Sanktionsavgift mot bolag som skickat kunduppgifter fel

IMY har tagit emot ett klagomål som gör gällande att fondrådgivaren Indecap skickat ut ett mejl till ett stort antal av sina kunder som innehållit en fil med uppgifter om andra kunders ekonomi. Myndigheten är nu klar med en granskning av det som inträffat.

Granskningen visar att bolaget råkat bifoga ett Excel-dokument med underlag till en rapport som innehöll kunders personuppgifter i stället för det pdf-dokument över fonders utveckling som skulle skickas till kunderna.

Den felaktigt bifogade filen som mejlades till bolagets kunder innehöll bland annat uppgifter om kunders namn, personnummer, bank, mailadress, enskilt fondval samt det senast inlästa värdet av kundens innehav i dessa fonder. Filen innehöll dock inga uppgifter om exempelvis kontonummer eller inloggningsuppgifter. Totalt innehöll filen uppgifter om över 52 000 kunder.

När missen upptäcktes stoppades utskicket. Granskningen visar att upp till drygt 2 800 kunder kan ha fått mejlet med den felaktigt bifogade filen.

– Bolaget uppger att felet orsakades av den mänskliga faktorn. I vår rapport över de personuppgiftsincidenter som rapporterades in till oss förra året framgår att 6 av 10 incidenter orsakas av just mänskliga faktorn. Det belyser vikten av att ha tekniska och organisatoriska säkerhetsåtgärder på plats just för att minimera risken för fel orsakade av den mänskliga faktorn, säger Evelin Palmér, jurist på IMY.

I sitt beslut konstaterar IMY att bolaget har behandlat personuppgifter i strid med dataskyddsförordningen genom att inte ha säkerställt en lämplig säkerhetsnivå i förhållande till riskerna med behandlingen. De konstaterade bristerna gör att IMY utfärdar en administrativ sanktionsavgift på 500 000 kronor mot bolaget.