Viking Line fick böter på 230 000 euro – anställdas personuppgifter hanterades olagligt
Dataombudsmannen har utfärdat en straffavgift på 230 000 euro till Viking Line Oy Abp för dataskyddsförseelser gällande anställdas hälsouppgifter. Bolaget fick också en anmärkning.
Viking Line har bland annat förvarat sina anställdas hälsouppgifter i personaladministrationens system på ett sätt som bryter mot lagen. Enligt dataombudsmannen uppdagades också brister i hur bolaget berättade om hanteringen av personuppgifterna för de anställda.
Dataombudsmannens byrå utredde Viking Lines verksamhet efter ett inkommet klagomål. En tidigare anställd vid Viking Line berättade att hen inte hade delgetts de personuppgifter som hen hade begärt om.
Enligt den tidigare anställde hade Viking Line förvarat dennes hälsouppgifter i personaladministrationens system i 20 års tid. I systemet hade Viking Line sparat bland annat information om diagnoser gällande sjukfrånvaron. Enligt klagomålet hade en del av diagnosuppgifterna varit felaktiga, eftersom systemet inte tillät alla existerande diagnoskoder. Viking Line hade inte delgett alla diagnosuppgifter till den anställde, trots att uppgifterna fanns hos bolaget.
Hälsouppgifter ska lagras separat
Biträdande dataombudsman Heljä-Tuulia Pihamaa konstaterar att det har funnits ett flertal allvarliga brister i hanteringssättet av personuppgifter inom Viking Line.
Enligt lagen bör information gällande en anställds hälsa förvaras separat från övriga personuppgifter. Att spara information om diagnoser tillsammans med annan information gällande arbetsförhållandet är olagligt.
Utöver detta har en del av uppgifterna dessutom varit felaktiga. Påföljdskollegiet anser detta som ”särskilt beklämmande”. Hälsouppgifterna borde ha raderats så fort det inte fanns något behov av att förvara dem längre.
Påföljdskollegiet understryker att även de felaktiga diagnosuppgifterna hade förvarats under en avsevärt lång tid. Felaktiga diagnoser kan utgöra en risk för rättssäkerheten.
Fallet löstes i ett samarbete mellan dataskyddsmyndigheterna i Sverige, Norge och Estland.
Lagrades i gammalt HR-system
Viking Lines informationsdirektör Johanna Boijer-Svahnström är på tjänsteresa och vill därför inte svara på frågor per telefon, men hon skickar ett skriftligt svar via mejl.
– Information om hälsouppgifter hade för under lång tid arkiverats i ett gammalt HR-system, som endast ett fåtal behöriga anställda hade tillgång till. Uppgifterna har ursprungligen arkiverats som en del av löneadministrationen och uppgifterna har inte i något skede behandlats för något annat syfte, skriver hon.
Överträdelserna ska ha berört enbart sjöanställda under finsk flagg, inte landanställda eller kunder, skriver Boijer-Svahnström.
– Samtliga brister har åtgärdats. Personuppgifter har inte äventyrats eller hamnat i obehöriga händer, skriver hon vidare.
Uppdaterad 14.12 kl. 16 med Viking Lines kommentar.
Kommentarer
Alla som kommenterar ÅU:s webbartiklar förväntas göra det sakligt och under sitt eget namn. Vi godkänner inga länkar till externa webbplatser i kommentarerna. Kommentarerna modereras. Fyll i både ditt för- och efternamn, tack.