Tietosuojavaltuutetun toimisto (“Dataombudsmannens byrå”) har bötfällt ParkkiPate Oy med 75 000 euro för brott mot artiklarna 5.1 (c), 12.3-4, 12.6, 14.2 (a), 14.3, 15, 17.1 (a) och 25.2 dataskyddsförordningen (“GDPR”).
Av beslutet framgår att ett antal personer fått parkeringsböter av ParkkiPate och därefter begärt information om vilka personuppgifter som behandlades av företaget och, i vissa fall, begärt att deras uppgifter skulle raderas. För att behandla förfrågningarna uppgav dock ParkkiPate att de behövde de registrerades ID-nummer och adress för identifieringsändamål, eftersom deras namn tillsammans med parkeringsbiljettnummer inte var tillräckligt för att verifiera deras identitet.
Enligt Dataombudsmannens byrå har ParkkiPate inte bara brutit mot sin skyldighet att informera de registrerade och rätten att radera deras uppgifter, utan också brutit mot principen om uppgiftsminimering i GDPR. Myndigheten betonade att det är tillåtet att begära ytterligare bevis på identifiering om det finns rimliga skäl att betvivla identiteten hos den fysiska person som lämnar in en begäran.
I de aktuella fallen hade dock inga sådana tvivel funnits. Dessutom ansåg Dataombudsmannens byrå att ParkkiPate agerat i strid med principen om lagringsminimering. ParkkiPate hade lagrat foton av felaktigt parkerade bilar och kopior på parkeringsbiljetter för eventuella framtida tvister i domstol utan att ha definierat en tidsfrist för raderingen av uppgifterna.