Via Semanário InternetLab

No dia 27.07.2020, o Comitê Europeu para a Proteção de Dados divulgou a decisão do Conselho de Sanções da autoridade de proteção de dados da Finlândia, tomada em 18.05.2020, que impõe multas administrativas a três empresas por violações da legislação de proteção de dados pessoais. Essas violações envolviam o fornecimento de informações insuficientes sobre direitos de proteção de dados, a não realização de uma avaliação de impacto na proteção de dados e a coleta desnecessária de dados pessoais. A primeira investigação teve início após cidadãos finlandeses entraram com uma reclamação por terem recebido comunicações e marketing direto de várias empresas após notificarem mudanças de endereço para a Posti Oy, a principal operadora de serviços postais na Finlândia. A investigação realizada pela autoridade finlandesa revelou que a Posti Oy não havia informado os titulares dos seus direitos, incluindo o direito de objetar a divulgação de seus dados. O conselho de sanções aplicou uma multa administrativa de 100.000 euros à Posti Oy. A segunda decisão dizia respeito a uma reclamação feita a respeito da empresa Kymen Vesi Oy, que teria processado os dados de localização de seus funcionários, rastreando seus veículos. O controlador desse sistema não fez a avaliação de impacto exigida pelo Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia antes de começar a processar os dados de localização, que foram usados ​​para monitorar o horário de trabalho dos funcionários, entre outras coisas. O conselho de sanções aplicou uma multa administrativa de 16.000 euros à Kymen Vesi Oy. No terceiro caso, a autoridade havia sido notificada sobre uma empresa que coletava dados pessoais desnecessários de candidatos a emprego e funcionários. De acordo com a lei finlandesa sobre a proteção da privacidade na vida profissional, o empregador só pode processar dados necessários à luz da relação de trabalho. Também foram descobertas deficiências na documentação do controlador relacionadas à conformidade com o GDPR. A empresa solicitou informações sobre questões como crenças religiosas, estado de saúde, possível gravidez e status familiar dos sujeitos dos dados. O conselho de sanções também impôs uma multa administrativa de 12.500 euros à empresa. Foi a primeira vez que o conselho de sanções impôs multas administrativas por violações dos regulamentos de proteção de dados.