Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har utfärdat en sanktionsavgift på 6 500 euro mot en resebyrå för brott mot artiklarna 5.1 (f), 17, 25 och 32 i dataskyddsförordningen (GDPR).
Av beslutet framgår att en kund till resebyrån informerat Dataombudsmannens byrå om att företaget kanske inte behandlade sina kunders uppgifter på ett sätt som är förenligt med gällande dataskyddsregler. Under sin utredning konstaterade Dataombudsmannens byrå att resebyrån inte hade säkerställt en säker behandling av personuppgifter. Till exempel var de visumansökningsformulär som kunderna fyllde i offentligt tillgängliga på resebyråns webbserver. Formuläret innehöll bland annat namn, kontaktuppgifter och passnummer. Därutöver hade resebyrån inte följt en kunds begäran om att radera dennes uppgifter från systemen.
Mot bakgrund av ovanstående ansåg Dataombudsmannens byrå att resebyrån behandlat personuppgifter i strid med artiklarna 5.1 (f), 17, 25 och 32 GDPR och fick en administrativ sanktionsavgift på 6 500 euro.