Ett företag i Finland fick betala en sanktionsavgift på nästan en miljon euro eftersom de bland annat behandlade personuppgifter under obestämd tid. Detta är inte tillåtet enligt GDPR. Dessutom var individer tvungna att skapa ett konto på företagets webbplats för att kunna göra inköp. Den finländska tillsynsmyndigheten för ärenden gällande GDPR heter Tietosuoja.
Företaget behandlade personuppgifter under obestämd tid i strid med GDPR
Företaget menade att det är de registrerade själva som ska bestämma lagringstiden. När den registrerade raderar sitt användarkonto, raderar företaget personuppgifterna. Däremot lagrar företaget personuppgifterna under en väldigt lång och obestämd tid, om den registrerade inte raderar sitt användarkonto. Vissa andra företag brukar uppge att företaget raderar användarkontot om personen inte har varit aktiv under exempelvis 2 år. Vid sådana fall har de en fastställd lagringstid.
Enligt utredningen från den finländska dataskyddsmyndigheten var det medvetet av företaget att inte ha en fastställd lagringstid. Det är inte tillåtet att lägga ansvaret på den registrerade, genom att denne måste radera sitt användarkonto för att lagringstiden ska upphöra. Dessutom kunde inte en person bara gå in på webbplatsen och handla utan att behöva skapa ett användarkonto.
Lagringstid enligt GDPR
När ett företag behandlar personuppgifter, måste företaget ange en lagringstid. Företaget ska radera personuppgifter när de inte längre är nödvändiga att behandla för det syfte de blev inhämtade för. Det är inte tillåtet att ha en obegränsad lagringstid. Observera att företag i vissa fall behöver fortsätta behandla personuppgifter eftersom det står reglerat i någon annan lag än GDPR. Det är tillåtet att göra.
Konsekvens för företaget
Företaget i ärendet blev tilldelad en sanktionsavgift för överträdelsen av GDPR. Däremot överklagade de beslutet till Förvaltningsdomstolen i Finland. I ett annat liknande fall beviljade inte Högsta Förvaltningsdomstolen i Finland fallet. Beloppet på sanktionsavgiften i detta fall blev 856 000 euro. Den maximala sanktionsavgiften som ett företag kan få vid allvarliga överträdelser av GDPR är 4 procent av den totala årsomsättningen eller 20 miljoner euro (det högsta av alternativen).
Företag fick betala en sanktionsavgift för att inte ha upphört med direktmarknadsföring vid begäran
Ett internationellt företag med sitt huvudkontor i Sverige fick betala en sanktionsavgift, eftersom de inte upphörde med sin direktmarknadsföring när de registrerade begärde det. Det var sex (6) stycken registrerade som lämnade in klagomål om detta i tre olika länder. Dessa länder överförde sedan ärendet till Sverige, eftersom företaget har sitt huvudkontor där.