H Αρχή Προστασίας Προσωπικών δεδομένων Φινλανδίας, επέβαλλε τρία πρόστιμα σε εταιρείες για παραβίαση της νομοθεσίας προστασίας προσωπικών δεδομένων στις 18 Μαϊου. Οι παραβιάσεις αυτές σχετίζονταν με την μη επαρκή παροχή πληροφοριών στα υποκείμενα κατά την άσκηση των δικαιωμάτων τους, την παραλέιψη διενέργειας έκθεσης εκτίμησης αντικτύπου και τη συλλογή μη απαραίτητων προσωπικών δεδομένων.
Ανεπάρκεια στις πληροφορίες που παρέχονται σε σχέση με τις ειδοποιήσεις αλλαγής διεύθυνσης
Τα φυσικά πρόσωπα που υπέβαλαν καταγγελία στην Αρχή Προστασίας Δεδομένων είχαν λάβει επικοινωνίες άμεσου μάρκετινγκ από διάφορες εταιρείες αφού έκαναν ειδοποιήσεις αλλαγής διεύθυνσης στην Posti Oy, η οποία είναι ο βασικός φορέας παροχής ταχυδρομικών υπηρεσιών στη Φινλανδία. Η έρευνα που διενεργήθηκε από την Φινλανδική Αρχή, αποκάλυψε ότι η Posti δεν είχε ενημερώσει τα υποκείμενα των δεδομένων για τα δικαιώματά τους, συμπεριλαμβανομένου του δικαιώματος να εναντιωθούν στην αποκάλυψη δεδομένων, σε σχέση με την πραγματοποίηση ειδοποιήσεων αλλαγής διεύθυνσης.
Η εταιρεία θα έπρεπε να έχει ενημερώσει με ευκρίνεια τους πελάτες της σχετικά με το δικαίωμά τους να αντιταχθούν στην επεξεργασία των προσωπικών τους δεδομένων. Η Posti είχε προβεί σε ενημερώσεις μόνο σε πελάτες που αγόρασαν επιπλέον υπηρεσίες εκτός από την πραγματοποίηση της ειδοποίησης αλλαγής διεύθυνσης. Η Posti είχε δηλώσει στην Αρχή Προστασίας Δεδομένων ότι θα εξετάσει δυνατότητες βελτίωσης της διαφάνειας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα ήδη από το 2017. Η εταιρεία βελτίωσε τελικά τις πρακτικές της για ενημέρωση των πελατών το 2020, μετά από δεύτερη επικοινωνία της Αρχής με την Posti. Οι παραβιάσεις επηρέασαν 161.000 πελάτες μόνο το 2019. Το συμβούλιο επιβολής κυρώσεων τελικά επέβαλε διοικητικό πρόστιμο 100.000 ευρώ στην Posti Oy.
Η έκθεση εκτίμησης αντικτύπου των επιπτώσεων στην προστασία των δεδομένων σχετικά με την επεξεργασία των δεδομένων θέσης των εργαζομένων δεν είχε διενεργηθεί.
Η δεύτερη απόφαση αφορούσε μια καταγγελία στην Αρχή Προστασίας Δεδομένων σχετικά με τον τρόπο με τον οποίο η Kymen Vesi Oy επεξεργάστηκε τα δεδομένα τοποθεσίας των υπαλλήλων της παρακολουθώντας οχήματα με ένα σύστημα παροχής πληροφοριών οχήματος. Ο υπεύθυνος επεξεργασίας δεν είχε πραγματοποιήσει την εκτίμηση επιπτώσεων που απαιτείται από τον GDPR πριν αρχίσει να επεξεργάζεται τα δεδομένα τοποθεσίας. Τα δεδομένα τοποθεσίας χρησιμοποιήθηκαν για την παρακολούθηση των ωρών εργασίας, μεταξύ άλλων.
Όπως είναι γνωστό, απαιτείται εκτίμηση επιπτώσεων στην προστασία δεδομένων εάν η επεξεργασία ενδέχεται να οδηγήσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Η έκθεση εκτίμησης αντικτύπου είναι απαραίτητη για παράδειγμα εάν τα δεδομένα θέσης ευάλωτων ατόμων υποβάλλονται σε επεξεργασία ή χρησιμοποιούνται για συστηματική παρακολούθηση. Η απόφαση για περιπτώσεις όπου απαιτείται εκτίμηση κινδύνου για την επεξεργασία δεδομένων τοποθεσίας μπορεί να βρεθεί στον ιστότοπο της Φινλανδικής Αρχής προστασίας δεδομένων. Το συμβούλιο κυρώσεων της Αρχής επέβαλε στην Kymen Vesi Oy διοικητικό πρόστιμο ποσού 16.000 ευρώ.
Τα δεδομένα των υποψηφιών εργαζομένων που συλλέγονταν δεν ήταν όλα απαραίτητα
Στην τρίτη περίπτωση, η Αρχή Προστασίας Δεδομένων είχε ειδοποιηθεί για μια εταιρεία που συλλέγει περιττά προσωπικά δεδομένα από αιτούντες εργασία και υπαλλήλους. Σύμφωνα με τον φινλανδικό νόμο για την προστασία της ιδιωτικής ζωής στον εργασιακό βίο, ο εργοδότης επιτρέπεται να επεξεργάζεται δεδομένα που είναι απαραίτητα μόνο βάσει της εργασιακής σχέσης. Ανακαλύφθηκαν επίσης ελλείψεις στην τεκμηρίωση του υπεύθυνου επεξεργασίας σχετικά με τη συμμόρφωση με τον GDPR. Η εταιρεία είχε ζητήσει πληροφορίες για θέματα όπως θρησκευτικές πεποιθήσεις, κατάσταση υγείας, πιθανή εγκυμοσύνη και οικογενειακή κατάσταση των υποκειμένων των δεδομένων. Η Αρχή διέταξε την εταιρεία να διαγράψει τα περιττά δεδομένα η οποία επίσης δέχτηκε επίπληξη για τις ελλείψεις στην έγγραφη τεκμηρίωση. Το συμβούλιο κυρώσεων της επέβαλε εν τέλει διοικητικό πρόστιμο 12.500 ευρώ.
Ωστόσο αξίζει να σημειωθεί ότι οι αποφάσεις αυτές δεν είναι οριστικές, δεδομένου ότι μπορεί να ασκηθεί έφεση στο διοικητικό δικαστήριο. Το Γραφείο του επιτρόπου για την Προστασία Δεδομένων δημοσιεύει το όνομα του οργανισμού στον οποίο επιβλήθηκε το διοικητικό πρόστιμο εάν το θέμα θεωρείται δημόσιου ενδιαφέροντος ή αν υπάρχει περίπτωση ο οργανισμός να συγχέεται με κάποιον άλλο.
Οι κυρώσεις πρέπει να είναι αναλογικές, αποτελεσματικές και προειδοποιητικές
Αυτή ήταν η πρώτη φορά που το συμβούλιο κυρώσεων επέβαλε διοικητικά πρόστιμα για παραβιάσεις του κανονισμού προστασίας δεδομένων. Το διοικητικό συμβούλιο έχει το δικαίωμα να επιβάλλει διοικητικά πρόστιμα για παραβιάσεις προστασίας δεδομένων. Το μέγιστο ποσό του διοικητικού προστίμου είναι 4% του κύκλου εργασιών της εταιρείας ή 20 εκατομμύρια ευρώ. Η λήψη αποφάσεων του συμβουλίου κυρώσεων και η νομική προστασία των υπεύθυνων επεξεργασίας προβλέπονται στον Φινλανδικό Νόμο περί Προστασίας Δεδομένων.