meny

Tillsynsbeslut

Här hittar du Datainspektionens tillsynsbeslut från 2018 och framåt.

2020

Beslut 2020-06-22, Tillsyn av Polismyndighetens belastningsregister enligt lagen om belastningsregister

Datainspektionen konstaterar att Polismyndigheten har åtgärdat det tekniska fel som inneburit att utskick av registerutdrag ur belastningsregistret under en period har blivit felaktiga. Datainspektionen vidtar därför inga ytterligare åtgärder och ärendet avslutas.

Läs Datainspektionens beslut mot polisen

Beslut 2020-06-15, Tillsyn enligt EU:s dataskyddsförordning 2016/679 – Bostadsrättsförening får inte kamerabevaka entré och trapphus

Datainspektionen har granskat hur en bostadsrättsförening använder kamerabevakning i sin fastighet och konstaterar att föreningen har gått för långt som spelat in ljud och kamerabevakat både entré och trapphus. Datainspektionen utfärdar en sanktionsavgift på 20 000 kronor mot föreningen.

Läs Datainspektionens beslut mot bostadsrättsföreningen

Beslut 2020-05-11, Tillsyn enligt EU:s dataskyddsförordning 2016/679 – Fel att publicera känsliga personuppgifter på Region Örebro läns webb

Datainspektionens granskning visar att Hälso- och sjukvårdsnämnden i Region Örebro län gjort fel vid publicering av känsliga personuppgifter på regionens webbplats om en patient som är intagen på rättspsykiatrisk klinik.

Datainspektionen förelägger nämnden att åtgärda de brister som upptäckts och utfärdar även en administrativ sanktionsavgift på 120 000 kronor mot nämnden.

Läs Datainspektionens beslut mot Hälso- och sjukvårdsnämnden i Region Örebro län

Beslut 2020-04-28, Tillsyn enligt EU:s dataskyddsförordning 2016/679 – Statens servicecenters hantering av en personuppgiftsincident

Datainspektionen utfärdar nu en sanktionsavgift på sammanlagt 200 000 kronor mot Statens servicecenter för att ha dröjt med att underrätta såväl Datainspektionen som berörda myndigheter om en personuppgiftsincident.

Datainspektionen har granskat Statens servicecenter efter att ha tagit emot flera anmälningar om en personuppgiftsincident som rör en felaktighet i Statens servicecenters system för lönehantering. Felaktigheten innebar att obehöriga kunde komma åt dels personuppgifter från myndigheter som anlitar servicecentret för sin lönehantering, dels personuppgifter som rörde servicecentrets egen personal.

Läs Datainspektionens beslut mot Statens servicecenter

Beslut 2020-03-11, Tillsyn enligt EU:s dataskyddsförordning 2016/679 – Googles hantering av begäranden om borttagande från dess söktjänster

Datainspektionen utfärdar en sanktionsavgift på 75 miljoner kronor mot Google för att företaget bryter mot GDPR. Orsaken är att Google brister i sitt sätt att hantera rätten att få sökresultat borttagna.

Datainspektionen är kritisk till att Google inte har tagit bort två av de sökträffar som myndigheten beslutade om 2017. I det ena fallet har Google gjort en för snäv bedömning av vilka webbadresser som faktiskt ska tas bort från sökresultat. I det andra fallet har Google inte tagit bort ett sökresultat tillräckligt snabbt.

Läs Datainspektionens beslut mot Google

[2020-03-31] Tillsynsbeslutet är överklagat till Förvaltningsrätten.

 

Beslut 2020-01-31, Tillsyn enligt kreditupplysningslagen (1973:1173) – Yellow-Belly Decision Systems AB

Datainspektionen återkallar nu tillståndet för företaget Yellow-belly att bedriva kreditupplysningsverksamhet. Orsaken är att företaget lämnat ut uppgifter till sajten Mrkoll i strid med kreditupplysningslagen.

Granskningen visar att Yellow-belly överlåtit sitt kreditupplysningsregister till Nusvar utan att först få ett medgivande från Datainspektionen, vilket innebär att företaget brutit mot kreditupplysningslagen.

Läs Datainspektionens beslut mot Yellow-Belly

[2020-02-24] Tillsynsbeslutet är överklagat till Förvaltningsrätten.

[2020-06-17] Förvaltningsrätten avslagit Nusvars överklagande.

2019

Beslut 2019-12-18/2019-12-19, Kamerabevakning - Tillsyn enligt dataskyddsförordningen

DI-2018-5658

DI-2018-12129

DI-2018-12609

DI-2018-12614

DI-2018-13624

DI-2018-13626

DI-2018-13628

DI-2018-13630

DI-2018-14446

Beslut 2019-12-13, Tillsyn enligt kreditupplysningslagen (1973:1173) och EU:s dataskyddsförordning 2016/679 – Nusvar AB

Datainspektionen utfärdar en sanktionsavgift på 35 000 euro för sajten Mrkoll för brott mot kreditupplysningslagen och dataskyddsförordningen. Orsaken är att sajten bedrivit kreditupplysningsverksamhet på ett sätt som inte är lagligt.

Nusvar som driver sajten Mrkoll masspublicerar uppgifter om alla svenskar som är 16 år eller äldre. Databasen omfattar personuppgifter om drygt 8 miljoner personer. Sajten har publicerat uppgifter om att personer saknar betalningsanmärkningar. Datainspektionens beslut avser publicering av uppgifter under perioden december 2018–april 2019. Sedan i april i år publicerar sajten inte längre uppgifter om betalningsanmärkningar. Beslutet kommer därför inte att påverka hur sajten lämnar ut personuppgifter idag.

Läs Datainspektionens beslut mot Nusvar AB

[2020-01-15] Tillsynsbeslutet är överklagat till Förvaltningsrätten.

 

2019-11-07, Granskning klar av brottsbekämpande myndigheter

Datainspektionen har granskat den förteckning som brottsbekämpande myndigheter måste ha över de register och behandlingar av personuppgifter som omfattas av brottsdatalagen.

Resultatet från granskningen är på det hela taget positivt. Samtidigt har det funnits vissa brister hos samtliga granskade myndigheter. Bristerna har lett till att Datainspektionen förelagt eller rekommenderat myndigheterna att vidta åtgärder.

Läs sammanställningen från granskningarna

Läs beslutet mot Polismyndigheten

Läs beslutet mot Kriminalvården

Läs beslutet mot Kustbevakningen

Läs beslutet mot Ekobrottsmyndigheten

Läs beslutet mot Åklagarmyndigheten

Läs beslutet mot Skatteverket

Läs beslutet mot Tullverket

Beslut 2019-08-20, Tillsyn enligt EU:s dataskyddsförordning 2016/679 – ansiktsigenkänning för närvarokontroll av elever

Datainspektionen utfärdar en sanktionsavgift på 200 000 kronor för en skola som på prov har använt ansiktsigenkänning via kamera för att registrera elevers närvaro.

En gymnasieskola i Skellefteå har på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektionerna. Försöket har pågått under tre veckor och berört 22 elever. Datainspektionen har granskat användningen och konstaterar att gymnasienämnden i Skellefteå har hanterat känsliga personuppgifter i strid med dataskyddsförordningen.

Läs Datainspektionens beslut mot Gymnasienämnden i Skellefteå kommun (pdf-format) 
In English

[2019-09-05] Gymnasienämnden i Skellefteå kommun har överklagat Datainspektionens beslut om sanktionsavgift.

Beslut 2019-07-03, Tillsyn enligt EU:s dataskyddsförordning 2019/679
– kamerabevakning

Datainspektionen konstaterar att tillsynsobjektet bedriver kamerabevakning vid sin gård i strid med EU:s dataskyddsförordning genom att kamerabevaka utan rättslig grund.

Datainspektionen förbjuder tillsynsobjektet att fortsätta med den kamerabevakning hen nu bedriver vid sin gård.

Läs Datainspektionens beslut (pdf-format)

Beslut 2019-06-28, Uppsala kommun 

Datainspektionen riktar skarp kritik mot Äldrenämnden och Omsorgsnämnden i Uppsala kommun, och har funnit flera brister i kommunens journalsystem.

Bristerna rör en för vid behörighetstilldelning, att patientens samtycke inte inhämtas innan personal hos äldrenämnden tar del av andra vårdgivares personuppgifter under jourtid, att det saknas tekniska funktioner för spärrar i journalsystemet mellan nämnderna och att personal inom äldrenämnden journalför i andra vårdgivares journaler under jourtid. 

Läs beslut mot Omsorgsnämnden i Uppsala kommun (pdf-format)

Läs beslut mot Äldrenämnden i Uppsala kommun (pdf-format)

Beslut 2019-02-25, grannbevakning

En husägare får inte rikta sin bevakningskamera så att den övervakar andra grannars tomter, konstaterar Datainspektionen som nu har avslutat en granskning av privatpersoners kamerabevakning. 

Datainspektionen har tagit emot klagomål från grannar som anser att de är olagligt kamerabevakade av andra grannar. Datainspektionen publicerar nu resultatet från ett knappt tiotal ärenden som rör grannbevakning. I vissa fall var kamerabevakningen laglig eftersom kameran enbart filmat den egna tomten. I andra fall har dock kameran filmat även grannars tomter eller allmän plats och därmed bedömts som olaglig.

Läs Datainspektionens beslut grannbevakning 1 (pdf-format)

Läs Datainspektionens beslut grannbevakning 2 (pdf-format)

Läs Datainspektionens beslut grannbevakning 3 (pdf-format)

Läs Datainspektionens beslut grannbevakning 4 (pdf-format)

Läs Datainspektionens beslut grannbevakning 5 (pdf-format)

Läs Datainspektionens beslut grannbevakning 6 (pdf-format)

Läs Datainspektionens beslut grannbevakning 7 (pdf-format)

2018

Beslut 2018-10-22, sammanställning, dataskyddsombud i offentlig- och privat sektor 

Brister gällande att utse dataskyddsombud och meddela ombudets kontaktuppgifter till Datainspektionen.

Datainspektionen har undersökt om drygt 400 företag och myndigheter har utsett ett dataskyddsombud och meddelat kontaktuppgifter till datainspektionen, vilket de har en skyldighet att göra. Granskningen visar att majoriteten av de granskade organisatorerna har anmält och utsett ett dataskyddsombud i tid. 

Läs sammanställningen av granskningen i pdf-format

Beslut 2018-05-24, dnr 2495-2017, Region Uppsala

Region Uppsala har gjort fel som lämnat ut patientuppgifter genom direktåtkomst till apoteksstuderande.

Datainspektionen har granskat Region Uppsala efter att ha tagit emot ett klagomål från en patient som upptäckt att en apoteksstuderande varit inloggad i dennes patientjournal. Granskningen visar att apoteksstuderande mycket riktigt har haft elektronisk direktåtkomst till patientjournaler i projekt som genomförts inom studier på apotekarprogrammet vid Uppsala Universitet.

Läs beslutet

Beslut 2018-05-23, dnr 2248-2017, Region Skåne

Datainspektionen riktar återigen skarp kritik mot Region Skåne och har funnit flera brister i regionens huvudjournalsystem.

Efter att ha tagit emot ett klagomål har Datainspektionen granskat integritetsskyddet i Region Skånes huvudjournalsystem. Datainspektionen har funnit flera brister. Bland annat har personalen för vid behörighet vilket leder till att en majoritet av regionens vårdpersonal kan ta del av alla uppgifter om alla patienter, förutom de som valt att spärra sina uppgifter. Det går heller inte att utföra verkningsfulla loggkontroller för att kontrollera om personal eller andra obehörigen tar del av patientuppgifter.

Läs beslutet

2017

Beslut 2017-05-02, dnr 1013-2015, Google Inc.

Datainspektionen har kontrollerat hur Google hanterar "rätten att bli glömd", det vill säga möjligheten att få sökresultat borttagna.

I maj 2014 slog EU-domstolen fast att en person kan begära att sökmotorer som exempelvis Google tar bort resultat för sökfrågor som innehåller personens namn i fall resultaten är oriktiga, irrelevanta, inte längre relevanta eller överflödiga. Den här möjligheten kallas ibland "rätten att bli glömd". Sedan domen har tusentals personer vänt sig till Google och begärt att Google ska ta bort resultatet av sökningar på deras namn. Ett antal av de som inte fått sökresultat borttagna har lämnat in klagomål till Datainspektionen. Av dessa har myndigheten valt ut ett drygt dussin och granskat dem närmare. Klagomålen har valts ut för att det i samtliga fall handlar om nya frågeställningar och gränsdragningsproblem.

 Läs beslutet

 

 

För övriga beslut, kontakta vår registrator datainspektionen@datainspektionen.se.