Biuro Ombudsmana Ochrony Danych ukarał Fiński Instytut Meteorologiczny (FMI) za naruszenia art. 35, 44 i 46 RODO. Decyzja została podjęta na podstawie zgłoszenia naruszenia danych, które FMI złożył do Rzecznika.
Śledztwo Ombudsmana rozpoczęło się po zgłoszeniu naruszenia danych wynikłego z incydentu bezpieczeństwa w FMI, dotyczącego danych osobowych 330 000 osób. Podczas śledztwa stwierdzono, że FMI używał na swojej stronie internetowej usług Google Analytics i reCAPTCHA.
Rzecznik uznał, że przez korzystanie z usług Google Analytics i reCAPTCHA, FMI przekazał dane osobowe do USA bez ważnej podstawy do przekazania takich danych, naruszając tym samym art. 44 i 46 RODO. Rzecznik stwierdził, że po unieważnieniu Tarczy Prywatności EU-USA i w przypadku braku wdrożenia wystarczających dodatkowych środków zapewniających odpowiednią ochronę danych osobowych, FMI powinien był zawiesić przekazywanie danych do USA.
Dodatkowo Ombudsman uznał, że FMI nie przestrzegał obowiązku przeprowadzenia oceny skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO, w odniesieniu do jego międzynarodowych transferów danych związanych z użyciem wyżej wymienionych technologii śledzenia.