Finland: Dataombudsmannens byrå anser att parkeringsbolag brutit mot principen om uppgiftsminimering

Den finska dataskyddsmyndigheten Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har ålagt ett icke namngivet parkeringsbolag att anpassa sin praxis att tillhandahålla kvitton till gällande lagstiftning på grund av överträdelser av artiklarna 5.1 (c) och 25 i dataskyddsförordningen (GDPR).

Av beslutet framgår att en registrerade informerat Dataombudsmannens byrå om att inget papperskvitto erbjudits som ett alternativ till parkeringsavgiften. Vid ett tekniskt fel på parkeringsbolagets betalautomater har det istället endast varit möjligt att välja ett sms-kvitto, vars mottagande har krävt upplysning av telefonnummer.

Parkeringsbolaget menade å sin sida att kunden kommer att erbjudas att välja mellan antingen pappers- eller sms-kvitto i samband med betalningen. För att få ett kvitto på betalningen gjord i betalautomaten måste kunden uppge sitt mobilnummer. Enligt företaget begärs telefonnummer endast när kunden vill ha ett sms-kvitto, och uppgifterna behandlas inte för andra ändamål.

Med hänsyn till de olika uppfattningar som framförts i målet har Dataombudsmannens byrå genomfört en inspektion där man granskat driften av en av betalautomaterna på plats. Under granskningen konstaterade Dataombudsmannens byrå att kunden har möjlighet att få ett kvitto från parkeringsautomaten antingen via sms eller papper. Men om det till exempel finns ett tekniskt problem med enhetens skrivare kommer maskinen inte att erbjuda kunden något papperskvitto alls, och SMS-kvittot förblir det enda alternativet. Vid fel kan kunder därför få uppfattningen att ett sms-kvitto är det enda möjliga alternativet. Enligt parkeringsbolaget kan kunden i sådana situationer begära ett papperskvitto från kundtjänsten i efterhand. Denna möjlighet har dock inte nämnts särskilt.

Dataombudsmannens byrå noterar att parkeringsbolaget inte har följt principen om uppgiftsminimering i enlighet med artikel 5.1 (c) GDPR eller kraven på inbyggt dataskydd och dataskydd som standard enligt artikel 25 GDPR i situationer där kunden endast har möjlighet att ta emot ett textmeddelande.

Vid fel har kunden i praktiken ålagts att uppge sitt telefonnummer, men eftersom behandlingen av telefonnummer inte har varit nödvändig borde den inte ha krävts av kunder som har begärt kvitto på papper. Dataombudsmannens byrå beordrade därför parkeringsbolaget att ändra sin policy att leverera kvittot för att följa dataskyddsförordningen.

Mer information

Myndighet: Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå)

Land: Finland

Lagrum: Art. 5 GDPR, art. 25 GDPR

Sanktionsavgift: N/A

Mottagare: N/A

Beslutsnummer: 2245/163/2019

Beslutsdatum: 2022-02-01

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.