Dataombudsmannen vid Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har bötfällt Otavamedia Oy med 85 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att det åren 2018–2021 inletts elva ärenden hos Dataombudsmannens byrå som gäller Otavamedia. Ärendena gäller registrerade som bland annat inte fått något svar på sina begäran och förfrågningar angående deras dataskyddsrättigheter.
Enligt den utredning som Otavamedia gett hade en del av dataskyddsbegäran inte blivit tillgodosedda på grund av ett tekniskt problem med e-postdirigering i samband med byte av tjänsteleverantör. Under felsituationen hade de meddelanden som inkommit till en e-postlåda som reserverats för dataskyddsärenden inte dirigerats till dem som arbetar med kundbetjäning. Situationen upptäcktes först efter begäran om utredning från Dataombudsmannens byrå. Avbrottet i e-postdirigeringen hade då pågått i sju månader.
Dataombudsmannen konstaterar att Otavamedia borde ha sett till att testa sin e-postlåda i och med att det varit fråga om de registrerades huvudsakliga elektroniska kontaktkanal när det gäller dataskyddsfrågor. Bolaget har i ett senare skede tillgodosett alla de dataskyddsbegäran som varit föremål för klagomål hos Dataombudsmannens byrå samt informerat att företaget börjat använda sig av en process för regelbunden testning av e-posten. De registrerade har även haft en möjlighet att lämna in begäran om deras egna uppgifter till Otavamedia med en utskrivbar blankett. Personens underskrift krävdes på blanketten i identifieringssyften.
Dataombudsmannen anser att Otavamedia genom detta förfaringssätt samlat in uppgifter för identifiering i onödigt stor omfattning. Otavamedia behandlar inte underskriftsuppgifter i andra sammanhang, och därför har underskrifterna till exempel inte kunnat jämföras med uppgifter som innehafts tidigare.
Dataombudsmannen påminner om att den personuppgiftsansvarige inte får försvåra användningen av den registrerades rättigheter. I fråga om dataskyddsbegäran får man till exempel inte ställa vissa formella krav utan grundad anledning. Dataskyddsförordningen innehåller, till skillnad mot den gamla personuppgiftslagen, enligt Dataombudsmannen inget krav på underskrift som en förutsättning för att bestyrka identiteten.
Mot denna bakgrund bötfälls Otavamedia med 85 000 euro på grund av bristerna i tillgodoseendet av de registrerades rättigheter via e-postkanalen. Som försvårande omständighet anfördes att bristerna i det förfaringsätt som använts vid tillgodoseendet av dataskyddsrättigheter påverkat ett stort antal registrerade. Otavamedias nättjänster når varje månad ut till över 2 miljoner finländare.
Dataombudsmannen ålade även Otavamedia att åtgärda sitt förfarande för att vara förenligt med dataskyddsbestämmelser samt att avstå från en blankett som måste undertecknas. Företaget gavs dessutom en anmärkning för försummelse av den registrerades rättigheter.