Datainspektionen på Åland

Datainspektionen på Åland sköter om dataskyddet i den offentliga förvaltningen på Åland. Datainspektionen i Sverige bytte namn vid årsskiftet och heter nu Integritetsskyddsmyndigheten. Se närmare på imy.se

European Data Protection Board

The Data Protection Ombudsman ordered Svea Ekonomi to correct its practices in the processing of personal data

Two cases concerning Svea Ekonomi, a financial credit company, have been processed at the Office of the Data Protection Ombudsman. As a result, the Data Protection Ombudsman has ordered the company to correct its practices in the processing of personal data related to the assessment of creditworthiness, the right of inspect one’s own personal data and notification practices.
One of the cases concerning Svea Ekonomi has been processed at the Office of the Data Protection Ombudsman as a complaint made by a single data subject. It concerned the personal data used to assess creditworthiness and the data subject's right to inspect data concerning them. Furthermore, the Office of the Data Protection Ombudsman began to process the matter concerning the company's notification practices upon its own initiative.

 

In its decision, the Data Protection Ombudsman stated that the use of a categorical upper age limit in assessing creditworthiness is not acceptable under the definition of credit information set out in the Credit Information Act. The mere age of the credit applicant does not describe their solvency, willingness to pay or ability to deal with their commitments. Based on the account submitted by the company, the credit applicant's financial position has not been taken into consideration at all in the automatic processing of the credit application.

 

The Data Protection Ombudsman also pointed out that the company's on-line credit decision service should be considered automatic decision-making of the kind referred to in Article 22 of the General Data Protection Regulation, in which the decision is essential in order to conclude or implement an agreement between the company and the credit applicant.

 

In its decision, the Data Protection Ombudsman ordered that Svea Ekonomi to change the processing of personal data related to assessing creditworthiness. The company must also provide the private person having complained about the matter with information on the logic employed in automatic decision-making, its role in making the credit decision as well as its consequences for the credit applicant.

 

The procedure employed by Svea Ekonomi for assessing  creditworthiness was also processed at the National Non-Discrimination and Equality Tribunal, which in its decision 216/2017, dated 21 March 2018, prohibited the company from repeating a procedure that is against the Equality Act and the Non-Discrimination Act.

 

The Office of the Data Protection Ombudsman has also investigated Svea Ekonomi's notification practices related to the automatic decision-making system used to assess creditworthiness. The Data Protection Ombudsman stated that the current notification practices do not sufficiently specify the logic of data processing so that the credit applicant could understand the grounds for the decision and ordered that such notification practices be changed.

 

Based on the Data Protection Ombudsman's decision, Svea Ekonomi must notify by 30 April 2019 how it has changed its processing of personal data. According to the Office of the Data Protection Ombudsman, Svea Ekonomi has not applied for change in the decision, so the decision is legally enforceable.

 

Further information:
Data Protection Ombudsman Reijo Aarnio, tel. +358 40 520 7068, reijo.aarnio(at)om.fi

Europeiska dataskyddsstyrelsen – nionde plenarsessionen

Europeiska dataskyddsstyrelsen – nionde plenarsessionen: Riktlinjer för behandling av personuppgifter inom ramen för informationssamhällets tjänster

 

Bryssel den 10 april – Den 9 och 10 april samlades EES-ländernas dataskyddsmyndigheter och den  Europeiska datatillsynsmannen,  i Europeiska dataskyddsstyrelsen som sammanträdde under sin nionde plenarsession.
 
Under plenarsammanträdet antog Europeiska dataskyddsstyrelsen riktlinjer för tillämpningsområdet för och tillämpningen av artikel 6.1 b * i GDPR i samband med informationssamhällets tjänster. I sina riktlinjer gör styrelsen allmänna iakttagelser om principer för uppgiftsskydd och om samspelet mellan artikel 6.1 b och andra rättsliga grunder. Dessutom innehåller riktlinjerna vägledning om tillämpligheten av artikel 6.1 b vid kombinering av separata tjänster och uppsägning av avtal.
Information till redaktörer:

 

Observera att alla handlingar som antas vid Europeiska dataskyddsstyrelsens plenarsammanträde är föremål för nödvändiga rättsliga, språkliga och formateringskontroller och kommer att finnas tillgängliga på Europeiska dataskyddsstyrelsens webbplats när de har färdigställts.
* artikel 6.1 b
”1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
...
Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.”

Sidor