Hoppa till innehåll på sidan

Översikt tillsynsbeslut 2023

Här har vi sammanfattat våra tillsynsbeslut från 2023 som är vägledande för tolkningen av reglerna i dataskyddsförordningen, GDPR. Sidan är under uppbyggnad och kommer fyllas på.

Kunder till H&M försökte tacka nej till nyhetsbrev från bolaget, utan framgång. Efter klagomål till dataskyddsmyndigheterna i Polen, Italien och Storbritannien har IMY granskat ärendena, eftersom H&M har sitt huvudkontor i Sverige.

IMY bedömer att bolaget för det första brutit mot rätten att invända mot direktmarknadsföring. Eftersom invändningen inte tagits omhand i tid har bolaget även överskridit den tidsfrist som stadgas i förordningen. Genom att försätta med utskicken efter att kunder har försökt tacka nej har H&M också överträtt förordningen genom att behandla personuppgifter utan lagstöd. För det fjärde har bolaget inte haft tillräckliga system och rutiner för att underlätta för de som klagat att utöva sin rätt att kunna invända mot direktmarknadsföring, vilket också är en skyldighet som följer av dataskyddsförordningen.

IMY konstaterade därmed i beslutet att H&M, genom att göra det onödigt svårt för kunderna att slippa reklam, har brutit mot fyra olika bestämmelser i dataskyddsförordningen. Bland annat eftersom överträdelsen rört mindre känsliga uppgifter och bolaget vidtagit åtgärder för att komma tillrätta med problemen, stannade IMY vid en sanktionsavgift om 350 000 kronor, vilket är lågt i förhållande till bolagets omsättning. Beslutet har inte överklagats.

Datum för beslut: 2023-10-17
Korrigerande åtgärd: Sanktionsavgift på 350 000 kronor
Lagrum: Artiklarna 12.2, 12.3 och 21.3 och 58.2 i dataskyddsförordningen, GDPR
Nyckelord: Underlätta utövandet, Onödigt dröjsmål, Invändning - mot direkt marknadsföring, Administrativ sanktionsavgift
Överklagan: Nej
Vunnit laga kraft: Ja

Läs tillsynsbeslutet

I en granskning av kamerabevakning i en skola, bedömde IMY att det kunde vara motiverat att kamerabevaka en begränsad yta inomhus för att förebygga anlagda bränder. Det är allvarliga händelser som kan utgöra hot mot liv och hälsa och det fanns en historik av sådana händelser på skolan.

I beslutet tar IMY ställning till om bestämmelsen i 5 kap 3 § skollagen (2010:800) kan utgöra en rättslig förpliktelse att kamerabevaka. IMY bedömer om bevakningen var nödvändig och proportionerlig för att utföra en uppgift av allmänt intresse utifrån de syften som skolan hade med bevakning.

IMY berör också frågor kring informationsskyldigheten och att särskilda informationsinsatser kan behövas när barn och unga bevakas.

IMY:s kritik mot skolan handlar om val av rättslig grund för kamerabevakningen, att all kamerabevakning skett dygnet runt och att kamerornas upptagningsområde inte begränsats, utan filmat för stora ytor för ändamålet.

Datum för beslut: 2023-10-03

Korrigerande åtgärd: Sanktionsavgift på 800 000 kronor.

Lagrum: Artiklarna 6.1 c, 6.1 e, 5.1 a, 5.1 c, 13.1, 13.2, 58.2 d och 58.2, i dataskyddsförordningen, GDPR

Nyckelord: Information till den registrerade, Ytterligare information till den registrerade, Laglighet, Uppgiftsminimering, Föreläggande behandling, Administrativ sanktionsavgift, Rättslig förpliktelse, Allmänt intresse, Kamera, Skolverksamhet

Överklagan: Nej

Vunnit laga kraft: Ja

Läs tillsynsbeslutet

IMY konstaterade att det under perioden oktober 2018 till februari 2021 var möjligt att genom internet obehörigen få åtkomst till en stor mängd personuppgifter om 650 000 kunder hos dåvarande Moderna försäkringar, numera Trygg-Hansa. Det rörde bland annat uppgifter om hälsa, ekonomisk information, personnummer, kontaktuppgifter och försäkringsinnehav.

Mot bakgrund av det stora antalet registrerade som berördes, det stora antalet uppgifter om varje registrerad och uppgifternas karaktär samt då bolaget borde haft möjligt att upptäckta och åtgärda de säkerhetsbrister som gjorde att det var möjligt att få åtkomst kunduppgifterna bedömde IMY att bolaget inte hade vidtagit lämpliga tekniska åtgärder för att säkerställa en säkerhetsnivå som var lämplig i förhållande till risken.

Datum för beslut: 2023-08-28

Korrigerande åtgärd: Sanktionsavgift på 35 miljoner kronor

Lagrum: Artiklarna 2, 5.1 f, 32.1 och, 58.2, 83.3 i dataskyddsförordningen, GDPR

Nyckelord: Tekniska och organisatoriska säkerhetsåtgärder, Integritet, Administrativ sanktionsavgift, Sammankopplade behandlingar, Bank och finans, Försäkring, Kunder

Överklagan: Nej

Vunnit laga kraft: Ja

Läs tillsynsbeslutet

IMY har bedrivit tillsyn mot fyra svenska bolag som använt sig av Google Analytics för att mäta och analysera trafiken på sina webbplatser. Tillsynerna gällde otillåten överföring av personuppgifter till USA. De fyra bolagen var Tele2, CDON, Coop och Dagens industri.

IMY konstaterade att samtliga bolag, genom att använda verktyget, behandlade personuppgifter i strid med artikel 44 i dataskyddsförordningen eftersom bolagen inte vidtagit tillräckliga tekniska skyddsåtgärder för att säkerställa en väsentligt likvärdig skyddsnivå för personuppgifter som den som garanteras inom EU/EES.

IMY förelade samtliga bolag att sluta använda verktyget, förutom Tele2 som upphört självmant.

Coop och Dagens industri hade vidtagit omfattande säkerhetsåtgärder, som inte var tillräckligt effektiva för att göra överföringen laglig, men ansågs tillräckliga för att bolagen inte skulle åläggas en sanktionsavgift. Tele2 och CDON ålades sanktionsavgifter.

Datum för beslut: 2023-06-30

Korrigerande åtgärder:

  • Tele2: Sanktionsavgift på 12 miljoner kronor
  • CDON: Föreläggande och Sanktionsavgift på 300 000 kronor
  • Coop: Föreläggande
  • Dagens industri: Föreläggande

Lagrum: Artiklarna 44, 58.2 och 83 i dataskyddsförordningen, GDPR

Nyckelord: Överföring av personuppgifter till tredjeland, tillräckliga skyddsåtgärder, Administrativ sanktionsavgift

Överklagan: Ja (Tele2), Nej (CDON, Coop, Dagens industri)

Vunnit laga kraft: Nej (Tele2), Ja (CDON, Coop, Dagens industri)

 

Läs tillsynsbeslutet mot Tele2

Läs tillsynsbeslutet mot CDON

Läs tillsynsbeslutet mot Coop

Läs tillsynsbeslutet mot Dagens industri

Bonnier News har behandlat personuppgifter genom profilering i syfte att användas för marknadsföring. Uppgifter om gjorda köp, hur internetanvändare surfat på bolagens webbplatser och inköpta statistiska uppgifter har behandlats och i vissa fall kunnat kombineras i profileringen.

IMY har bedömt att Bonnier News saknat stöd i sin intresseavvägning enligt artikel 6.1 f i dataskyddsförordningen.

IMY har konstaterat att de registrerades integritetsintresse är starkt på grund av arten av uppgifterna samt att de registrerade inte kan förvänta sig aktuell profilering utan att ha samtyckt till den varför de registrerades integritetsintresse har vägt tyngre än bolagets.

I beslutet tar IMY även ställning till att insamlad beteendedata utgör personuppgifter eftersom enskilda är identifierbara då de särskiljs från andra personer och själva syftet med behandlingen är att vidta specifika åtgärder i förhållande till en enskild.

Datum för beslut: 2023-06-26

Korrigerande åtgärd: Sanktionsavgift på 13 000 000 kronor

Lagrum: Artikel 6.1 i dataskyddsförordningen, GDPR

Nyckelord: Profilering, Intresseavvägning, kunder, marknadsföring

Överklagan: Ja

Vunnit laga kraft: Nej

Läs tillsynsbeslutet

IMY har granskat hur Spotify hanterar rätten för bolagets kunder att få tillgång till sina personuppgifter. Rätten till tillgång syftar till att kunder ska ges möjlighet att kontrollera att hanteringen av deras personuppgifter är laglig. Det innebär att kunderna behöver förstå vilka personuppgifter som bolaget hanterar om dem och hur bolaget använder dessa uppgifter.

IMY anser att Spotify lämnar ut de personuppgifter bolaget behandlar när kunder begär det men att bolaget inte informerar tillräckligt tydligt om hur dessa uppgifter används av bolaget samt att bolaget borde ha förklarat vissa personuppgifter av teknisk karaktär, inte bara på engelska utan på kundens eget språk.

IMY konstaterar även att det inte finns något hinder mot att dela upp kopian på personuppgifter i olika lager så länge rätten till tillgång tillgodoses. Det är i det sammanhanget viktigt att kunden förstår vilka uppgifter som finns i de olika lagren, hur de kan begäras och att de kan begäras vid samma tidpunkt.

Datum för beslut: 2023-06-12

Korrigerande åtgärd: Sanktionsavgift på 58 000 000 kronor, reprimand och föreläggande

Lagrum: Artiklarna 12.1, 12.3, 15.1 a-d, 15.1 g, 15.2, 15.3, 58.2, 58.2 b, 58.2 c och 83 i dataskyddsförordningen, GDPR

Nyckelord: Klar och tydlig information och kommunikation, Onödigt dröjsmål, Rätt till viss information, Kopia av uppgifterna, Reprimand, Föreläggande tillmötesgå, Administrativ sanktionsavgift, Sammankopplade behandlingar, Gränsöverskridande verksamhet, Kunder

Överklagan: Ja

Vunnit laga kraft: Nej

Läs tillsynsbeslutet

Kungälvs kommun kamerabevakar flera allmänna platser i kommunen utan tillstånd. Kommunen anser att de inte behöver tillstånd, eftersom de använder en anonymiseringsteknik (pixelering), som förhindrar att personer kan identifieras. IMY är av en annan uppfattning och bedömer att kommunen måste ha tillstånd för merparten av de platser som kamerabevakas.

Upptagning, överföring och bearbetning av originalfilmerna omfattas av kamerabevakningslagen. Anonymiseringstekniken som används minskar integritetsintrånget, men innebär ändå att enskilda kan komma att identifieras, och gör att även behandling av det pixelerade materialet omfattas av kamerabevakningslagens krav.

Datum för beslut: 2023-05-15
Korrigerande åtgärd: Förbud
Lagrum: Artiklarna 58.2 b och 58.2 f i dataskyddsförordningen, GDPR samt 7§ kamerabevakningslagen
Nyckelord: Reprimand, Begränsning inklusive förbud, Kamera, Kommuner, Övervakning
Överklagan: Ja
Vunnit laga kraft: Nej

Läs tillsynsbeslutet

En region har lagrat hälsouppgifter om cirka 2 000 personer på ett okrypterat usb-minne för ändamålet forskning. Usb-minnet tappades bort.

I beslutet bedömde IMY att regionen var personuppgiftsansvarig för behandlingen även om regionen menade att de inte hade brustit i sitt ansvar då överträdelsen uppgavs ha skett på grund av en anställds oaktsamhet.

IMY tog även ställning till att säkerhetsåtgärderna inte var tillräckliga och lämpliga avseende behandlingen av hälsouppgifter på usb-minnet. Att det inte var tillräckliga och lämpliga säkerhetsåtgärder beror bland annat på att det rörde behandling på flyttbar lagringsmedia av uppgifter om hälsa som inte ska kunna röjas eller spridas på obehörigt sätt.

Datum för beslut: 2023-04-26

Korrigerande åtgärd: Sanktionsavgift på 200 000 kronor

Lagrum: Artiklarna 4.7, 32.1 och 32.2 i dataskyddsförordningen, GDPR

Nyckelord: Tekniska och organisatoriska säkerhetsåtgärder, Personuppgiftsansvarig, Forskning, Patient, Sjukvård

Överklagan: Nej

Vunnit laga kraft: Ja

Läs tillsynsbeslutet

Försäkringsbolaget If har skickat känsliga personuppgifter i ett e-postmeddelande där överföringen inte var krypterad hela vägen till mottagaren, utan endast mellan bolagets e-postserver och den e-postserver som tillhandahölls av mottagarens operatör. Det har inneburit en risk för att obehöriga kunnat ta del av, sprida vidare eller förvanska e-postmeddelandet. If har därmed inte säkerställt en lämplig säkerhetsnivå för att skydda de personuppgifter som behandlats.

If har kontinuerligt arbetat med att förbättra säkerheten och IMY bedömer att detta sammantaget är en mindre överträdelse av dataskyddsförordningen och utfärdar en reprimand.

Datum för beslut: 2023-01-19
Korrigerande åtgärd: Reprimand
Lagrum: Artikel 32.1 i dataskyddsförordningen, GDPR
Nyckelord: Tekniska och organisatoriska säkerhetsåtgärder, kryptering, e-post
Överklagan: Nej
Vunnit laga kraft: Ja

Läs tillsynsbeslutet här

Hälso- och sjukvårdsnämnden i Region Dalarna (nämnden) har under drygt ett år använt sig av en tjänst för utskick av fysiska brev som inneburit att vissa kallelser till vårdbesök har skickats ut i fönsterkuvert där uppgifter varit fullt synliga för obehöriga, exempelvis postpersonal.

IMY bedömde att uppgifter i kallelserna gällande vissa vårdinrättningar utgör uppgifter om hälsa och att känsliga personuppgifter därmed obehörigen har röjts. Nämnden har enligt IMY – i strid med art 32.1 i dataskyddsförordningen – inte vidtagit tillräckliga säkerhetsåtgärder.

Datum för beslut: 2023-01-17
Korrigerande åtgärd: Sanktionsavgift på 200 000 kronor
Lagrum: Artiklarna 32.1 dataskyddsförordningen, GDPR
Nyckelord: Tekniska och organisatoriska säkerhetsåtgärder, Patient, Sekretess, Sjukvård
Överklagan: Ja
Vunnit laga kraft: Ja

Läs tillsynsbeslutet

Senast uppdaterad: 20 februari 2024