Draftit

IMY:s beslut första halvåret 2023

Skriven av Fanny von Homeyer | 2023-aug-14 09:26:00

Varje år genomför Integritetsskyddsmyndigheten (IMY) tillsyn där verksamheters dataskyddsarbete granskas. Utifrån deras beslut finns ett antal lärdomar att ta eftersom det säger mycket om hur olika frågor tolkas av IMY. Nedan följer ett axplock av den tillsyn som gjorts hittills 2023 och vad de fick för konsekvenser. Är du intresserad av att läsa hela listan? En mer fullständig sammanställning finns i Privacy Expert tillsammans med alla beslut i sin helhet för dig som vill fördjupa dig.  

Observera att en del av besluten inte vunnit laga kraft än och kan ha överklagats, eller kan komma att göra det. Pågående ärenden går att följa på IMY:s hemsida. 

Känsliga uppgifter skickades via e-post med otillräcklig kryptering

Ett försäkringsbolag fick en reprimand för att de skickat känsliga personuppgifter till en kund via e-post utan tillräcklig säkerhet. Bolaget hade inte säkerställt en lämplig säkerhetsnivå enligt artikel 32 i GDPR, enligt IMY. Bolaget skickade visserligen mejlet i fråga med kryptering - men otillräcklig sådan.

Sanktion: Reprimand.

Fönsterkuvert avslöjade uppgifter om hälsa

En region röjde känsliga personuppgifter i samband med brevutskick. Vårdmottagningars namn var synliga i fönsterkuvertet på 2 500 kallelser, vilket innebar att obehöriga kunde få del av känsliga personuppgifter om patienterna som breven var adresserade till.

Sanktion: 200 000 kr i sanktionsavgift.

Arbetsgivare sammanställde rapport över en anställds aktivitet på nätet

En statlig myndighet tog fram en rapport över en anställds aktivitet på nätet, delvis utan rättslig grund, och utan att informera den anställde. Rapporten gjordes av ett externt företag och innehöll  inlägg som klaganden har gjort på olika forum på internet där hen uttryckt sina politiska åsikter. Myndigheten hade visserligen berättigade syften med behandlingen i grunden, men behandlingen gick utöver vad som var nödvändigt i det aktuella fallet. Behandlingen omfattade dessutom känsliga personuppgifter. Myndigheten hade heller inte uppfyllt sin informationsskyldighet gentemot den registrerade. Sammantaget kom IMY fram till att myndigheten överträtt artiklarna 6, 9 och 14.3.

Sanktion: 50 000 kr i sanktionsavgift

Kommun kamerabevakade utan tillstånd

En kommun har kamerabevakat utan att först ha fått tillstånd. IMY beslutade om en reprimand och förbjöd kommunen att kamerabevaka på vissa allmänna platser. Kommunen var av uppfattningen att bevakningen är anonymiserad och att det därför inte krävdes tillstånd, men så är alltså inte fallet enligt IMY.

Sanktion: Reprimand och förbud

Region fick sanktionsavgift när usb-minne med patientuppgifter tappades bort

En region fick en sanktionsavgift på 200 000 kronor från IMY för att ha brutit mot artikel 32 i GDPR. En medarbetare hade tappat bort ett usb-minne som innehöll personnummer och känsliga personuppgifter om nästan 2000 personer (patienter). Usb-minnet var inte krypterat, och har inte heller återfunnits. IMY:s slutsats blev att de säkerhetsåtgärder som regionen vidtagit inte varit tillräckliga i förhållande till risken med behandlingen.

Sanktion: 200 000 kr i sanktionsavgift

Streamingtjänst fick sanktionsavgift för bristande information i samband med registrering

IMY granskade hur bolaget hanterat sina kunders rätt att få tillgång till sina personuppgifter (registerutdrag). Granskningen tog sin utgångspunkt i ett par klagomål som kommit in, men IMY tittade också på bolagets generella rutiner för hantering av begäran om tillgång. IMY:s granskning visade att företaget visserligen lämnar ut de personuppgifter bolaget behandlar när enskilda begär det, men att bolaget inte informerar tillräckligt tydligt om hur dessa uppgifter används. Detta strider mot artikel 12 och artikel 15 i GDPR. IMY utfärdade därför en sanktionsavgift. Den stora summan kan förklaras av att granskningen gällde en multinationell företagskoncern med stor omsättning.

Sanktion: 58 miljoner kronor i sanktionsavgift

Personuppgifter var tillgängliga på nätet av misstag

IMY konstaterade att ett optikerföretag behandlat en persons personuppgifter i strid med artikel 32.1 i GDPR, genom att dennes personuppgifter inte skyddats mot exponering mot internet. Personens fullständiga namn, personnummer och glasögonrecept kunde under en begränsad period av misstag sökas fram via Googles sökmotor. Felet uppstod i samband med att företagets webbplats flyttade från en server till en annan. 

Sanktion: Reprimand

Testa Privacy Expert Premium  kostnadsfritt! 

Under två veckor kan du testa vårt kompetensstöd Privacy Expert Premium kostnadsfritt. Verktyget är ett digitalt kompetensstöd som ger dig både teoretiskt och praktiskt stöd till artiklarna i GDPR. Med mallar och checklistor kan du på ett enkelt sätt tillämpa den abstrakta lagstiftningen på er egen verksamhet.