Miljoonien käyttämän sykekellon valmistaja on saanut tietosuojavaltuutetulta huomautuksen ja 122 000 euron seuraamusmaksun terveystietojen käsittelystä ilman asianmukaista asiakkaiden suostumusta.
Selvityksen mukaan yrityksellä ei ollut EU:n yleisen tietosuoja-asetuksen mukaista suostumusta painoindeksiä ja maksimaalista hapenottokykyä koskevien tietojen käsittelyyn.
Yritys oli kyllä pyytänyt suostumuksen yleisesti terveyttä koskevien tietojen käsittelyyn, mutta ei ollut yksilöinyt tietoja, joita se keräsi ja käsitteli. Pyydetty suostumus ei täyttänyt EU:n tietosuoja-asetuksen vaatimuksia, sillä se ei ollut yksilöity ja tietoinen.
Palvelua ei voinut käyttää antamatta suostumusta tietojen käyttöön ja siirtoon EU:n ulkopuolelle. Moni sykekellon toiminto vaati palveluun rekisteröitymistä.
Tietosuojavaltuutetun toimisto selvitti yrityksen toimintatapoja vuosilta 2018–2019 kanteluiden perusteella.
Seuraamuskollegio kiinnitti erityistä huomiota siihen, että terveystietojen laajamittainen käsittely on keskeinen osa yrityksen ydinliiketoimintaa.
– Yrityksen, jonka liiketoimintaan kuuluu keskeisesti henkilötietojen käsittely, on aina huolehdittava tarkasti kaikista henkilötietojen asianmukaisen käsittelyn edellytyksistä. Dataintensiivisessä taloudessa tämän merkitys tulee koko ajan kasvamaan, toteaa tietosuojavaltuutettu Anu Talus tiedotteessa.
Tietosuojavaltuutetun toimisto käsitteli asiaa yhteistyössä muiden EU-maiden kanssa.
Päätöksessä ei mainita yrityksen nimeä, mutta sen mainitaan toimivan maailmanlaajuisesti ja siirtävän myös EU-maissa asuvien asiakkaiden tietoja Yhdysvaltoihin.
Päätös ei ole vielä lainvoimainen ja siitä voi valittaa hallinto-oikeuteen.