En virksomhed i Finland skulle betale en bøde på næsten 1 mio. EUR, bl.a. fordi den behandlede personoplysninger på ubestemt tid. Dette er ikke tilladt i henhold til GDPR. Desuden skulle enkeltpersoner oprette en konto på virksomhedens websted for at foretage indkøb. Den finske tilsynsmyndighed for GDPRsager er Tietosuoja.
Virksomheden behandlede personoplysninger på ubestemt tid i strid med GDPR
Virksomheden hævdede, at det er op til de registrerede selv at fastsætte opbevaringsperioden. Når den registrerede sletter sin brugerkonto, sletter virksomheden personoplysningerne. På den anden side lagrer virksomheden personoplysningerne i en meget lang og ubestemt periode, hvis den registrerede ikke sletter sin brugerkonto. Andre virksomheder angiver normalt, at virksomheden sletter brugerkontoen, hvis personen ikke har været aktiv i f.eks. 2 år. I sådanne tilfælde har de en fast opbevaringsperiode.
Ifølge den finske databeskyttelsesmyndigheds undersøgelse var den bevidst om, at virksomheden ikke havde en fast opbevaringsperiode. Det er ikke tilladt at pålægge den registrerede ansvar ved at skulle slette sin brugerkonto for at bringe opbevaringsperioden til ophør. Desuden kunne en person ikke blot få adgang til webstedet og butikken uden at skulle oprette en brugerkonto.
Opbevaringsperiode i henhold til GDPR
Når en virksomhed behandler personoplysninger, skal den angive en opbevaringsperiode. Virksomheden sletter personoplysninger, når de ikke længere er nødvendige for at behandle dem til det formål, hvortil de blev indsamlet. Det er ikke tilladt at have en ubegrænset oplagringsperiode. Bemærk, at virksomheder i nogle tilfælde skal fortsætte med at behandle personoplysninger, fordi de er reguleret af en anden lov end GDPR. Det er tilladt.
Konsekvenser for virksomheden
Virksomheden blev pålagt en bøde i sagen om overtrædelse af GDPR. De appellerede imidlertid denne afgørelse til Finlands forvaltningsdomstol. I en anden lignende sag tog Finlands øverste forvaltningsdomstol ikke sagen til følge. I den foreliggende sag var bøden på 856 000 EUR. Den maksimale bøde, der kan pålægges en virksomhed for alvorlige overtrædelser af GDPR, er 4 % af dens samlede årlige omsætning eller 20 mio. EUR (den højeste af mulighederne).
Virksomhederne skulle efter anmodning betale en bøde for ikke at have indstillet den direkte markedsføring
En international virksomhed med hovedsæde i Sverige skulle betale en bøde, da de ikke standsede deres direkte markedsføring, da registranterne anmodede herom. Seks (6) registrerede klagede over dette i tre forskellige lande. Disse lande overførte derefter sagen til Sverige, da selskabet har sit hovedsæde der.
