Finnroszág: Az adatvédelmi hatóság első három bírságolása

július 6, 2020
Cikkek, GDPR bírság

A Finn Adatvédelmi Hatóság (DPA) 2020. május 25-én, a GDPR bevezetésének második évfordulójához közeledve három cég megbírságolásáról döntött a Rendelettel kapcsolatos mulasztások miatt. A döntések nem véglegesek, azok a közigazgatási bíróságokon megfellebbezhetők. Alább részletezzük a három esetet.

A DPA 100.000 EUR összegre bírságolta a Posti Oy céget, Finnország vezető postai és logisztikai cégét, miután 2017 és 2019 között számos bejelentés érkezett azzal kapcsolatban, hogy az érintettek lakcímváltozásuk bejelentése után elkezdtek kereskedelmi célú üzeneteket kapni különböző cégektől, akik részére új címüket a cég továbbította.

A DPA szerint ezzel a Posti megszegte a hatályos adatvédelmi rendelkezéseket, ugyanis nem megfelelően tájékoztatta az érintetteket adataik felhasználásáról. Különösen szükséges lett volna felhívnia az érintettek figyelmét a tiltakozáshoz való jogukra (GDPR 21. cikk) – mellyel elkerülhetők lettek volna a szabálytalanul kiküldött marketing üzenetek. A Posti csak olyan ügyfelek esetében teljesítette tájékoztatási kötelezettségét, akik a lakcímváltozás mellett egyéb szolgáltatásokat is megrendeltek tőlük.

A DPA szerint a cég szabálytalanul alkalmazott más bánásmódot a két csoport esetében. A szabálysértés csak 2019-ben körülbelül 161.000 embert érintett. A Posti Oy már bejelentette, hogy fellebbezni fog a döntés ellen.

A második megbírságolt cég a Kymen Vesi Oy volt, egy vízmű. A vizsgálat ebben az esetben is egy egyéni bejelentést követően indult meg, mely szerint a cég kezelte alkalmazottjainak helyadatait a céges járművekbe épített nyomkövetők alapján. Ezt az adatot később többek között arra is felhasználta, hogy az alkalmazottak jelenlétét nyomon kövesse.

Az adatkezelőnek adatvédelmi hatásvizsgálatot kötelező elvégeznie, ha az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve” (GDPR 35. cikk), a GPS alapú nyomon követése pedig a DPA szerint ilyennek minősül. A Kymen Vesi nem végezte el a szükséges hatásvizsgálatot az adatkezelés megkezdése előtt, ezért a DPA 16.000 EUR összegű bírság megfizetésére kötelezi.

A harmadik bírság egy meg nem nevezett cégre lett kiszabva, amely szükségtelenül gyűjtött személyes adatot a hozzá jelentkező álláskeresőktől, illetve munkavállalóitól. Az érintettektől kérdéseket tettek fel vallási meggyőződésükre, egészségi állapotukra, esetleges terhességükre és családi állapotukra vonatkozóan.

A vonatkozó finn törvény értelmében a munkaadó munkavállalóinak csak olyan adatai kezelésére jogosult, melyek szükségesek a munkaviszony teljesítéséhez. A DPA megrovásban részesítette a céget a hiányos dokumentációjára való tekintettel, kötelezte a szükségtelenül kezelt adatok azonnali törlésére, és 12.500 EUR bírságot szabott ki.

A finn DPA azóta egy negyedik ügyben is kiszabott bírságot, melyről ebben a cikkünkben számoltunk be.

A Finn DPA: Finnországban az Adatvédelmi Ombudsman Irodája (Tietosuojavaltuutetun toimisto) a helyi felügyeleti hatóság. Az Iroda tartalmazza magát az Adatvédelmi Ombudsmant, két Asszisztens Adatvédelmi Ombudsmant, továbbá különböző adatvédelmi szakértőket, titkárokat és közszolgákat. A Finn Adatvédelmi Törvény értelmében az Adatvédelmi Ombudsman Irodája jogosult nyomozásokat végezni és szankciókat kiszabni a GDPR-ral kapcsolatos jogszegésekért.

Jogszerű az alkalmazottak GPS-es nyomkövetése

Spanyolország: Bírságok a cookie szabályok megszegéséért

Anglia: GDPR bírság kéretlen telefonhívásokért