Tietosuojavaltuutetun toimisto on määrännyt toimipaikkaansa Suomessa pitävälle yritykselle 122 000 euron seuraamusmaksun terveystietojen asiattomasta käsittelystä. Yrityksellä ei ollut gdpr:n mukaista suostumusta painoindeksiä ja maksimaalista hapenottokykyä koskevien tietojen käsittelyyn, vaikka kyseiset tiedot olivat osa sen ydinliiketoimintaa.
Tietosuojavaltuutetun toimiston tiedotteen mukaan yritys oli pyytänyt yleisen suostumuksen terveystietojen käsittelyyn, mutta oli jättänyt yksilöimättä keräämänsä tiedot.
Tällainen suostumus ei täyttänyt gdpr:n vaatimuksia, sillä terveystiedot kuuluvat erityisiin henkilötietoryhmiin ja niiden käsittely on lähtökohtaisesti kiellettyä ilman yksilöityä suostumusta.
Rekisteröidyille oli ilmoitettu henkilötietojen käsittelystä, mutta tietosuojavaltuutetun mukaan yritys ei ollut kertonut riittävästi käsiteltävien henkilötietojen tyypeistä sekä niiden käsittelyn tarkoituksesta.
Päätöksessä kiinnitettiin erityistä huomiota siihen, että terveystiedot olivat merkittävässä osassa yrityksen liiketoiminnassa.
”Yrityksen, jonka liiketoimintaan kuuluu keskeisesti henkilötietojen käsittely, on aina huolehdittava tarkasti kaikista henkilötietojen käsittelyn edellytyksistä. Dataintensiivisessä taloudessa tämän merkitys tulee koko ajan kasvamaan”, tietosuojavaltuutettu Anu Talus sanoo tiedotteessa.
Seuraamusmaksun lisäksi yritykselle annettiin huomautus. Asiaa selvitettiin vuosina 2018–2019 saapuneiden kanteluiden perusteella, joista yksi oli tehty toisessa Euroopan unionin jäsenvaltiossa.