Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har bötfällt ett företag med 122 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att dataombudsmannen vid Dataombudsmannens byrå utrett företagets tjänst för behandling av personuppgifter relaterade till hälsa på basis av klagomål som myndigheten tagit emot under åren 2018–2019. Utredningarna visade att företaget inte haft samtycken i enlighet med artikel 9 dataskyddsförordningen för att behandla uppgifter om BMI och maximal syreupptagningsförmåga.
Hälsouppgifter utgör så kallade särskilda kategorier av personuppgifter och utgångspunkten är att uppgifternas behandling är förbjuden. Uppgifter kan dock behandlas bland annat när den registrerade har lämnat sitt samtycke till behandlingen. I det aktuella fallet har företaget begärt samtycken till behandling till allmänna hälsouppgifter, men inte specificerat vilka uppgifter som samlades in och behandlades. De begärda samtyckena uppfyllde enligt dataombudsmannen därför inte kraven i artikel 9 GDPR eftersom de inte var uttryckliga och medvetna.
Enligt dataombudsmannen har företaget underrättat de registrerade om behandlingen av deras personuppgifter, men inte gett tillräckligt med information om de typer av personuppgifter som behandlas eller i vilket syfte de olika typerna av personuppgifter behandlas. Ett företag där behandling av personuppgifter är en central del av verksamheten ska alltid enligt dataombudsmannen sörja noga för alla förutsättningar för adekvat behandling av personuppgifter, och i den dataintensiva ekonomin kommer betydelsen av detta att öka konstant.
Mot bakgrund av ovanstående beslutade påföljdskollegiet vid Dataombudsmannens byrå att bötfälla företaget med 122 000 euro för överträdelser av artikel 9 GDPR. Påföljdskollegiet fäste särskild uppmärksamhet vid att omfattande behandling av hälsouppgifter är en central del av företagets kärnverksamhet.
Företagets verksamhetsställe i Finland ansvarar för behandlingen av personuppgifterna, och Dataombudsmannens byrå var den ledande tillsynsmyndigheten under utredningen. Då tjänsten som företaget erbjuder är tillgänglig även i andra EU- och EES-länder, behandlades ärendet i samarbete mellan tillsynsmyndigheterna. Ett av klagomålen hade även anhängiggjorts i en annan medlemsstat. De deltagande tillsynsmyndigheterna har godkänt dataombudsmannens och påföljdskollegiets beslut, och beslutet är bindande för dem.