Viking Line fick en påföljdsavgift för olaglig behandling av personalens hälsouppgifter
Dataombudsmannens byrås påföljdskollegium har påfört Viking Line Abp en administrativ påföljdsavgift för dataskyddsförseelser i samband med behandlingen av personalens hälsouppgifter. Bolaget har bland annat sparat arbetstagarnas hälsouppgifter i personaladministrationens system på ett sätt som bryter mot lagen. Det konstaterades också brister i hur företaget informerade sina anställda om behandlingen av personuppgifter.
Dataombudsmannens byrå utredde Viking Lines agerande på basis av ett klagomål där en före detta arbetstagare vid Viking Line berättade att hen inte hade fått alla sina personuppgifter som sparats i bolagets system trots att hen bett att få dem.
Enligt den tidigare arbetstagaren hade Viking Line sparat hens hälsouppgifter i personaladministrationssystemet i 20 år. Viking Line hade bland annat sparat diagnosuppgifter tillsammans med uppgifterna om sjukfrånvaro. Enligt personen var en del av de sparade diagnosuppgifterna felaktiga, eftersom det inte gick att fylla i alla diagnoskoder i systemet. Viking Line hade inte förmedlat diagnosuppgifterna till personen, trots att företaget hade tillgång till uppgifterna när personen bad om dem.
Hälsouppgifter ska sparas separat från andra uppgifter om anställda och man ska försäkra sig om att uppgifterna är korrekta
Biträdande dataskyddsombudet konstaterar att det förekommit flera allvarliga brister i Viking Lines metoder för behandling av personuppgifter.
Enligt lagen ska arbetsgivare spara uppgifter om de anställdas hälsa separat från andra personuppgifter. Att spara diagnosuppgifterna tillsammans med andra uppgifter om arbetsförhållandet stred mot lagen.
Förutom att Viking Line lagstridigt hade sparat anställdas diagnosuppgifter i personaladministrationssystemet hade en del av uppgifterna även varit felaktiga. Påföljdskollegiet ansåg att bolagets agerande till denna del var särskilt klandervärt. Hälsouppgifter borde också ha raderats så fort det inte längre fanns behov av att lagra dem.
Information om behandling av personuppgifter ska vara transparent
Viking Line hade inte adekvat informerat sina anställda om behandlingen av personuppgifter. Biträdande dataombudsmannen ålade bolaget att korrigera sitt agerande och att informera sina anställda om behandlingen av personuppgifter i enlighet med dataskyddsförordningen.
Dessutom konstaterar biträdande dataombudsmannen att bolaget borde ha gett den anställda alla uppgifter som hen bett om.
Anmärkning och påföljdsavgift för dataskyddsförseelser
Dataombudsmannens byrås påföljdskollegium påförde Viking Line Abp en påföljdsavgift på 230 000 euro för flera dataskyddsförseelser. Bolaget fick också en anmärkning.
Påföljdskollegiet betonade också att felaktiga uppgifter har sparats under en anmärkningsvärt lång tid. Felaktiga diagnosuppgifter kan medföra en risk för personers rättsskydd.
Ärendet avgjordes i samarbete med dataskyddsmyndigheterna i Sverige, Norge och Estland.
Biträdande dataombudsmannens och påföljdskollegiets avgöranden i Finlex (på finska)
Mer information:
Biträdande dataombudsmannen Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, tfn 029 566 6787
Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för brott mot dataskyddslagstiftningen. Påföljdsavgifternas maximala belopp får vara fyra procent av företagets omsättning eller 20 miljoner euro.