Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har bötfällt Viking Line Oy Abp med 230 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den biträdande dataombudsmannen vid Dataombudsmannens byrå granskat Viking Lines behandling av personuppgifter efter att ett klagomål skickats in till myndigheten. En tidigare anställd vid Viking Line berättade för Dataombudsmannens byrå att han inte fått alla de personuppgifter som han hade begärt och som fanns lagrade i företagets system.
Enligt den före detta arbetstagaren hade Viking Line lagrat hans hälsouppgifter i sitt personaladministrativa system i 20 år. Viking Line hade bland annat lagrat diagnostiska uppgifter i HR-systemet tillsammans med uppgifter om sjukfrånvaro. Enligt den klagande var vissa av de lagrade diagnosuppgifterna felaktiga, eftersom det inte var möjligt att ange alla befintliga diagnoskoder i systemet. Viking Line hade inte gett den anställde de diagnostiska uppgifter som han hade begärt, trots att företaget hade uppgifterna i sina system.
Den biträdande datatillsynsmannen konstaterade att det funnits flera allvarliga brister i det sätt på vilket Viking Line hanterat personuppgifter. Enligt lagen ska arbetsgivaren hålla information om arbetstagarens hälsotillstånd åtskild från andra personuppgifter om arbetstagaren. Det var därför enligt den biträdande datatillsynsmannen olagligt att lagra diagnostiska uppgifter tillsammans med andra anställningsrelaterade uppgifter.
Den biträdande datatillsynsmannen konstaterade vidare att Viking Line inte bara lagrat de anställdas diagnostiska uppgifter olagligt i personalhanteringssystemet, utan att en del av uppgifterna också var felaktiga. Den biträdande datatillsynsmannen ansåg att företagets agerande i detta avseende var särskilt förkastligt. Hälsouppgifterna borde också enligt den biträdande datatillsynsmannen ha raderats så snart det inte längre fanns något behov av att spara dem.
Enligt den biträdande datatillsynsmannen har Viking Line vidare inte informerat sina anställda på ett korrekt sätt om behandlingen av personuppgifter. Den biträdande datatillsynsmannen beordrade därför företaget att åtgärda denna brist och informera de anställda om behandlingen av personuppgifter i enlighet med kraven i dataskyddsförordningen. Den biträdande datatillsynsmannen drog vidare slutsatsen att företaget borde ha gett den anställde all den information som den anställde begärt.
Mot bakgrund av ovanstående beslutade påföljdsnämnden vid Dataombudsmannens byrå att bötfälla Viking Line med 230 000 euro för överträdelser av artiklarna 5.1 (a), 5.1 (d), 12.3, 13, 15.1 och 25.1 GDPR. Företaget fick också en varning.
Påföljdsnämnden betonade att även felaktiga diagnostiska uppgifter sparats under en avsevärd tidsperiod, och att felaktiga diagnostiska uppgifter kan utgöra en risk för det rättsliga skyddet av enskilda personer.
Ärendet löstes i samarbete med de svenska, norska och estniska dataskyddsmyndigheterna.