Översikt tillsynsbeslut 2023

En fondrådgivare har av misstag skickat ett mejl till ett stort antal av sina kunder som innehållit en fil med uppgifter om tusentals andra kunders ekonomi.

Den aktuella filen innehöll bland annat personnummer och uppgifter om bank, mailadress, och innehav i fonder för ca 52 000 av bolagets kunder. Med hänsyn till att det varit fråga om en stor mängd skyddsvärda personuppgifter borde dessa, enligt IMY, ha omfattats av ett starkt skydd mot obehörigt röjande.

IMY ansåg i beslutet att bolaget inte hade vidtagit tillräckliga åtgärder för att skydda de aktuella personuppgifterna. IMY gjorde den bedömningen bland annat mot bakgrund av att det inte funnits några tekniska eller organisatoriska hinder som försvårade det aktuella felskicket, vilket kan ha mottagits av omkring 2 800 kunder. Uppgifterna i den bifogade filen var dessutom okrypterade och kunde därför läsas i klartext av alla som fick mejlet.

Datum för beslut: 2023-11-07
Korrigerande åtgärd: Sanktionsavgift på 500 000 kronor
Lagrum: Artiklarna 32.1 och 58.2 i dataskyddsförordningen, GDPR
Nyckelord: Tekniska och organisatoriska säkerhetsåtgärder, Bank och finans, E-post, Felutskick, Kunder
Överklagan: Nej
Vunnit laga kraft: Ja

Kunder till H&M försökte tacka nej till nyhetsbrev från bolaget, utan framgång. Efter klagomål till dataskyddsmyndigheterna i Polen, Italien och Storbritannien har IMY granskat ärendena, eftersom H&M har sitt huvudkontor i Sverige.

IMY bedömer att bolaget för det första brutit mot rätten att invända mot direktmarknadsföring. Eftersom invändningen inte tagits omhand i tid har bolaget även överskridit den tidsfrist som stadgas i förordningen. Genom att försätta med utskicken efter att kunder har försökt tacka nej har H&M också överträtt förordningen genom att behandla personuppgifter utan lagstöd. För det fjärde har bolaget inte haft tillräckliga system och rutiner för att underlätta för de som klagat att utöva sin rätt att kunna invända mot direktmarknadsföring, vilket också är en skyldighet som följer av dataskyddsförordningen.

IMY konstaterade därmed i beslutet att H&M, genom att göra det onödigt svårt för kunderna att slippa reklam, har brutit mot fyra olika bestämmelser i dataskyddsförordningen. Bland annat eftersom överträdelsen rört mindre känsliga uppgifter och bolaget vidtagit åtgärder för att komma tillrätta med problemen, stannade IMY vid en sanktionsavgift om 350 000 kronor, vilket är lågt i förhållande till bolagets omsättning. Beslutet har inte överklagats.

Datum för beslut: 2023-10-17
Korrigerande åtgärd: Sanktionsavgift på 350 000 kronor
Lagrum: Artiklarna 12.2, 12.3 och 21.3 och 58.2 i dataskyddsförordningen, GDPR
Nyckelord: Underlätta utövandet, Onödigt dröjsmål, Invändning - mot direkt marknadsföring, Administrativ sanktionsavgift
Överklagan: Nej
Vunnit laga kraft: Ja

I en granskning av kamerabevakning i en skola, bedömde IMY att det kunde vara motiverat att kamerabevaka en begränsad yta inomhus för att förebygga anlagda bränder. Det är allvarliga händelser som kan utgöra hot mot liv och hälsa och det fanns en historik av sådana händelser på skolan.

I beslutet tar IMY ställning till om bestämmelsen i 5 kap 3 § skollagen (2010:800) kan utgöra en rättslig förpliktelse att kamerabevaka. IMY bedömer om bevakningen var nödvändig och proportionerlig för att utföra en uppgift av allmänt intresse utifrån de syften som skolan hade med bevakning.

IMY berör också frågor kring informationsskyldigheten och att särskilda informationsinsatser kan behövas när barn och unga bevakas.

IMY:s kritik mot skolan handlar om val av rättslig grund för kamerabevakningen, att all kamerabevakning skett dygnet runt och att kamerornas upptagningsområde inte begränsats, utan filmat för stora ytor för ändamålet.

Datum för beslut: 2023-10-03
Korrigerande åtgärd: Sanktionsavgift på 800 000 kronor
Lagrum: Artiklarna 6.1 c, 6.1 e, 5.1 a, 5.1 c, 13.1, 13.2, 58.2 d och 58.2, i dataskyddsförordningen, GDPR
Nyckelord: Information till den registrerade, Ytterligare information till den registrerade, Laglighet, Uppgiftsminimering, Föreläggande behandling, Administrativ sanktionsavgift, Rättslig förpliktelse, Allmänt intresse, Kamera, Skolverksamhet
Överklagan: Nej
Vunnit laga kraft: Ja

IMY konstaterade att det under perioden oktober 2018 till februari 2021 var möjligt att genom internet obehörigen få åtkomst till en stor mängd personuppgifter om 650 000 kunder hos dåvarande Moderna försäkringar, numera Trygg-Hansa. Det rörde bland annat uppgifter om hälsa, ekonomisk information, personnummer, kontaktuppgifter och försäkringsinnehav.

Mot bakgrund av det stora antalet registrerade som berördes, det stora antalet uppgifter om varje registrerad och uppgifternas karaktär samt då bolaget borde haft möjligt att upptäckta och åtgärda de säkerhetsbrister som gjorde att det var möjligt att få åtkomst kunduppgifterna bedömde IMY att bolaget inte hade vidtagit lämpliga tekniska åtgärder för att säkerställa en säkerhetsnivå som var lämplig i förhållande till risken.

Datum för beslut: 2023-08-28
Korrigerande åtgärd: Sanktionsavgift på 35 miljoner kronor
Lagrum: Artiklarna 2, 5.1 f, 32.1 och, 58.2, 83.3 i dataskyddsförordningen, GDPR
Nyckelord: Tekniska och organisatoriska säkerhetsåtgärder, Integritet, Administrativ sanktionsavgift, Sammankopplade behandlingar, Bank och finans, Försäkring, Kunder
Överklagan: Nej
Vunnit laga kraft: Ja

Lärplattformen Vklass, som används av skolor runt om i Sverige, behöver vidta åtgärder för att stärka integritetsskyddet, så att de personuppgifter som behandlas i plattformen är tillräckligt skyddade. Det visar den granskning som IMY har gjort, efter att ha tagit emot anmälningar om en incident. Anmälarna gjorde gällande att någon obehörig kommit över personuppgifter om lärare och elever från lärplattformen. Bolaget upptäckte inte incidenten, utan fick kännedom om den från en användare. Bolaget har inte heller kunnat utreda incidenten i tillräcklig utsträckning. IMY förelägger därför Vklass att vidta åtgärder som gör det möjligt att upptäcka onormala händelser i lärplattformen och att spåra vad som skett i systemet. Bolaget får även en reprimand. 

Datum för beslut: 2023-08-24
Korrigerande åtgärd: Föreläggande, Reprimand
Lagrum: Artikel 32 i dataskyddsförordningen, GDPR
Nyckelord: Skolverksamhet, Loggar, Obehörig åtkomst, Obehörigt röjande
Överklagan: Nej
Vunnit laga kraft: Ja

IMY har bedrivit tillsyn mot fyra svenska bolag som använt sig av Google Analytics för att mäta och analysera trafiken på sina webbplatser. Tillsynerna gällde otillåten överföring av personuppgifter till USA. De fyra bolagen var Tele2, CDON, Coop och Dagens industri.

IMY konstaterade att samtliga bolag, genom att använda verktyget, behandlade personuppgifter i strid med artikel 44 i dataskyddsförordningen eftersom bolagen inte vidtagit tillräckliga tekniska skyddsåtgärder för att säkerställa en väsentligt likvärdig skyddsnivå för personuppgifter som den som garanteras inom EU/EES.

IMY förelade samtliga bolag att sluta använda verktyget, förutom Tele2 som upphört självmant.

Coop och Dagens industri hade vidtagit omfattande säkerhetsåtgärder, som inte var tillräckligt effektiva för att göra överföringen laglig, men ansågs tillräckliga för att bolagen inte skulle åläggas en sanktionsavgift. Tele2 och CDON ålades sanktionsavgifter.

Datum för beslut: 2023-06-30

Korrigerande åtgärder:

• Tele2: Sanktionsavgift på 12 miljoner kronor
• CDON: Föreläggande och Sanktionsavgift på 300 000 kronor
• Coop: Föreläggande
• Dagens industri: Föreläggande

Lagrum: Artiklarna 44, 58.2 och 83 i dataskyddsförordningen, GDPR

Nyckelord: Överföring av personuppgifter till tredjeland, tillräckliga skyddsåtgärder, Administrativ sanktionsavgift

Överklagan: Ja (Tele2), Nej (CDON, Coop, Dagens industri)

Vunnit laga kraft: Nej (Tele2), Ja (CDON, Coop, Dagens industri)

Läs tillsynsbeslutet mot Tele2

Läs tillsynsbeslutet mot CDON

Läs tillsynsbeslutet mot Coop

Läs tillsynsbeslutet mot Dagens industri

Bonnier News har behandlat personuppgifter genom profilering i syfte att användas för marknadsföring. Uppgifter om gjorda köp, hur internetanvändare surfat på bolagens webbplatser och inköpta statistiska uppgifter har behandlats och i vissa fall kunnat kombineras i profileringen.

IMY har bedömt att Bonnier News saknat stöd i sin intresseavvägning enligt artikel 6.1 f i dataskyddsförordningen.

IMY har konstaterat att de registrerades integritetsintresse är starkt på grund av arten av uppgifterna samt att de registrerade inte kan förvänta sig aktuell profilering utan att ha samtyckt till den varför de registrerades integritetsintresse har vägt tyngre än bolagets.

I beslutet tar IMY även ställning till att insamlad beteendedata utgör personuppgifter eftersom enskilda är identifierbara då de särskiljs från andra personer och själva syftet med behandlingen är att vidta specifika åtgärder i förhållande till en enskild.

Datum för beslut: 2023-06-26
Korrigerande åtgärd: Sanktionsavgift på 13 000 000 kronor
Lagrum: Artikel 6.1 i dataskyddsförordningen, GDPR
Nyckelord: Profilering, Intresseavvägning, kunder, marknadsföring
Överklagan: Ja
Vunnit laga kraft: Nej

IMY har granskat hur ett bolag informerat om sin insamling av personuppgifter. Bolaget har använt skrivningar som har gett kunden intryck av att bolagets rättsliga grund för behandling av personuppgifter varit samtycke. Bolaget har uppgett att de inte grundar sin behandling av kunders personuppgifter på samtycke utan huvudsakligen på de rättsliga grunderna avtal eller berättigat intresse.

Det aktuella bolaget upplöstes genom fusion under tillsynens gång. IMY har i sitt beslut konstaterat att det övertagande bolaget är ansvarig för de förpliktelser som fanns i det bolag som tagits över.

IMY har vidare konstaterat att det ansvariga bolaget har behandlat personuppgifter i strid med artikel 13.1 c i dataskyddsförordningen genom att ange felaktig rättslig grund för behandlingen av sina kunders personuppgifter.

Datum för beslut: 2023-06-23
Korrigerande åtgärd: Reprimand
Lagrum: Artikel 13.1 c i dataskyddsförordningen, GDPR
Nyckelord: Kunder, Information till registrerade
Överklagan: Nej
Vunnit laga kraft: Ja

En privatperson har begärt tillgång till en inspelning av ett samtal med en bank. Privatpersonen har erbjudits att lyssna på hela samtalet på plats på banken, få en kopia av inspelningen där bankens medarbetares röst är bortredigerad och en transkribering av hela samtalet. IMY har bedömt att banken har tillgodosett rätten till tillgång till privatpersonens personuppgifter, inklusive rätten till kopia. IMY har inte prövat frågor om frister och information i förhållande till begäran om tillgång.

Datum för beslut: 2023-06-12
Korrigerande åtgärd: Nej
Lagrum: Artiklarna 15.1, 15.3, 15.4 i dataskyddsförordningen, GDPR
Nyckelord: Bekräftelse på om uppgifter behandlas, Kopia av uppgifterna, Inverka menligt på andras rättigheter, Bank och finans, Kunder, Ljud
Överklagan: Nej
Vunnit laga kraft: Nej

IMY har granskat hur Spotify hanterar rätten för bolagets kunder att få tillgång till sina personuppgifter. Rätten till tillgång syftar till att kunder ska ges möjlighet att kontrollera att hanteringen av deras personuppgifter är laglig. Det innebär att kunderna behöver förstå vilka personuppgifter som bolaget hanterar om dem och hur bolaget använder dessa uppgifter.

IMY anser att Spotify lämnar ut de personuppgifter bolaget behandlar när kunder begär det men att bolaget inte informerar tillräckligt tydligt om hur dessa uppgifter används av bolaget samt att bolaget borde ha förklarat vissa personuppgifter av teknisk karaktär, inte bara på engelska utan på kundens eget språk.

IMY konstaterar även att det inte finns något hinder mot att dela upp kopian på personuppgifter i olika lager så länge rätten till tillgång tillgodoses. Det är i det sammanhanget viktigt att kunden förstår vilka uppgifter som finns i de olika lagren, hur de kan begäras och att de kan begäras vid samma tidpunkt.

Datum för beslut: 2023-06-12
Korrigerande åtgärd: Sanktionsavgift på 58 000 000 kronor, reprimand och föreläggande
Lagrum: Artiklarna 12.1, 12.3, 15.1 a-d, 15.1 g, 15.2, 15.3, 58.2, 58.2 b, 58.2 c och 83 i dataskyddsförordningen, GDPR
Nyckelord: Klar och tydlig information och kommunikation, Onödigt dröjsmål, Rätt till viss information, Kopia av uppgifterna, Reprimand, Föreläggande tillmötesgå, Administrativ sanktionsavgift, Sammankopplade behandlingar, Gränsöverskridande verksamhet, Kunder
Överklagan: Ja
Vunnit laga kraft: Nej

Kungälvs kommun kamerabevakar flera allmänna platser i kommunen utan tillstånd. Kommunen anser att de inte behöver tillstånd, eftersom de använder en anonymiseringsteknik (pixelering), som förhindrar att personer kan identifieras. IMY är av en annan uppfattning och bedömer att kommunen måste ha tillstånd för merparten av de platser som kamerabevakas.

Upptagning, överföring och bearbetning av originalfilmerna omfattas av kamerabevakningslagen. Anonymiseringstekniken som används minskar integritetsintrånget, men innebär ändå att enskilda kan komma att identifieras, och gör att även behandling av det pixelerade materialet omfattas av kamerabevakningslagens krav.

Datum för beslut: 2023-05-15
Korrigerande åtgärd: Förbud
Lagrum: Artiklarna 58.2 b och 58.2 f i dataskyddsförordningen, GDPR samt 7§ kamerabevakningslagen
Nyckelord: Reprimand, Begränsning inklusive förbud, Kamera, Kommuner, Övervakning
Överklagan: Ja
Vunnit laga kraft: Nej

En privatperson begärde via mejl att ett bolag som tillhandahåller mobilspel skulle radera hens personuppgifter. Bolaget hade rimliga skäl att tvivla på identiteten hos privatpersonen. Bolaget begärde därför i identifieringssyfte att privatpersonen skulle lämna information som bland annat avsåg andra spelares användarnamn. Bolaget krävde också att privatpersonen skulle begära radering när hen var inloggad i ett spel.

I beslutet konstaterade IMY att den personuppgiftsansvarige inte ska samla in fler personuppgifter än vad som är nödvändigt för att bekräfta den registrerades identitet, samt att den personuppgiftsansvarige ska genomföra en proportionalitetsbedömning och kunna motivera den verifieringsmetod som används. IMY bedömde att det inte var nödvändigt eller proportionerligt att begära in de aktuella uppgifterna. IMY bedömde även att bolaget genom att kräva att begäran skickades inifrån ett spel inte har underlättat utövandet av rätten till radering.

Datum för beslut: 2023-05-22
Korrigerande åtgärd: Reprimand
Lagrum: Artiklarna 11.2, 12.2, 12.6, 17.1 och 58.2 b i dataskyddsförordningen, GDPR
Nyckelord: Inte i stånd att identifiera, Underlätta utövandet, Rimliga skäl att betvivla identitet, Grunder för radering, Reprimand, Speltjänster
Överklagan: Nej 
Vunnit laga kraft: Nej

En region har lagrat hälsouppgifter om cirka 2 000 personer på ett okrypterat usb-minne för ändamålet forskning. Usb-minnet tappades bort.

I beslutet bedömde IMY att regionen var personuppgiftsansvarig för behandlingen även om regionen menade att de inte hade brustit i sitt ansvar då överträdelsen uppgavs ha skett på grund av en anställds oaktsamhet.

IMY tog även ställning till att säkerhetsåtgärderna inte var tillräckliga och lämpliga avseende behandlingen av hälsouppgifter på usb-minnet. Att det inte var tillräckliga och lämpliga säkerhetsåtgärder beror bland annat på att det rörde behandling på flyttbar lagringsmedia av uppgifter om hälsa som inte ska kunna röjas eller spridas på obehörigt sätt.

Datum för beslut: 2023-04-26
Korrigerande åtgärd: Sanktionsavgift på 200 000 kronor
Lagrum: Artiklarna 4.7, 32.1 och 32.2 i dataskyddsförordningen, GDPR
Nyckelord: Tekniska och organisatoriska säkerhetsåtgärder, Personuppgiftsansvarig, Forskning, Patient, Sjukvård
Överklagan: Nej
Vunnit laga kraft: Ja

CDON AB har haft en rutin för hanteringen av kunders begäran om radering som inneburit att de i identifieringssyfte begärt in många personuppgifter. Bolaget har inte kunnat visa att det har varit nödvändigt att begära in uppgifterna. Bolaget har genom sin hantering inte underlättat utövandet av kundernas rätt till radering.

Den personuppgiftsansvarige får, i identifieringssyfte, begära in ytterligare information som är nödvändig om det finns rimliga skäl att tvivla på identiteten hos den registrerade. En proportionalitetsbedömning ska göras för att avgöra vilka uppgifter som är lämpliga att begära in. IMY har bedömt att den rutin som bolaget använder för identifiering vid begäran om radering inte är oproportionerlig. Bolaget har förändrat rutinen under tillsynens gång. En förutsättning är dock att bolaget endast begär in ytterligare uppgifter när det finns anledning att tvivla på kundens identitet, och då endast uppgifter som är nödvändiga för att identifiera kunden.

Datum för beslut: 2023-03-31
Korrigerande åtgärd: Reprimand
Lagrum: Artiklarna 5.1 c, 12.2 och 12.6 i dataskyddsförordningen, GDPR
Nyckelord: Uppgiftsminimering, Underlätta utövandet, Rimliga skäl att betvivla identitet
Överklagan: Nej
Vunnit laga kraft: Ja

När två kunder hos en e-handelsbutik begärde att företaget skulle radera deras personuppgifter krävde företaget att kunderna skickade en kopia av sina ID-handlingar. Företaget krävde också att en signerad begäran skulle skickas via fysisk post.

IMY ansåg att företaget inte fick kräva fler personuppgifter när kunderna ville utöva sina rättigheter än vad som krävdes när kundförhållandet uppkom. IMY betonade också att kravet att lämna en kopia på sin ID-handling är en ingripande åtgärd, som bara är lämplig när den personuppgiftsansvarige tidigare har säkerställt personens faktiska identitet och det saknas andra metoder för att bekräfta identiteten. Eftersom identifiering hade kunnat ske på annat sätt, till exempel via Mina Sidor eller kontrollfrågor, ansåg IMY att det inte varit nödvändigt att kräva att kunderna lämnade ID-handlingar eller signaturer. 

IMY ansåg också att företaget hade försvårat för kunderna att utöva sin rätt till radering genom att kräva att begäran skickades via post.

Datum för beslut: 2023-01-19
Korrigerande åtgärd: Reprimand
Lagrum: Artiklarna 12.2 och 12.6 i dataskyddsförordningen, GDPR
Nyckelord: Kunder
Överklagan: Nej
Vunnit laga kraft: Nej

Försäkringsbolaget If har skickat känsliga personuppgifter i ett e-postmeddelande där överföringen inte var krypterad hela vägen till mottagaren, utan endast mellan bolagets e-postserver och den e-postserver som tillhandahölls av mottagarens operatör. Det har inneburit en risk för att obehöriga kunnat ta del av, sprida vidare eller förvanska e-postmeddelandet. If har därmed inte säkerställt en lämplig säkerhetsnivå för att skydda de personuppgifter som behandlats.

If har kontinuerligt arbetat med att förbättra säkerheten och IMY bedömer att detta sammantaget är en mindre överträdelse av dataskyddsförordningen och utfärdar en reprimand.

Datum för beslut: 2023-01-19
Korrigerande åtgärd: Reprimand
Lagrum: Artikel 32.1 i dataskyddsförordningen, GDPR
Nyckelord: Tekniska och organisatoriska säkerhetsåtgärder, kryptering, e-post
Överklagan: Nej
Vunnit laga kraft: Ja

Hälso- och sjukvårdsnämnden i Region Dalarna (nämnden) har under drygt ett år använt sig av en tjänst för utskick av fysiska brev som inneburit att vissa kallelser till vårdbesök har skickats ut i fönsterkuvert där uppgifter varit fullt synliga för obehöriga, exempelvis postpersonal.

IMY bedömde att uppgifter i kallelserna gällande vissa vårdinrättningar utgör uppgifter om hälsa och att känsliga personuppgifter därmed obehörigen har röjts. Nämnden har enligt IMY – i strid med art 32.1 i dataskyddsförordningen – inte vidtagit tillräckliga säkerhetsåtgärder.

Datum för beslut: 2023-01-17
Korrigerande åtgärd: Sanktionsavgift på 200 000 kronor
Lagrum: Artikel 32.1 dataskyddsförordningen, GDPR
Nyckelord: Tekniska och organisatoriska säkerhetsåtgärder, Patient, Sekretess, Sjukvård
Överklagan: Ja
Vunnit laga kraft: Ja