Tillbaka till huvudmeny

Sanktionsavgifter för bristande dataskydd under 2020

Under 2020 granskade Integritetsskyddsmyndigheten (f.d. Datainspektionen) både företag och myndigheter utifrån dataskyddslagstiftningen. Vilka sanktioner delades ut och vad betyder det?

Svenska sedlar

Under 2020 granskade Integritetsskyddsmyndigheten (f.d. Datainspektionen) både företag och myndigheter utifrån dataskyddslagstiftningen. Med året som gått bakom oss tittar vi tillbaka på de beslut som formade svensk praxis inom dataskydd.

Besluten kommer både från ärenden i myndighetens tillsynsplan och händelsestyrda ärenden, till exempel en personuppgiftsincident.
Några av fallen kan fortfarande överklagas och har därför inte vunnit laga kraft ännu. Vi ser fram emot att kunna analysera hur besluten om sanktioner kan påverka praxis och efterlevnaden av dataskydd under det kommande året.

Felaktig hantering av en personuppgiftsincident

Sanktionsavgift 200 000 kr
Beslutsdatum 2020-04-28

Tillsyn enligt dataskyddsförordningen efter att Statens servicecenter dröjt med att rapportera en personuppgiftsincident. Myndigheten dröjde tre månader med att rapportera till tillsynsmyndigheten och fem månader med att informera andra berörda personuppgiftsansvariga som också blev påverkade av incidenten.

Fel att publicera känsliga personuppgifter på regionens webbplats

Sanktionsavgift 120 000 kronor
Beslutsdatum 2020-05-11

Tillsyn enligt dataskyddsförordningen efter en anmälan om en personuppgiftsincident. Tillsynsmyndigheten konstaterade att en hälso- och sjukvårdsnämnd gjort fel när de publicerat känsliga personuppgifter om en patient öppet på webben. Webbpubliceringen borde ha föregåtts av en bedömning av om den var tillåten. Det saknades skriftliga rutiner för webbpublicering.

Olaglig kamerabevakning i flerbostadshus

Sanktionsavgift 300 000 kronor
Beslutsdatum 2020-12-14

Tillsyn enligt dataskyddsförordningen hos ett bostadsbolag som kamerabevakat hyresgäster i deras hemmiljö i ett flerbostadshus. Integritetsskyddsmyndigheten (IMY) konstaterar i sitt beslut att intresset av att bevaka i det aktuella fallet inte vägde tyngre än de registrerades intressen samt grundläggande friheter och rättigheter på platsen.

Otillräckligt skydd för känsliga personuppgifter vid ett universitet

Sanktionsavgift 550 000 kronor
Beslutsdatum 2020-12-10

Tillsyn enligt dataskyddsförordningen. En forskargrupp vid ett universitet visade sig hantera känsliga personuppgifter utan att skydda uppgifterna tillräckligt. Uppgifter skickades via e-post över öppet nät och laddades upp i en amerikansk molntjänst i strid med universitetets riktlinjer.

Bristande behörighetsstyrning och otillräcklig riskanalys hos flera vårdgivare

Sanktionsavgift Upp till 30 miljoner kronor. Sanktionsavgifter i sju av åtta fall.
Beslutsdatum 2020-12-02

Tillsyn enligt dataskyddsförordningen och patientdatalagen. Fokus på behovs- och riskanalys och frågor om åtkomst i journalsystem. Granskning av åtta olika vårdgivare, såväl myndigheter som privata.

Integritetskränkande kamerabevakning på LSS-boende

Sanktionsavgift 200 000 kronor
Beslutsdatum 2020-11-24

Tillsyn gällande kamerabevakning på ett LSS-boende som innebar en oproportionerlig integritetskränkning.

Läs mer: Sanktionsavgift för olaglig kamerabevakning på LSS-boende

Allvarliga brister i en kommuns skolplattform

Sanktionsavgift 4 miljoner kronor
Beslutsdatum 2020-11-23

Tillsyn enligt dataskyddsförordningen mot en utbildningsnämnd. Skolplattformen som används bland annat för omfattande elevadministration visade sig ha stora säkerhetsbrister.

Besluten om sanktionsavgifter ger efterlängtad vägledning

Sanktionsavgifterna kan förstås te sig skrämmande, men besluten ger också efterlängtad vägledning i olika frågor. De sanktioner som vi valt att presentera är inte samtliga ärenden från IMY under 2020.

Det finns också ett antal pågående ärenden där IMY har inlett tillsyn men ännu inte fattat något beslut. Det betyder att fler beslut – och sannolikt fler sanktionsavgifter – är att vänta.

Mest populära