Den finska dataskyddsmyndigheten Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har ålagt ett icke namngivet parkeringsbolag att anpassa sin praxis att tillhandahålla kvitton till gällande lagstiftning på grund av överträdelser av artiklarna 5.1 (c) och 25 i dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerade informerat Dataombudsmannens byrå om att inget papperskvitto erbjudits som ett alternativ till parkeringsavgiften. Vid ett tekniskt fel på parkeringsbolagets betalautomater har det istället endast varit möjligt att välja ett sms-kvitto, vars mottagande har krävt upplysning av telefonnummer.
Parkeringsbolaget menade å sin sida att kunden kommer att erbjudas att välja mellan antingen pappers- eller sms-kvitto i samband med betalningen. För att få ett kvitto på betalningen gjord i betalautomaten måste kunden uppge sitt mobilnummer. Enligt företaget begärs telefonnummer endast när kunden vill ha ett sms-kvitto, och uppgifterna behandlas inte för andra ändamål.
Med hänsyn till de olika uppfattningar som framförts i målet har Dataombudsmannens byrå genomfört en inspektion där man granskat driften av en av betalautomaterna på plats. Under granskningen konstaterade Dataombudsmannens byrå att kunden har möjlighet att få ett kvitto från parkeringsautomaten antingen via sms eller papper. Men om det till exempel finns ett tekniskt problem med enhetens skrivare kommer maskinen inte att erbjuda kunden något papperskvitto alls, och SMS-kvittot förblir det enda alternativet. Vid fel kan kunder därför få uppfattningen att ett sms-kvitto är det enda möjliga alternativet. Enligt parkeringsbolaget kan kunden i sådana situationer begära ett papperskvitto från kundtjänsten i efterhand. Denna möjlighet har dock inte nämnts särskilt.
Dataombudsmannens byrå noterar att parkeringsbolaget inte har följt principen om uppgiftsminimering i enlighet med artikel 5.1 (c) GDPR eller kraven på inbyggt dataskydd och dataskydd som standard enligt artikel 25 GDPR i situationer där kunden endast har möjlighet att ta emot ett textmeddelande.
Vid fel har kunden i praktiken ålagts att uppge sitt telefonnummer, men eftersom behandlingen av telefonnummer inte har varit nödvändig borde den inte ha krävts av kunder som har begärt kvitto på papper. Dataombudsmannens byrå beordrade därför parkeringsbolaget att ändra sin policy att leverera kvittot för att följa dataskyddsförordningen.