Boka kurs

Estland: Elsparksföretag får registrera och kontrollera kundernas vikt via sensorer enligt GDPR

Linkedin Facebook X-twitter Envelope

Andmekaitse Inspektsioon (AKI) anser att elsparksföretag haft rätt att kontrollera kundernas vikt via sensorer enligt dataskyddsförordningen (GDPR).

Av beslutet framgår att en registrerad tagit emot ett meddelande från elsparksföretaget efter sin resa där företaget hävdade att den registrerade inte använt elsparken ensam, det vill säga att elsparken användes samtidigt av den registrerade och en eller flera andra personer. Den registrerade lämnade in ett klagomål till AKI och hävdade att elsparksföretagets integritetspolicy inte innehöll information om insamlingen av kroppsvikt, dess ändamål och rättsliga grund.

Elsparksföretaget hävdade att tandemåkning är förbjuden enligt företagets användarpolicy. För att säkerställa ett regeln efterföljs ansåg företaget att det var nödvändigt att övervaka användarna genom att kontrollera deras vikt via sensorer som installerats på elsparkarna.

AKI konstaterade inledningsvis att en persons vikt i sig är en personuppgift, men att uppgiften inte anses vara känsliga uppgifter i den mening som avses i artikel 9 GDPR. AKI delade även elsparksföretagets bedömning att företaget haft ett berättigat intresse enligt artikel 6.1 (f) GDPR att behandla uppgifterna. Enligt AKI tjänar behandlingen av uppgifterna ett viktigt syfte för såväl kunder som för andra fotgängare, och behandlingen syftar till att förbättra säkerheten i stadens infrastruktur och minska antalet olyckor till följd av tandemåkning och kollisioner med fotgängare.

Vidare ansåg AKI, även om denna behandling innebär övervakning av förändringar av personens vikt, att uppgifterna kommer att användas för att upprätthålla säker körning och det kommer att uppväga integritetsintrånget för de registrerade. Uppgifterna kommer vidare att sparas under en begränsad tidsperiod på ett säkert sätt och kommer endast att användas för att skicka ett meddelande till användaren när eventuell tandemkörning har upptäckts.

Eftersom integritetspolicyn inte innehöll alla nödvändiga upplysningar konstaterade dock AKI att elsparksföretaget brustit i företagets informationsplikt enligt artikel 13.1 GDPR varför myndigheten ansåg att företaget uppdaterar sin integritetspolicy med nödvändig information.

Mer information

Myndighet: Andmekaitse Inspektsioon (AKI)

Land: Estland

Lagrum: Art. 4 GDPR, art. 6 GDPR, art. 9 GDPR, art. 12 GDPR, art. 13 GDPR, art. 22 GDPR, art. 58 GDPR

Skadestånd: N/A

Mottagare: N/A

Beslutsnummer: 2.1.-1/2022-21908

Beslutsdatum: 2023-06-08

Källa: Beslut

Relaterade nyheter

Italien: Företag får 20 000 euro i sanktionsavgift för olaglig behandling av barns hälsouppgifter

Österrike: Bagerikedja får 33 500 euro i sanktionsavgift för olaglig kamerabevakning

Sverige: Ny lag om straffansvar för olovlig finansiell verksamhet

Spanien: Sjukhus får 1 200 000 euro i sanktionsavgift för att ha raderat en patients hälsouppgifter

Sverige: Nya lagar ska stärka Sveriges cybersäkerhet

Italien: Kommun får 18 000 euro i sanktionsavgift för otillåtet offentliggörande av personuppgifter

Spanien: Narobesa får 1 600 euro i sanktionsavgift för otillräckligt samarbete med tillsynsmyndigheten

Italien: Comuni di Orte får 6 000 euro i sanktionsavgift för olaglig kamerabevakning

Spanien: The Red Kiwi får 30 000 euro i sanktionsavgift för bristande konfidentialitet vid marknadsföring via WhatsApp

EU: Rådet stryker kontroversiella GDPR-ändringar ur digitala omnibussen

Fler nyheter

Är du redo för AI-förordningen?

AI-förordningen påverkar alla verksamheter som utvecklar eller använder AI. Gör dig och dina kollegor redo för de nya kraven. Gå AI-kurs med oss.

Till våra AI-kurser