Otkako je GDPR stupio u primjenu prije točno dvije godine, u Finskoj nije bilo izrečenih kazni. To se, međutim, ipak promijenilo. Finsko nadzorno tijelo upravo je izreklo čak tri kazne za kršenje GDPR-a, od kojih je najveća u iznosu 100 tisuća eura.
Kazna od 12,5 tisuća eura izrečena je tvrtki koja je u procesu zapošljavanja prikupljala više osobnih podataka nego što je potrebno. Od kandidata su se, među ostalim, tražile informacije o vjerskim uvjerenjima, zdravstvenom stanju, planiranju trudnoće i obiteljskim odnosima. Nije objavljeno o kojoj je tvrtki riječ.
Druga kazna, u iznosu 16 tisuća eura izrečena je tvrtki za upravljanje vodama Kymen Vesi. Kymen Vesi u svojim službenim vozilima ima ugrađen GPS nadzor za praćenje lokacije vozila. Međutim, podaci o lokaciji korišteni su i za praćenje zaposlenika te evidentiranje njihovih radnih sati. Tvrtka je kažnjena jer za takvu obradu osobnih podataka nije ispunila obvezu provedbe procjene učinka na zaštitu podataka (DPIA).
Najveća kazna, ona u iznosu 100 tisuća eura izrečena je tvrtki Posti koja je jedan od najvećih pružatelja poštanskih usluga. Korisnici Posti usluga su se žalili nadzornom tijelu da su počeli primati marketinške poruke raznih drugih tvrtki. Zaključeno je da Posti nije ispunila obvezu informiranja ispitanika o obradi osobnih podataka te o njihovim pravima. Procjenjuje se da je samo u 2019. godini zbog ovakve prakse oštećeno 161 tisuća ispitanika.
U svakom od navedena tri slučaja u tijeku je žalbeni period te se stoga izrečene kazne još uvijek ne smatraju konačnima.
? Službena objava finskog nadzornog tijela (na finskom)