Аудио запис в таксито докара на компанията от Хелзинки глоба от 72 000 евро

Интересни решения на Финландската агенция за защита на данните за налагане на санкции заради пропуски в обработката на лични данни

Службата за санкции на Омбудсмана за защита на данни наложи административна глоба на Taksi Helsinki Oy за нарушения на законодателството за защита на данните на 26 май. Компанията не е оценила рисковете и ефектите от обработката на лични данни, преди да използва в своите таксита система за видеонаблюдение, която освен видео прави и аудиозапис. Недостатъци са открити и в информацията, предоставена на клиентите, и в документацията за обработка на лични данни.

Службата на омбудсмана за защита на личните данни започна разследване на обработката на личните данни на Taksi Helsinki през ноември 2019 г. Сериозни пропуски бяха открити при обработката на лични данни на компанията.

Въздействието на обработката не е оценено в съответствие със законодателството за защита на данните.

Taksi Helsinki замени своята система за наблюдение с такава, която записва както видео, така и аудио през лятото на 2019 г.

Въпреки това, компанията не е оценила съответствието на обработката на лични данни с GDPR.

Заместник омбудсманът за защита на данните нареди на компанията да проведе тест за баланс, за да оцени, например, необходимостта от обработка на лични данни и нейното въздействие върху интересите и правата на субектите на данни.

Taksi Helsinki не успя да извърши оценките на въздействието, изисквани от GDPR преди началото на обработката, пише в решението. Оценките на въздействието върху защитата на данните биха били необходими за наблюдение на камерите за сигурност, обработка на данни за местоположение и автоматизирано вземане на решения и профилиране, свързани със схемата за лоялност на компанията. Заместник-омбудсманът за защита на данните нареди на компанията да извърши необходимите оценки на въздействието.

Taksi Helsinki съобщава, че обработва личните данни на водачи, персонал и клиенти със система за видеонаблюдение, която записва както видео, така и аудио. Компанията обаче не предоставя обяснение защо обработва само аудио данни от някои от своите таксита. По-късно компанията заявява, че аудио данните са обработени по погрешка.

Заместник омбудсманът за защита на данните установява, че обработката на аудио данни не е в съответствие с принципа на GDPR за минимизиране на данните. От Taksi Helsinki  се иска да гарантира, че обработката на аудио данни без подходящи основания е спряна незабавно.

Разследването на заместник омбудсмана за защита на данните разкрива също, че Taksi Helsinki не е информирала субектите на данни за обработването на техните лични данни по начина, изискван от законодателството за защита на данните. Уведомленията в такситата не казват нищо за аудио запис или откъде клиентите могат да получат информация за него.

Декларацията за поверителност на компанията не съдържа информация за автоматизираното вземане на решения и профилирането, извършени в нейната схема за лоялност. Заместник омбудсманът за защита на данните нареди на компанията да промени политиките си за информиране на клиентите, за да предостави ясна информация относно обработката на личните си данни. Информацията също трябва да бъде лесно достъпна.

При разследването бяха открити и недостатъци, свързани с документацията и определянето на ролите за обработка на лични данни. Заместникът омбудсман за защита на данните разпореди на Taksi Helsinki да коригира процедурите си.

Няколко сериозни пропуски в идентифицирането на рисковете, спазването на принципите за защита на данните и прилагането на правата на субектите на данни бяха установени при обработката на личните данни на Taksi Helsinki.

Службата за санкции на Омбудсмана за защита на данните наложи административна глоба в размер на 72 000 евро на Taksi Helsinki, сумата беше определена като пропорционална и ефективна.

Решенията подлежат на обжалване в административния съд.

На 18 май Службата за санкции на омбудсмана за защита на данните наложи административни глоби на три дружества за нарушения на законодателството за защита на данните. Тези нарушения се отнасят до предоставяне на недостатъчна информация относно правата за защита на данните, пренебрегване на необхимостта от извършването на оценка на въздействието върху защитата на данните и ненужното събиране на лични данни.

Първото решение е свързано с нарушения при известяване за промяна на адрес.

Лицата са подали жалба до омбудсмана за защита на данните, заради получени съобщения от различни компании, след като са направили известия за промяна на адреса на Posti Oy, който е водещият оператор на пощенски услуги във Финландия. Разследването, проведено от Службата на омбудсмана за защита на данните, разкри, че Posti не е информирал субектите на данни за техните права, включително правото да възразят срещу разкриването на данни във връзка с извършване на уведомления за промяна на адреса.

Компанията трябва да е информирала ясно своите клиенти за правото им да възразят срещу обработването на техните лични данни. Posti бяха изпратили такива известия само на клиенти, които закупиха допълнителни услуги в допълнение към уведомяването за промяна на адреса.

Posti уведомил омбудсмана за защита на данните, че ще разгледа възможностите за подобряване на прозрачността на обработката на лични данни още през 2017 г. Компанията най-накрая подобри практиките си за информиране на клиентите през 2020 г., след като Службата на омбудсмана за защита на данните отново се свърза с Posti. Нарушенията засегнаха 161 000 клиенти само през 2019 г.

Съветът за санкции наложи административна глоба в размер на 100 000 евро на Posti Oy.

Второто решение се отнася до жалба, отправена до омбудсмана за защита на данните за това как Kymen Vesi Oy обработва данните за местоположението на своите служители, като проследява превозните средства с информационна система за превозни средства. Администраторът не е направил оценка на въздействието, изисквана от GDPR, преди да започне да обработва данните за местоположението. Данните за местоположението бяха използвани за наблюдение на работното време, наред с други неща.

Необходима е оценка на въздействието върху защитата на данните, ако обработването е вероятно да доведе до висок риск за правата и свободите на субектите на данни. Оценката е необходима например, ако данните за местоположението на уязвимите лица се обработват или данните за местоположението се използват за системно наблюдение.

Съветът за санкции наложи административна глоба в размер на 16 000 евро на Kymen Vesi Oy.

В третия случай омбудсманът за защита на данните е бил уведомен за компания, която събира ненужни лични данни от кандидатите за работа и служителите. Според финландския закон за защита на неприкосновеността на личния живот, работодателят има право само да обработва данни, които са необходими в светлината на трудовото правоотношение. Недостатъците бяха открити и в документацията на администратора, свързана с спазването на GDPR.

Компанията беше поискала информация по въпроси като религиозни убеждения, здравословно състояние, възможна бременност и семейно състояние на субектите на данни.

Омбудсманът за защита на данните нареди на компанията да изтрие ненужните данни и издаде порицание за пропуските в документацията. Бордът за санкции наложи и административна глоба в размер на 12 500 евро на компанията.

Решенията не са окончателни, тъй като те могат да бъдат обжалвани в административния съд.

Службата на омбудсмана за защита на данните публикува името на организацията, на която е наложена административната глоба, ако въпросът се счита за обществено значим или организацията може да бъде объркана с друга.

Санкциите трябва да бъдат пропорционални, ефикасни и предпазливи

За първи път санкционният съвет наложи административни глоби за нарушения на правилата за защита на данните. Съветът има право да налага административни глоби за нарушения на защитата на данните. Максималният размер на административната глоба е 4% от оборота на компанията или 20 милиона евро.

Съветът за санкции е съставен от омбудсмана за защита на личните данни и двама заместник омбудсмани за защита на данните, като омбудсман за защита на данните е председател. Вземането на решения на санкционния съвет и правната защита на администраторите са предвидени в Финландския закон за защита на данните.

 

Можете да споделите: