Boka kurs

Finland: Utbildningsinstitution får reprimand för att olagligt ha behandlat studenters personuppgifter för marknadsföringsändamål

Linkedin Facebook X-twitter Envelope

Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) ger en kommunal utbildningsinstitution en reprimand för att ha brutit mot principerna om laglighet och ändamålsbegränsning i dataskyddsförordningen (GDPR).

Av beslutet framgår att Dataombudsmannens byrå underrättats om att en kommunal utbildningsinstitution behandlade sina elevers personuppgifter för marknadsföring av kurser som erbjuds av en tredje part utan elevernas samtycke. Dataombudsmannens byrå bad utbildningsinstitutionen att förklara syftet med behandlingen av personuppgifter.

Som svar på begäran klargjorde utbildningsinstitutionen att en lärare skickat ett e-postmeddelande till studenterna där läraren gjort reklam för sin egen kurs i en annan organisation. Utbildningsinstitutionen betonade att utskicket av e-postmeddelandet i fråga inte var relaterat till utbildningsinstitutionen verksamhet, och att e-postmeddelandet i fråga skickats i strid med utbildningsinstitutionens instruktioner. Enligt utbildningsinstitutionens integritetsmeddelande lämnades personuppgifter inte ut till tredje part för direktmarknadsföring.

Dataombudsmannens byrå ansåg att det e-postmeddelande som skickats från utbildningsinstitutionens informationssystem marknadsförde tjänster som erbjuds av en annan organisation och att sådan användning av personuppgifterna var jämförbar med utlämnande. Enligt Dataombudsmannens byrå måste utbildningsinstitutionen i enlighet med artikel 32.4 GDPR se till att dess anställda har tillräcklig förståelse och kompetens när det gäller behandling av personuppgifter och dataskydd.

Vidare ansåg Dataombudsmannens byrå att utbildningsinstitutionen brutit mot artikel 5.1 (a) GDPR, eftersom behandlingen av personuppgifter inte var relaterad till utbildningsinstitutionens verksamhet och det inte fanns någon rättslig grund för behandlingen. Utbildningsinstitutionens syfte med att samla in personuppgifterna var för behandling i samband med högskolans verksamhet. Eftersom annonsen för en annan organisation inte var relaterad till högskolans verksamhet, ansåg Dataombudsmannens byrå också en överträdelse av principen om ändamålsbegränsning enligt artikel 5.1 (b) GDPR.

Som ett resultat utfärdade Dataombudsmannens byrå en reprimand till utbildningsinstitutionen i enlighet med artikel 58.2 (b) GDPR.

Mer information

Myndighet: Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå)

Land: Finland

Lagrum: Art. 5 GDPR, art. 32 GDPR, art. 58 GDPR, art. 16 § 3 mom.

Sanktionsavgift: N/A

Mottagare: N/A

Beslutsnummer: TSV/35/2022

Beslutsdatum: 2023-12-22

Källa: Beslut

Relaterade nyheter

Sverige: Regeringen uppdaterar handlingsplan för nationell cybersäkerhetsstrategi

Sverige: FI identifierar brister i kontinuitetsplanering och hantering av IKT-risker hos finansiella företag

Sverige: Regeringen föreslår lag om AI-baserad ansiktsigenkänning i realtid

Sverige: Sverige ska bygga motståndskraft i samhällsviktig verksamhet

Belgien: Infobel får 40 000 i sanktionsavgift för otillåten vidareförsäljning av personuppgifter

Spanien: Personuppgiftsansvarig får 300 euro i sanktionsavgift för otillräckligt samarbete med tillsynsmyndigheten

Spanien: Energibolag får 500 000 euro i sanktionsavgift för felaktig hantering av kunduppgifter

Italien: Företag får 20 000 euro i sanktionsavgift för olaglig behandling av barns hälsouppgifter

Österrike: Bagerikedja får 33 500 euro i sanktionsavgift för olaglig kamerabevakning

Sverige: Ny lag om straffansvar för olovlig finansiell verksamhet

Fler nyheter

Kostnadsfritt webbinarium om klassning av AI-system enligt AI-förordningen

Under webbinariet går vi igenom hur AI-system bedöms enligt AI-förordningens olika risknivåer och vad det innebär för din verksamhet.

Till webbinaret