IMY beslutade att tilldela en sanktionsavgift/böter till ett fintechbolag som inte lämnande nödvändig information om behandlingen av personuppgifter till de registrerade. Även fast företaget har ändrat informationen flera gånger under granskningen, avser beslutet kring sanktionsavgiften den information som företaget lämnat under år 2020. IMY är en förkortning av Integritetsskyddsmyndigheten och de hette tidigare Datainspektionen.
Böter till ett svenskt fintechbolag som inte lämnande nödvändig information
Granskningen visade att företaget hade flera brister avseende sin behandling av personuppgifter. Företaget hade inte angivit vad ändamålet med behandlingen av personuppgifterna var, vilket är ett krav enligt GDPR. Dessutom hade de inte angivit vilket rättslig grund som företaget använde vid behandlingen, vilket också är ett krav. Utöver detta, blev personuppgifter överförda till tredje land utan att företaget informerade om detta på ett korrekt sätt. Tredje land avser ett land utanför EU/EES-länderna där GDPR inte gäller. Informationen som företaget lämnade i detta avseende var missvisande. Ytterligare en brist bestod i att informationen avseende rätten till radering var bristfällig och detsamma gällde rätten att göra invändningar och dataportabilitet.
Sanktionsavgiften som IMY tilldelade företaget uppgick till 7 500 000 kronor.
Sanktionsavgift till app som många barn använder
I Holland fick ett företag, som bedriver en app där många av användarna är barn, betala en sanktionsavgift eftersom de inte uppfyllde GDPR. Informationen angående vilka personuppgifter företaget hanterade var på engelska, vilket det inte ska vara för barn. Istället ska informationen vara skriven på det språket som barnen förstår, såsom det nationella språket. Barn har nämligen starkare skydd enligt GDPR, men även andra lagar. Den holländska dataskyddsmyndigheten tilldelade företaget 750 000 euro i sanktionsavgift.