Sanktionsavgift mot Diskrimineringsombudsmannen när personuppgifter samlats in via ett webbformulär

Bakgrunden till granskningen är att DO anmälde en personuppgiftsincident till IMY hösten 2021. Incidenten rörde DO:s webbformulär för insamling av tips och klagomål om diskriminering. Under IMY:s granskning framkom att DO hade vidtagit en säkerhetsåtgärd som skulle skydda personuppgifterna som samlades in via webbformuläret, så att de inte inkluderades vid användningsanalyser av DO:s webbplats.

Säkerhetsåtgärden fungerade inte fullt ut, vilket medförde att en del uppgifter, som kunde vara känsliga personuppgifter, blev oavsiktligt röjda för det personuppgiftsbiträde som DO hade anlitat för att göra analyserna. Bedömningen är att cirka 500 tips och klagomål har berörts.

Så snart DO blev medveten om det inträffade stängde myndigheten webbformuläret. 

– Incidenten pågick under ett års tid och visar på vikten av att ha ett fortlöpande och systematiskt säkerhetsarbete för att tidigare kunna fånga upp otillräckliga säkerhetsåtgärder, säger Petter Flink som är it- och informationssäkerhetsspecialist på IMY.

Motiveringen till sanktionsavgiften på 100 000 kronor är att incidenten pågick under längre tid och kunde omfatta känsliga personuppgifter.