Kolme yritystä on saanut tuntuvan seuraamusmaksun tietosuojalainsäädännön rikkomisesta, tiedottaa Tietosuojavaltuutetun toimisto. Kyseessä on ensimmäinen kerta, kun seuraamuskollegio määräsi maksuja.
Isoimman seuraamuksen sai Posti Oy, 100 000 euroa.
Syynä oli se, ettei Posti ollut kertonut muuttoilmoituksen tehneille asiakkailleen heidän oikeuksistaan, joihin lukeutui oikeus kieltää tietojen luovuttaminen. Posti oli kertonut tästä oikeudesta ainoastaan asiakkaille, jotka ostivat lisäpalveluita.
Kantelijoiden mukaan he olivat muuttoilmoituksen teon jälkeen saaneet yhteydenottoja ja suoramarkkinointia eri yrityksiltä.
Postin rikkomus koski pelkästään vuoden 2019 aikana 161 000:ta asiakasta. Posti paransi informointia vasta tammikuussa 2020, kun tietosuojavaltuutettu oli ollut uudelleen yhteydessä siihen. Alun perin Posti oli ilmoittanut tietosuojavaltuutetulle selvittävänsä mahdollisuuksia parantaa henkilötietojen käsittelyn läpinäkyvyyttä jo vuonna 2017.
Toisessa tapauksessa seuraamuskollegio määräsi 16 000 euron maksun Kymen Vesi Oy:lle.
Kantelijoiden mukaan Kymen Vesi käsitteli työntekijöidensä sijaintitietoja paikantamalla ajoneuvoja ajotietojärjestelmän avulla. Sijaintitietoja käytettiin muun muassa työajan seurantaan.
Rekisterinpitäjä eli Kymen Vesi ei ollut tehnyt EU:n yleisen tietosuoja-asetuksen mukaista vaikutustenarviointia ennen sijaintitietojen käsittelyn aloittamista. Vaikutustenarviointi on kuitenkin tehtävä, kun käsittelystä "todennäköisesti seuraa korkea riski rekisteröidyn henkilön oikeuksille ja vapauksille". Arviointi on tehtävä muun muassa, jos käsitellään heikommassa asemassa olevien rekisteröityjen sijaintitietoja tai sijaintitietoja käytetään järjestelmälliseen valvontaan.
Kolmannessa tapauksessa yritys, jota ei tiedotteessa nimetä, kysyi työnhakijoiltaan ja työntekijöiltään sellaisia henkilötietoja, jotka eivät olleet tarpeellisia työsuhteen kannalta.
Yritys oli kysynyt tietoja muun muassa uskonnollisesta vakaumuksesta, terveydentilasta, mahdollisesta raskaudesta ja perhesuhteista. Työelämän tietosuojalain mukaan työnantaja saa käsitellä vain työntekijän työsuhteen kannalta tarpeellisia tietoja.
Yrityksessä todettiin puutteita todettiin myös tietosuoja-asetuksen noudattamiseen liittyvässä dokumentoinnissa.
Seuraamusmaksu oli 12 500 euroa.
Päätökset eivät ole lainvoimaisia.
Seuraamuskollegiolla on toimivalta määrätä hallinnollisia seuraamusmaksuja todetuista tietosuojarikkomuksista. Seuraamusmaksujen enimmäismäärä voi olla 4 prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.
Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Puheenjohtajana toimii tietosuojavaltuutettu.