Finland: Företag bötfälls med 122 000 euro för behandling av hälsouppgifter utan ett samtycke

Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har bötfällt ett företag med 122 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att dataombudsmannen vid Dataombudsmannens byrå utrett företagets tjänst för behandling av personuppgifter relaterade till hälsa på basis av klagomål som myndigheten tagit emot under åren 2018–2019. Utredningarna visade att företaget inte haft samtycken i enlighet med artikel 9 dataskyddsförordningen för att behandla uppgifter om BMI och maximal syreupptagningsförmåga.

Hälsouppgifter utgör så kallade särskilda kategorier av personuppgifter och utgångspunkten är att uppgifternas behandling är förbjuden. Uppgifter kan dock behandlas bland annat när den registrerade har lämnat sitt samtycke till behandlingen. I det aktuella fallet har företaget begärt samtycken till behandling till allmänna hälsouppgifter, men inte specificerat vilka uppgifter som samlades in och behandlades. De begärda samtyckena uppfyllde enligt dataombudsmannen därför inte kraven i artikel 9 GDPR eftersom de inte var uttryckliga och medvetna.

Enligt dataombudsmannen har företaget underrättat de registrerade om behandlingen av deras personuppgifter, men inte gett tillräckligt med information om de typer av personuppgifter som behandlas eller i vilket syfte de olika typerna av personuppgifter behandlas. Ett företag där behandling av personuppgifter är en central del av verksamheten ska alltid enligt dataombudsmannen sörja noga för alla förutsättningar för adekvat behandling av personuppgifter, och i den dataintensiva ekonomin kommer betydelsen av detta att öka konstant.

Mot bakgrund av ovanstående beslutade påföljdskollegiet vid Dataombudsmannens byrå att bötfälla företaget med 122 000 euro för överträdelser av artikel 9 GDPR. Påföljdskollegiet fäste särskild uppmärksamhet vid att omfattande behandling av hälsouppgifter är en central del av företagets kärnverksamhet.

Företagets verksamhetsställe i Finland ansvarar för behandlingen av personuppgifterna, och Dataombudsmannens byrå var den ledande tillsynsmyndigheten under utredningen. Då tjänsten som företaget erbjuder är tillgänglig även i andra EU- och EES-länder, behandlades ärendet i samarbete mellan tillsynsmyndigheterna. Ett av klagomålen hade även anhängiggjorts i en annan medlemsstat. De deltagande tillsynsmyndigheterna har godkänt dataombudsmannens och påföljdskollegiets beslut, och beslutet är bindande för dem.

Mer information

Myndighet: Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå)

Land: Finland

Lagrum: Art. 4 GDPR, art. 7 GDPR, art. 9 GDPR, art. 56 GDPR, art. 60 GDPR

Sanktionsavgift: 122 000 euro

Mottagare: N/A

Beslutsnummer: 1198/161/2022

Beslutsdatum: 2022-12-27

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.