Hoppa till huvudinnehåll

Tre finländska företag måste betala för att de bröt mot GDPR – Dataombudsmannens byrå har nu utfärdat sina första sanktionsavgifter

Dataombudsmannen Reijo Aarnio.
Dataombudsman Reijo Aarnio. Dataombudsmannen Reijo Aarnio. Bild: Kai Widell / Dataombudsmannens byrå Reijo Aarnio,dataombudsmannen,Dataombudsmannens byrå

Dataombudsmannens byrå har utfärdat sanktionsavgifter till tre företag för att de bröt mot EU:s dataskyddsförordning (GDPR). Det här är första gången den finländska myndigheten använder sig av den här möjligheten sedan förordningen trädde i kraft för ganska exakt två år sedan.

Många finländare som gjorde flyttanmälan till Posti fick efter det direktmarknadsföring av olika företag.

I den utredning som Dataombudsmannens byrå har gjort visade det sig att Posti inte hade berättat om hurdana rättigheter kunderna hade, bland annat att de har rätt att hindra att personuppgifter överlåts till externa aktörer i samband med flyttanmälan.

– Företaget borde ha berättat om det här på ett tydligt sätt, säger dataombudsman Reijo Aarnio i en intervju med Svenska Yle.

Posti nämnde bara om saken för de kunder som köpte tilläggstjänster i samband med flyttanmälan.

Posti förbättrade sina rutiner efter att Dataombudsmannens byrå var i kontakt med företaget tidigare i år. Förseelsen gällde 161 000 kunder endast under år 2019.

Till följd av att Posti inte följde reglerna så utfärdar Dataombudsmannens byrå nu företaget en sanktionsavgift på 100 000 euro.

Syftet med EU:s dataskyddsförordning GDPR är att värna om EU-medborgarnas integritetsskydd.

Dina personuppgifter ska skyddas oavsett var i världen databehandlingen av dina uppgifter sker, om det handlar om en aktör som verkar inom EU.

Två ytterligare fall

Dessutom får Kymen Vesi en sanktionsavgift på 16 000 euro. Företaget behandlade sina anställdas platsdata genom att övervaka var företagets fordon befann sig.

Den registeransvariga hade inte genomfört en konsekvensbedömning enligt GDPR innan han började behandla platsdata.

En konsekvensbedömning måste göras när behandlingen sannolikt utgör en hög risk för den registrerades rättigheter och friheter.

Platsdata användes bland annat för att övervaka arbetstid.

Ytterligare ett företag som inte namnges får en sanktionsavgift på 12 500 euro.

Det samlade in onödiga personuppgifter om sina anställda, vilket inte är tillåtet. Företaget hade bett anställda berätta om sina religiösa övertygelser, om sin hälsa, möjlig graviditet och familjeförhållanden.

Det här sänder en signal om att GDPR måste tas på allvar.― dataombudsman Reijo Aarnio

GDPR-domen fattades i en grupp som kallas för Påföljdskollegiet. Där ingår dataombudsman Reijo Aarnio samt de biträdande dataombudsmännen Anu Talus och Jari Råman.

– Jag hoppas att finländarna förstår att GDPR skapar möjligheter att bygga förtroende. Det är bra att ha ett positivt perspektiv på saken, kommenterar Aarnio.

Han tillägger ändå att sanktionsavgifterna fyller en klar funktion.

– Nu har vi använt oss av de möjligheter lagen ger oss och det här sänder en signal om att GDPR måste tas på allvar, betonar han.

GDPR-domarna i olika länder ska likna varandra

Det de aktuella företagen behöver betala verkar ändå vara långt ifrån de maximala beloppen.

Då en aktör bryter mot dataskyddsförordningen kan sanktionsavgiften som mest vara 20 miljoner euro eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst.

I de allra flesta fallen är sanktionsavgifterna ändå betydligt mindre än så. Det har domar från andra EU-länder redan visat.

Tanken är att dataskyddsmyndigheterna inom unionen ska fatta beslut som liknar varandra. Det ska inte vara strängare beslut i ett land än i ett annat.

Om några dagar har det gått exakt två år sedan EU:s dataskyddsförordning trädde i kraft och Dataombudsmannens byrå fick lov att utfärda sanktionsavgifter.

– Vi har velat vara noggranna med det här och det har därför dragit ut på tiden. I de nu aktuella fallen var det också klart att bara en varning inte skulle ha varit tillräckligt, säger Reijo Aarnio.

Besluten har inte ännu vunnit laga kraft, och kan alltså överklagas till förvaltningsdomstolen.

GDPR gäller alla organisationer som behandlar personuppgifter – till exempel företag, föreningar och myndigheter.

Men finländska myndigheter kan inte påföras sanktionsavgifter, för EU-reglerna har valt att tillämpas på det viset i vårt land. Det är däremot möjligt i flera andra länder, till exempel i Sverige.

Läs också