudsmannen hade gjort en flyttanmälan hos Posti Ab, varefter de hade kontaktats och mottagit direktmarknadsföring av olika företag. Vid dataombudsmannens byrås utredning framgick det att Posti inte hade berättat för de registrerade om deras rättigheter, bland annat rätten att förbjuda utlämnande av uppgifter, i samband med att flyttanmälan gjordes.

Företaget borde ha berättat tydligt att kunderna har rätt att göra invändningar mot behandlingen av personuppgifter. Posti hade meddelat denna rättighet endast till dem som köpt tilläggstjänster utöver att göra flyttanmälan.
Posti hade meddelat dataombudsmannen att de utreder möjligheterna att förbättra transparensen i behandlingen av personuppgifter redan år 2017. Informationen till kunderna förbättrades i slut i januari 2020, då dataombudsmannens byrå kontaktade Posti på nytt. Överträdelsen gällde 161 000 kunder enbart under år 2019.

Påföljdskollegiet påförde Posti Ab en påföljdsavgift på 100 000 euro.

Konsekvensbedömning avseende dataskydd hade inte utförts, trots att behandlingen av arbetstagarnas platsinformation förutsätter det

I det andra beslutet hade klagan anförts hos dataombudsmannen om att Kymen Vesi Oy behandlade sina anställdas platsinformation genom att lokalisera fordon med hjälp av ett kördatasystem. Den personuppgiftsansvarige hade inte utfört en konsekvensbedömning i enlighet med EU:s allmänna dataskyddsförordning innan behandlingen av platsinformationen påbörjades. Platsinformationen användes bland annat för arbetstidsuppföljning.

En konsekvensbedömning ska utföras när behandlingen sannolikt innebär en hög risk för den registrerade personens rättigheter och friheter. Bedömningen ska göras bland annat vid behandling av platsinformation rörande sårbara registrerade eller om platsinformationen används för systematisk övervakning. Information om situationer där en konsekvensbedömning på grund av behandlingen av platsinformation ska utföras finns publicerad på bland annat dataombudsmannens webbplats.

Påföljdskollegiet påförde Kymen Vesi Oy en påföljdsavgift på 16 000 euro.

Personuppgifter om arbetssökande insamlades i onödan

I det tredje fallet hade dataombudsmannen informerats om att ett företag insamlade personuppgifter om arbetssökande och arbetstagare i onödan. Enligt lagen om integritetsskydd i arbetslivet får en arbetsgivare behandla endast uppgifter som är nödvändiga med tanke på arbetstagarens anställningsförhållande. Brister konstaterades också i dokumenteringen gällande iakttagande av dataskyddsförordningen.

Företaget hade efterfrågat uppgifter om bland annat religiös övertygelse, hälsotillstånd, eventuell graviditet och familjeförhållanden.

Dataombudsmannen ålade företaget att ta bort onödiga uppgifter och gav anmärkningar om bristfällig dokumentering. Dessutom påförde påföljdskollegiet företaget en påföljdsavgift på 12 500 euro.

Besluten har inte vunnit laga kraft. Ändring i besluten kan sökas genom besvär hos förvaltningsdomstolen. Dataombudsmannens byrå nämner i sina meddelanden den organisation som fått en påföljdsavgift när saken bedöms vara allmänt betydelsefull eller när organisationen kan förväxlas med någon annan aktör.

Påföljderna ska vara proportionerliga, effektiva och varnande

Påföljdskollegiet påförde nu påföljdsavgifter för överträdelser mot dataskyddslagstiftningen för första gången. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för konstaterade dataskyddsöverträdelser. Påföljdsavgifternas maximala belopp får vara 4 % av företagets omsättning eller 20 miljoner euro.

Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Ordförande är dataombudsmannen. Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen

Beslut på finska

Ytterligare information:
dataombudsman Reijo Aarnio, tfn 029 566 6730, reijo.aarnio(at)om.fi