meny

Tillsynsbeslut

Här hittar du Integritetsskyddsmyndighetens tillsynsbeslut från 2018 och framåt.

2020

Beslut 2020-12-17, Tillsyn enligt brottsdatalagen

Integritetsskyddsmyndigheten (IMY) har granskat sammanlagt sju brottskämpande myndigheter: Polisen, Ekobrottsmyndigheten, Skatteverket, Åklagarmyndigheten, Kustbevakningen, Kriminalvården och Tullverket. Det som undersökts är myndigheternas förmåga att upptäcka personuppgiftsincidenter, att hantera eventuella incidenter, att dokumentera incidenter och vilken information och utbildning personalen fått vad gäller personuppgiftsincidenter. På det hela taget ser myndigheternas rutiner för personuppgiftsincidenter bra ut. IMY avslutar granskningen med att ge ett antal rekommendationer till respektive granskad myndighet.

Beslut mot Ekobrottsmyndigheten

Beslut mot Kriminalvården

Beslut mot Kustbevakningen

Beslut mot Polismyndigheten

Beslut mot Skatteverket

Beslut mot Tullverket

Beslut mot Åklagarmyndigheten

Beslut 2020-12-14, Tillsyn enligt dataskyddsförordningen – Uppsalahem AB 

Integritetsskyddsmyndigheten utfärdar en administrativ sanktionsavgift på 300 000 kronor mot ett bostadsbolag som bedrivit olaglig kamerabevakning i ett flerbostadshus.

Beslut mot Uppsalahem

Beslut 2020-12-10, Tillsyn enligt dataskyddsförordningen – Umeå universitets behandling av personuppgifter

Umeå universitet har hanterat känsliga personuppgifter om sexualliv och hälsa i bland annat en molntjänst, utan att skydda uppgifterna tillräckligt. Integritetsskyddsmyndigheten utfärdar därför en sanktionsavgift på 550 000 kronor mot universitetet.

Beslut mot Umeå universitet

Beslut 2020-12-02, Tillsyn enligt dataskyddsförordningen och patientdatalagen, behovs- och riskanalys och frågor om åtkomst i journalsystem

Integritetsskyddsmyndigheten har granskat hur åtta vårdgivare styr och begränsar personalens åtkomst till huvudjournalsystemen. Myndigheten har upptäckt brister som i sju av de åtta fallen leder till administrativa sanktionsavgifter på upp till 30 miljoner kronor. Integritetsskyddsmyndigheten har tagit fram en vägledning som sammanfattar slutsatserna från granskningarna vad gäller kraven på att genomföra behovs- och riskanalyser.

Vägledning: Behovs- och riskanalys inom hälso- och sjukvården

Beslut mot Aleris Sjukvård AB

Beslut mot Aleris Närsjukvård AB

Beslut mot Capio S:t Görans Sjukhus AB

Beslut mot Digital Medical Supply Sweden AB (Kry)

Beslut mot Karolinska Universitetssjukhuset

Beslut mot Sahlgrenska Universitetssjukhuset

Beslut mot Region Västerbotten

Beslut mot Region Östergötland

Beslut 2020-11-24, Tillsyn enligt EU:s dataskyddsförordning 2016/679 – kamerabevakning på ett LSS-boende

Efter ett klagomål från en anhörig till en boende på ett LSS-boende i Gnosjö kommun som gör gällande att den boende kameraövervakas olagligt, har Integritetsskyddsmyndigheten granskat LSS-boendet. Vi kan konstatera att den boende kamerabevakats i sitt sovrum i strid med dataskyddsförordningen, GDPR, och kamerabevakningslagen och utfärdar en sanktionsavgift på 200 000 kronor.

Integritetsskyddsmyndighetens beslut mot LSS-boendet

Beslut 2020-11-23, Tillsyn enligt EU:s dataskyddsförordning 2016/679 – Utbildningsnämnden i Stockholms stad

Integritetsskyddsmyndigheten har granskat Skolplattformen, det it-system som används för bland annat elevadministration av skolor i Stockholm stad. Granskningen visar på brister i säkerheten som är så allvarliga att myndigheten utfärdar en administrativ sanktionsavgift på fyra miljoner kronor mot utbildningsnämnden i Stockholm stad.

Integritetsskyddsmyndighetens beslut mot utbildningnämnden i Stockholms stad

Beslut 2020-10-14, Tillsyn enligt inkassolagen (1974:182) – Sergel Kredittjänster AB

Integritetsskyddsmyndigheten har sedan slutet av 2019 tagit emot flera klagomål som gör gällande att det är svårt att komma i kontakt med inkassobolaget Sergel Kredittjänster, såväl via telefon som genom bolagets webbtjänst "Mina sidor". Integritetsskyddsmyndigheten ser allvarligt på bristerna och förutsätter att bolaget vidtar åtgärder för att ytterligare förbättra tillgängligheten. Myndigheten kommer att följa upp vilka åtgärder som bolaget vidtar i en ny granskning.

Integritetsskyddsmyndighetens beslut mot Sergel Kredittjänster AB

Beslut 2020-10-09, Tillsyn av Svenska Europainkasso AB enligt inkassolagen (1974:182) - Felaktigt processval 

Integritetsskyddsmyndighetens granskning visar att Svenska Europainkasso AB har brutit mot 4 § inkassolagen genom felaktigt processval då man inte beaktat inkomna invändningar vid valet av processform. Integritetsskyddsmyndigheten förutsätter att bolaget vidtar åtgärder för att säkerställa att man framöver beaktar inkomna invändningar vid valet av processform. Ärendet avslutas.

Integritetsskyddsmyndighetens beslut mot Svenska Europainkasso AB

Beslut 2020-06-22, Tillsyn av Polismyndighetens belastningsregister enligt lagen om belastningsregister

Integritetsskyddsmyndigheten konstaterar att Polismyndigheten har åtgärdat det tekniska fel som inneburit att utskick av registerutdrag ur belastningsregistret under en period har blivit felaktiga. Integritetsskyddsmyndigheten vidtar därför inga ytterligare åtgärder och ärendet avslutas.

Integritetsskyddsmyndighetens beslut mot polisen

Beslut 2020-06-15, Tillsyn enligt EU:s dataskyddsförordning 2016/679 – Bostadsrättsförening får inte kamerabevaka entré och trapphus

Integritetsskyddsmyndigheten har granskat hur en bostadsrättsförening använder kamerabevakning i sin fastighet och konstaterar att föreningen har gått för långt som spelat in ljud och kamerabevakat både entré och trapphus. Integritetsskyddsmyndigheten utfärdar en sanktionsavgift på 20 000 kronor mot föreningen.

Integritetsskyddsmyndighetens beslut mot bostadsrättsföreningen

Beslut 2020-05-11, Tillsyn enligt EU:s dataskyddsförordning 2016/679 – Fel att publicera känsliga personuppgifter på Region Örebro läns webb

Integritetsskyddsmyndighetens granskning visar att Hälso- och sjukvårdsnämnden i Region Örebro län gjort fel vid publicering av känsliga personuppgifter på regionens webbplats om en patient som är intagen på rättspsykiatrisk klinik.

Integritetsskyddsmyndigheten förelägger nämnden att åtgärda de brister som upptäckts och utfärdar även en administrativ sanktionsavgift på 120 000 kronor mot nämnden.

Integritetsskyddsmyndighetens beslut mot Hälso- och sjukvårdsnämnden i Region Örebro län

Beslut 2020-04-28, Tillsyn enligt EU:s dataskyddsförordning 2016/679 – Statens servicecenters hantering av en personuppgiftsincident

Integritetsskyddsmyndigheten utfärdar nu en sanktionsavgift på sammanlagt 200 000 kronor mot Statens servicecenter för att ha dröjt med att underrätta såväl Integritetsskyddsmyndigheten som berörda myndigheter om en personuppgiftsincident.

Integritetsskyddsmyndigheten har granskat Statens servicecenter efter att ha tagit emot flera anmälningar om en personuppgiftsincident som rör en felaktighet i Statens servicecenters system för lönehantering. Felaktigheten innebar att obehöriga kunde komma åt dels personuppgifter från myndigheter som anlitar servicecentret för sin lönehantering, dels personuppgifter som rörde servicecentrets egen personal.

Integritetsskyddsmyndighetens beslut mot Statens servicecenter

Beslut 2020-03-11, Tillsyn enligt EU:s dataskyddsförordning 2016/679 – Googles hantering av begäranden om borttagande från dess söktjänster

Integritetsskyddsmyndigheten utfärdar en sanktionsavgift på 75 miljoner kronor mot Google för att företaget bryter mot GDPR. Orsaken är att Google brister i sitt sätt att hantera rätten att få sökresultat borttagna.

Integritetsskyddsmyndigheten är kritisk till att Google inte har tagit bort två av de sökträffar som myndigheten beslutade om 2017. I det ena fallet har Google gjort en för snäv bedömning av vilka webbadresser som faktiskt ska tas bort från sökresultat. I det andra fallet har Google inte tagit bort ett sökresultat tillräckligt snabbt.

Läs Integritetsskyddsmyndighetens beslut mot Google

[2020-03-31] Tillsynsbeslutet är överklagat till Förvaltningsrätten.

[2020-11-23] Förvaltningsrätten i Stockholm har fastställt Integritetsskyddsmyndighetens beslut, förutom i den del det avsåg klagomål 8. Domstolen fann att sanktionsavgiften för klagomål 2 var för hög och har därför sänkt den till 2 miljoner kronor. Den totala sanktionsavgiften är därmed 52 miljoner kronor. Domen kan överklagas. Mål nr 7565-20.

Beslut 2020-01-31, Tillsyn enligt kreditupplysningslagen (1973:1173) – Yellow-Belly Decision Systems AB

Integritetsskyddsmyndigheten återkallar nu tillståndet för företaget Yellow-belly att bedriva kreditupplysningsverksamhet. Orsaken är att företaget lämnat ut uppgifter till sajten Mrkoll i strid med kreditupplysningslagen.

Granskningen visar att Yellow-belly överlåtit sitt kreditupplysningsregister till Nusvar utan att först få ett medgivande från Integritetsskyddsmyndigheten, vilket innebär att företaget brutit mot kreditupplysningslagen.

Integritetsskyddsmyndighetens beslut mot Yellow-Belly

[2020-02-24] Tillsynsbeslutet är överklagat till Förvaltningsrätten.

[2020-07-10] Förvaltningsrätten i Stockholm fastställde Integritetsskyddsmyndighetens beslut i dom den 10 juli 2020, mål nr 4831-20. Integritetsskyddsmyndighetens beslut har vunnit laga kraft.

2019

Beslut 2019-12-18/2019-12-19, Kamerabevakning - Tillsyn enligt dataskyddsförordningen

DI-2018-5658

DI-2018-12129

DI-2018-12609

DI-2018-12614

DI-2018-13624

DI-2018-13626

DI-2018-13628

DI-2018-13630

DI-2018-14446

Beslut 2019-12-13, Tillsyn enligt kreditupplysningslagen (1973:1173) och EU:s dataskyddsförordning 2016/679 – Nusvar AB

Integritetsskyddsmyndigheten utfärdar en sanktionsavgift på 35 000 euro för sajten Mrkoll för brott mot kreditupplysningslagen och dataskyddsförordningen. Orsaken är att sajten bedrivit kreditupplysningsverksamhet på ett sätt som inte är lagligt.

Nusvar som driver sajten Mrkoll masspublicerar uppgifter om alla svenskar som är 16 år eller äldre. Databasen omfattar personuppgifter om drygt 8 miljoner personer. Sajten har publicerat uppgifter om att personer saknar betalningsanmärkningar. Integritetsskyddsmyndighetens beslut avser publicering av uppgifter under perioden december 2018–april 2019. Sedan i april i år publicerar sajten inte längre uppgifter om betalningsanmärkningar. Beslutet kommer därför inte att påverka hur sajten lämnar ut personuppgifter idag.

Integritetsskyddsmyndighetens beslut mot Nusvar AB

[2020-01-15] Tillsynsbeslutet är överklagat till Förvaltningsrätten.

[2020-06-17] Förvaltningsrätten har avslagit Nusvars överklagande.

 

2019-11-07, Granskning klar av brottsbekämpande myndigheter

Integritetsskyddsmyndigheten har granskat den förteckning som brottsbekämpande myndigheter måste ha över de register och behandlingar av personuppgifter som omfattas av brottsdatalagen.

Resultatet från granskningen är på det hela taget positivt. Samtidigt har det funnits vissa brister hos samtliga granskade myndigheter. Bristerna har lett till att Integritetsskyddsmyndigheten förelagt eller rekommenderat myndigheterna att vidta åtgärder.

Läs sammanställningen från granskningarna

Läs beslutet mot Polismyndigheten

Läs beslutet mot Kriminalvården

Läs beslutet mot Kustbevakningen

Läs beslutet mot Ekobrottsmyndigheten

Läs beslutet mot Åklagarmyndigheten

Läs beslutet mot Skatteverket

Läs beslutet mot Tullverket

Beslut 2019-08-27, Tillsyn enligt inkassolagen (1974:182) – om utformning av inkassokrav från Intrum Sverige AB

Integritetsskyddsmyndighetens granskning visar att Intrum Sverige AB har brutit mot 4 § inkassolagen genom att inte rubricera inkassokrav på ett tillräckligt tydligt sätt. Integritetsskyddsmyndigheten konstaterar att Intrum Sverige AB nu rättat utformningen av de aktuella inkassokraven och att det därför inte finns anledning att vidta några ytterligare åtgärder.

Läs Integritetsskyddsmyndighetens beslut mot Intrum Sverige AB

Beslut 2019-08-20, Tillsyn enligt EU:s dataskyddsförordning 2016/679 – ansiktsigenkänning för närvarokontroll av elever

Integritetsskyddsmyndigheten utfärdar en sanktionsavgift på 200 000 kronor för en skola som på prov har använt ansiktsigenkänning via kamera för att registrera elevers närvaro.

En gymnasieskola i Skellefteå har på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektionerna. Försöket har pågått under tre veckor och berört 22 elever. Integritetsskyddsmyndigheten har granskat användningen och konstaterar att gymnasienämnden i Skellefteå har hanterat känsliga personuppgifter i strid med dataskyddsförordningen.

Läs Integritetsskyddsmyndighetens beslut mot Gymnasienämnden i Skellefteå kommun (pdf-format) 
In English

[2019-09-05] Gymnasienämnden i Skellefteå kommun har överklagat Integritetsskyddsmyndighetens beslut om sanktionsavgift.

[2020-08-14] Förvaltningsrätten i Stockholm avslår gymnasienämndens överklagande.

Beslut 2019-07-03, Tillsyn enligt EU:s dataskyddsförordning 2019/679
– kamerabevakning

Integritetsskyddsmyndigheten konstaterar att tillsynsobjektet bedriver kamerabevakning vid sin gård i strid med EU:s dataskyddsförordning genom att kamerabevaka utan rättslig grund.

Integritetsskyddsmyndigheten förbjuder tillsynsobjektet att fortsätta med den kamerabevakning hen nu bedriver vid sin gård.

Läs Integritetsskyddsmyndighetens beslut (pdf-format)

Beslut 2019-06-28, Uppsala kommun 

Integritetsskyddsmyndigheten riktar skarp kritik mot Äldrenämnden och Omsorgsnämnden i Uppsala kommun, och har funnit flera brister i kommunens journalsystem.

Bristerna rör en för vid behörighetstilldelning, att patientens samtycke inte inhämtas innan personal hos äldrenämnden tar del av andra vårdgivares personuppgifter under jourtid, att det saknas tekniska funktioner för spärrar i journalsystemet mellan nämnderna och att personal inom äldrenämnden journalför i andra vårdgivares journaler under jourtid. 

Läs beslut mot Omsorgsnämnden i Uppsala kommun (pdf-format)

Läs beslut mot Äldrenämnden i Uppsala kommun (pdf-format)

Beslut 2019-02-25, grannbevakning

En husägare får inte rikta sin bevakningskamera så att den övervakar andra grannars tomter, konstaterar Integritetsskyddsmyndigheten som nu har avslutat en granskning av privatpersoners kamerabevakning. 

Integritetsskyddsmyndigheten har tagit emot klagomål från grannar som anser att de är olagligt kamerabevakade av andra grannar. Integritetsskyddsmyndigheten publicerar nu resultatet från ett knappt tiotal ärenden som rör grannbevakning. I vissa fall var kamerabevakningen laglig eftersom kameran enbart filmat den egna tomten. I andra fall har dock kameran filmat även grannars tomter eller allmän plats och därmed bedömts som olaglig.

Läs Integritetsskyddsmyndighetens beslut grannbevakning 1 (pdf-format)

Läs Integritetsskyddsmyndighetens beslut grannbevakning 2 (pdf-format)

Läs Integritetsskyddsmyndighetens beslut grannbevakning 3 (pdf-format)

Läs Integritetsskyddsmyndighetens beslut grannbevakning 4 (pdf-format)

Läs Integritetsskyddsmyndighetens beslut grannbevakning 5 (pdf-format)

Läs Integritetsskyddsmyndighetens beslut grannbevakning 6 (pdf-format)

Läs Integritetsskyddsmyndighetens beslut grannbevakning 7 (pdf-format)

2018

Beslut 2018-10-22, sammanställning, dataskyddsombud i offentlig- och privat sektor 

Brister gällande att utse dataskyddsombud och meddela ombudets kontaktuppgifter till Integritetsskyddsmyndigheten.

Integritetsskyddsmyndigheten har undersökt om drygt 400 företag och myndigheter har utsett ett dataskyddsombud och meddelat kontaktuppgifter till Integritetsskyddsmyndigheten, vilket de har en skyldighet att göra. Granskningen visar att majoriteten av de granskade organisatorerna har anmält och utsett ett dataskyddsombud i tid. 

Läs sammanställningen av granskningen i pdf-format

Beslut 2018-05-24, dnr 2495-2017, Region Uppsala

Region Uppsala har gjort fel som lämnat ut patientuppgifter genom direktåtkomst till apoteksstuderande.

Integritetsskyddsmyndigheten har granskat Region Uppsala efter att ha tagit emot ett klagomål från en patient som upptäckt att en apoteksstuderande varit inloggad i dennes patientjournal. Granskningen visar att apoteksstuderande mycket riktigt har haft elektronisk direktåtkomst till patientjournaler i projekt som genomförts inom studier på apotekarprogrammet vid Uppsala Universitet.

Läs beslutet

Beslut 2018-05-23, dnr 2248-2017, Region Skåne

Integritetsskyddsmyndigheten riktar återigen skarp kritik mot Region Skåne och har funnit flera brister i regionens huvudjournalsystem.

Efter att ha tagit emot ett klagomål har Integritetsskyddsmyndigheten granskat integritetsskyddet i Region Skånes huvudjournalsystem. Integritetsskyddsmyndigheten har funnit flera brister. Bland annat har personalen för vid behörighet vilket leder till att en majoritet av regionens vårdpersonal kan ta del av alla uppgifter om alla patienter, förutom de som valt att spärra sina uppgifter. Det går heller inte att utföra verkningsfulla loggkontroller för att kontrollera om personal eller andra obehörigen tar del av patientuppgifter.

Läs beslutet

2017

Beslut 2017-05-02, dnr 1013-2015, Google Inc.

Integritetsskyddsmyndigheten har kontrollerat hur Google hanterar "rätten att bli glömd", det vill säga möjligheten att få sökresultat borttagna.

I maj 2014 slog EU-domstolen fast att en person kan begära att sökmotorer som exempelvis Google tar bort resultat för sökfrågor som innehåller personens namn i fall resultaten är oriktiga, irrelevanta, inte längre relevanta eller överflödiga. Den här möjligheten kallas ibland "rätten att bli glömd". Sedan domen har tusentals personer vänt sig till Google och begärt att Google ska ta bort resultatet av sökningar på deras namn. Ett antal av de som inte fått sökresultat borttagna har lämnat in klagomål till Integritetsskyddsmyndigheten. Av dessa har myndigheten valt ut ett drygt dussin och granskat dem närmare. Klagomålen har valts ut för att det i samtliga fall handlar om nya frågeställningar och gränsdragningsproblem.

 Läs beslutet

 

 

För övriga beslut, kontakta vår registrator imy@imy.se