Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) konstaterar att Forenom Oy gjort sig skyldig till överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att hackare fått tillgång till Forenoms informationssystemen, ett företag som tillhandahåller boendetjänster, innehållandes cirka 165 000 personuppgifter om företagets kunder. Efter att ha mottagit klagomål från berörda registrerade inledde Dataombudsmannens byrå en utredning för att fastställa omständigheterna kring dataläckan. När Forenom ombads kommentera fakta hävdade företaget att den typ av uppgifter som samlades in berodde på vilken grupp personen tillhörde, oavsett om det var hyresgäster, ägare eller företagskontakter. När det gäller lagringsperioden för uppgifterna sparades information om hyresvärdar och hyresgäster i tio år från det att hyresförhållandet eller kontraktet upphörde, medan uppgifter om kundrelationer sparades i fem år från den senaste aktiviteten. Enligt Forenom spelar långtidsuthyrning av lägenheter en betydande roll i dess verksamhet. Därför ansåg Forenom att det var nödvändigt att spara uppgifterna för att kunna svara på eventuella ersättningskrav som enligt nationell bokföringslag kan göras inom en tioårig tidsfrist. Efter denna period raderades eller anonymiserades uppgifterna.
Dataombudsmannens byrå ansåg att Forenom inte följt principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR eller principen om lagringsminimering enligt artikel 5.1 (e) GDPR. Dataombudsmannens byrå betonade att inte all information om boende och hyresförhållanden skulle omfattas av bokföringslagens tillämpningsområde och att Forenom inte gav en tydlig förklaring till vilka uppgifter som sparades i tio år och varför.
Enligt dataskyddsförordningen måste den personuppgiftsansvarige också genomföra lämpliga tekniska och organisatoriska åtgärder för att som standard säkerställa att endast nödvändiga personuppgifter behandlades i syfte att svara på eventuella skadeståndsanspråk. Dataombudsmannens byrå påminde om att denna skyldighet inte bara gäller i förhållande till mängden insamlade personuppgifter, utan även till lagringstiden och uppgifternas tillgänglighet.
Forenom har i det aktuella fallet inte bedömt de möjliga riskerna med att lagra uppgifterna och därmed inte vidtagit lämpliga tekniska och organisatoriska säkerhetsåtgärder för att förebygga dessa risker, vilket utgör överträdelser av artiklarna 25.2, 32.1 och 32.2 GDPR.