Översikt tillsynsbeslut 2024

IMY har bedrivit tillsyn mot Apoteket AB och Apohem AB som använt den så Meta-pixeln på sina webbplatser. Genom att aktivera en ny delfunktion i Meta-pixeln förde bolagen över integritetskänsliga personuppgifter till Meta. Överföringen omfattade kunders kontaktuppgifter och uppgifter om produkter som kunderna köpt i form av bland annat receptfria läkemedel för behandling av specifika hälsobesvär, självtester och behandling av könssjukdomar och sexleksaker. Uppgifter om köp av receptbelagda mediciner fördes inte över.    

IMY:s granskning visade att bolagen inte vidtagit tillräckliga skyddsåtgärder för att skydda kundernas personuppgifter. Bristerna bestod av att bolagen inte vidtagit några tekniska åtgärder för att begränsa vilka uppgifter som fördes över till Meta. Bolagen hade inte heller de rutiner som krävdes för att själva upptäcka bristerna. Överföringen av personuppgifterna pågick därför under en längre tid och stoppades först efter att bolagen fått kännedom om händelsen av utomstående.

Datum för besluten: 2024-08-29
Korrigerande åtgärd: Sanktionsavgifter om 37 miljoner för Apoteket AB och
8 miljoner för Apohem AB
Lagrum: Artikel 32 i dataskyddsförordningen, GDPR
Nyckelord: Tekniska och organisatoriska säkerhetsåtgärder
Överklagan: Nej (Apoteket), Ja (Apohem) 
Vunnit laga kraft: Ja (Apoteket), Nej (Apohem)

Läs tillsynsbeslutet mot Apoteket

Läs tillsynsbeslutet mot Apohem

IMY har granskat fem organisationer för att se om det föreligger intressekonflikt genom att dataskyddsombuden har andra uppdrag i verksamheten, exempelvis som informationssäkerhetschef eller Risk Manager. IMY har även kontrollerat ytterligare en verksamhet för att se om ombudet har den roll och de resurser som krävs.

I ett av fallen bedömer IMY att det föreligger en intressekonflikt genom att dataskyddsombudet har uppdrag att som regionjurist ge råd i dataskyddsfrågor till verksamheten. Dataskyddsombudet tvingas därmed granska det dataskyddsarbete som utförts som rådgivare, vilket gör att ombudets oberoende kan ifrågasättas. I de övriga fallen bedömer IMY att det i det enskilda fallet inte råder någon intressekonflikt.

I granskningen av ombudets roll och resurser konstateras att verksamheten bland annat inte säkerställt att dataskyddsombudet i god tid deltar i alla frågor som rör skyddet av personuppgifter eller att ombudet rapporterar direkt till den högsta förvaltningsnivå.

Datum för beslut: 24-06-27
Korrigerande åtgärder: Region Västerbotten får en reprimand och ett föreläggande. Socialnämnden i Örebro får en reprimand. Ingen korrigerande åtgärd till övriga verksamheter. 
Lagrum: Artikel 38.1–3 och 38.6 i dataskyddsförordningen
Nyckelord: Dataskyddsombud – ställning
Överklagan: Nej
Vunnit laga kraft: Ja

En kund hos Klarna Bank AB har gjort en begäran om rättelse av sin e-postadress kopplad till sitt Klarna-kort. Bolaget har inte tillmötesgått begäran utan istället hänvisat kunden till att beställa ett nytt kort. Motiveringen har varit att det inte är tekniskt möjligt att rätta e-postadressen. IMY har prövat hur bolagets hantering förhåller sig till kundens rätt till rättelse och skyldigheten för bolaget att underlätta utövandet av kundens rätt till rättelse.

Som kund har man rätt att få felaktiga personuppgifter rättade. Bolaget har haft en skyldighet och ett ansvar att rätta kundens e-postadress. Genom att hänvisa kunden till att beställa ett nytt kort har bolaget frångått denna skyldighet.

Klarna Bank AB har en skyldighet att proaktivt utforma lösningar som gör det lättare för registrerade att utöva sina rättigheter. Bolaget kan inte frångå denna skyldighet genom utformningen av sina system. Bolaget har, genom sin motivering att det inte är tekniskt möjligt att rätta e-postadressen, inte underlättat för klaganden att utöva sin rätt till rättelse.

Datum för beslut: 2024-01-09
Korrigerande åtgärd: reprimand
Lagrum: artikel 16, 12.2, 5.1 d och 25 dataskyddsförordningen, GDPR
Nyckelord: Kunder, Bank och finans, rättelse, underlätta utövandet
Överklagan: Nej
Vunnit laga kraft: Ja