IMY:s tillsynsbeslut första halvåret av 2024
Vid varje hel- och halvårsskifte brukar Visma Draftit publicera en sammanställning av årets tillsynsbeslut från Integritetsskyddsmyndigheten (IMY) i vår digitala handbok Privacy Expert. Detta gör vi även i år. På bloggen har vi valt ut några av ärendena. Vi kan dock konstatera att IMY varit ganska passiva under de första sex månaderna 2024. De flesta ärendena har avslutats utan åtgärder. I handboken kan du även läsa vår experts egna reflektioner kring varför så många i branschen är kritiska till IMY:s tillsynsarbete just nu.
Webbutik behandlade uppgifter utan rättslig grund – intresseavvägningen höll inte
Sanktion: Reprimand och föreläggande
IMY granskade ett webbhandelsföretag och kom fram till att företaget behandlat personuppgifter i strid med flera olika artiklar i GDPR. Dels anmärkte IMY på hur en begäran om radering hanterades, och vilken information som lämnades. De konstaterade att bolaget inte levt upp till artiklarna 12 och 15. Dels ansåg IMY att företaget behandlat personuppgifter utan rättslig grund.
IMY beslutade om en reprimand för överträdelserna och om ett föreläggande.
Bank gjorde det onödigt svårt att ändra e-postadress
Sanktion: Reprimand
IMY konstaterade efter en utredning att en bank behandlat personuppgifter i strid med artikel 12.2 i GDPR, som handlar om att underlätta utövandet av den registrerades rättigheter, och artikel 16, som handlar om rätt till rättelse. En person ville ändra sin e-postadress, men företaget menade att det inte var tekniskt möjligt. I stället uppmanade bolaget personen att beställa ett nytt bankkort.
IMY ansåg att lösningen som bolaget har erbjudit har försvårat för klaganden att utöva sin rätt till rättelse. IMY beslutade även i detta fall om en reprimand.
Google hade inte tagit bort sökträffar som de borde
Sanktion: Föreläggande
IMY konstaterade vid granskning att Google LLC i vissa fall inte tagit bort personuppgifter, inklusive känsliga personuppgifter och uppgifter med tveksam sanningshalt, om en individ från sina sökträffar på begäran.
Fastighetsmäklare saknade rutiner för webbpublicering
Sanktion: Reprimand
En fastighetsmäklare publicerade ett dokument på sin öppna webbplats som innehöll personuppgifter i klartext, inklusive personnummer som är en extra skyddsvärd uppgift. Publiceringen innebar att uppgifterna inte skyddades från att röjas för obehöriga, och borde ha föregåtts av en bedömning av om behandlingen var tillåten enligt GDPR. Bolaget borde ha vidtagit organisatoriska åtgärder, exempelvis genom att ha skriftliga rutiner och att utbilda sin personal om hur personuppgifter ska hanteras. Några sådana rutiner fanns inte vid tidpunkten för överträdelsen. Därför beslutade IMY om en reprimand.
Arbetsgivare kamerabevakade arbetsrum utan rättslig grund och utan att informera
Sanktion: 300 000 kr i sanktionsavgift
IMY granskade kamerabevakningen hos en butiks- och webbhandelskoncern. Då kom det bland annat fram att bolaget kamerabevakat ett arbetsrum utan att ha rättslig grund för personuppgiftsbehandlingen. Dessutom uppfyllde bolaget inte upplysningskraven i kamerabevakningslagen eller kraven på information till den registrerade enligt GDPR. Det blev fråga om en sanktionsavgift mot bolaget.