Polar sai 122 000 euron seuraamusmaksun tietosuojavaltuutetun toimistolta – ei yksilöinyt terveystietoja, joihin pyytää lupaa
Tietosuojavaltuutetun toimistoon oli tehty kanteluita Polarin sykekellojen käyttöön tarvittavasta palvelusta.
Suomalainen urheilukellojen valmistaja Polar on saanut tietosuojavaltuutetun toimistolta 122 000 euron seuraamusmaksun tietosuoja-asetuksen rikkomisesta.
Tietosuojavaltuutetun toimiston mukaan Polar on kysynyt palvelunsa käyttäjiltä yleisesti suostumuksen terveystietojen käsittelyyn, muttei yksilöinyt pyynnössään tarkemmin, millaisia terveystietoja se kerää ja käsittelee.
Palvelun käyttäjille ei annettu selvityksen mukaan myöskään riittävästi tietoa siitä, mihin tarkoitukseen kutakin tietoa käytetään.
Tietosuojavaltuutettu Anu Talus kertoo, että asia koskee Polarin sykekellon käyttöön tarvittavaa palvelua. Sen tarkemmin Talus ei palvelua nimeä.
Tietosuojavaltuutetun toimiston tiedotteessa mainitaan terveystiedoista erikseen, että painoindeksiä ja maksimaalista hapenottokykyä koskevia tietoja käsiteltiin ilman EU:n tietosuoja-asetuksen mukaista suostumusta.
Asiasta oli tullut tietosuojavaltuutetun toimistoon viisi kantelua vuosina 2018–2019. Kantelijoiden mukaan sykekellon käyttö vaatii palvelun käyttöä ja siten myös sellaisten käyttöehtojen hyväksymistä, joihin hakija ei halunnut suostua.
Polar antoi myös tietosuojavaltuutetun toimistolle selvityksiä, jossa kertoi asiasta omasta näkökulmastaan.
Polar kertoi vastauksissaan muun muassa, että se on pyrkinyt laatimaan palvelunsa siten, että se täyttäisi lukuisten eri maiden tietosuojavaatimukset globaaleilla markkinoilla.
Ei räikeää toimintaa
Talus painottaa, että asiassa oli useita seikkoja, jotka olisivat myös puoltaneet seuraamusmaksun määräämättä jättämistä.
Taluksen mukaan Polarin toimintaa ei voi kuvailla räikeäksi.
Maksun määräämistä kuitenkin puolsi Taluksen mukaan esimerkiksi se, että terveystietojen käsittely liittyy olennaisesti yrityksen liiketoimintaan.
Tietosuojavaltuutettu myös korostaa päätöksessä, ettei kaikkia yksittäisiä tietoja pidä katsoa terveyttä koskevaksi tiedoksi. Kyse on kuitenkin siitä, voiko rekisterinpitäjä yhdistää yksittäisiä tietoja toisiinsa ja siten tehdä päätelmiä henkilön terveydentilasta. Tällöin yksittäisen tiedon käsittely voi johtaa tietosuojavaltuutetun mukaan siihen, että tietoa voi pitää EU:n tietosuoja-asetuksen mukaisena terveystietona.
Seuraamusmaksu ei ole vielä lainvoimainen ja Polar voi valittaa siitä hallinto-oikeuteen.
Seuraamusmaksun lisäksi tietosuojavaltuutettu määräsi yrityksen korjaamaan käytäntönsä suostumuksen pyytämisessä.
Polar: Inhimillinen virhe
Polarin mukaan kyse on ollut viestinnällisestä epäselvyydestä ja inhimillisestä virheestä GDPR-säädöksen tulkinnan osalta.
– Polar on katsonut käsittelemiensä henkilötietojen, kuten painoindeksin (BMI) ja maksimaalisen hapenottokyky (VO2max), olevan hyvinvointitietoja. Viranomaisen tekemän tulkinnan mukaan nämä tiedot ovat kuitenkin terveystietoja ja siksi Polarin arkaluonteisten tietojen käsittelyä varten pyytämä suostumus ei ole ollut riittävän tarkka, kertoo Pauliina Sjölund Polarin viestinnästä.
– Painotamme, että esimerkiksi mitään käyttäjätietoja ei ole vuotanut tai joutunut vääriin käsiin. Asiakkaat voivat jatkaa niin Polarin tuotteiden kuin palveluiden käyttöä turvallisin mielin.
Sjölundin mukaan Polar on aloittanut korjaavat toimenpiteet, jotka julkaistaan viranomaisen määrittelemän aikataulun mukaisesti. Polar ei aio valittaa tietosuojavaltuutetun päätöksestä.