Ett företag som gjorde en gjorde en kreditupplysning utan kundrelation till personen ifråga, fick en anmälan mot sig som blev inlämnad till den norska motsvarigheten till IMY (Integritetsskyddsmyndigheten). GDPR började gälla i maj 2018 för alla företag, myndigheter och organisationer som behandlar personuppgifter i EU samt EES-länderna, varav Norge är ett av dem.
Företag gjorde en kreditupplysning utan kundrelation
Det fanns ingen rättslig grund för behandlingen och därför fick företaget betala en sanktionsavgift på 12 500 euro. När det kommer till kreditinformation är det inte känsliga persouppgifter enligt GDPR, men de är integritetskänliga. Däremot är inga personuppgifter knutna till ekonomi några känsliga uppgifter. Exempel på känsliga personuppgifter är sådana som handlar om religion, etnicitet och hälsa.
Utöver sanktionsavgiften, fick företaget en order om att upprätta interna rutiner för utförande av kredupplysningar i enlighet med GDPR.
Här kan du läsa mer om detta ärendet via European Data Protection Boards hemsida.
Företag behöver flera olika dokument och avtal, såsom personuppgiftsbiträdesavtal, integritetsskyddspolicy, interna rutiner som kan behöva vara flera separata beroende på vad det gäller. Vi skriver dessa avtal och dokument till fasta priser.
Vill du lära dig mer information om GDPR?
På hemsidan www.AvtalGDPR.se kan du läsa mycket information om GDPR som är bra för företag att känna till. Exempelvis när det inte är lämpligt att använda samtycke som rättslig grund och att registrerade har rätt att återkalla sitt samtycke, vilket ska vara enkelt att göra.
