Översikt tillsynsbeslut 2024
IMY har granskat hur personuppgifter behandlas i den nationella väntetidsdatabasen som används för att ta fram väntetidsstatistik i vården och följa upp den statliga vårdgarantin. En stor del av uppgifterna som registreras är hälsouppgifter, vilket är känsliga personuppgifter enligt dataskyddsförordningen, GDPR.
IMY bedömde att SKR är personuppgiftsansvarig för behandlingen bland annat eftersom SKR har sådan kontroll över behandlingen att organisationen bestämmer ändamål och medel för behandlingen. IMY bedömde även att den rättsliga grunden för behandlingen inte var tillräckligt precis, tydlig och förutsägbar för att kunna ligga till grund för behandlingen samt att det saknats tillräckliga skyddsåtgärder för behandling av känsliga personuppgifter.
SKR ges en reprimand och förbjuds att behandla personuppgifter vid förandet av väntetidsdatabasen. Eftersom databasen fyller en viktig samhällelig funktion börjar förbudet att gälla två år efter att beslutet vunnit laga kraft. Tiden är satt för att författningsstöd ska kunna tas fram alternativt att SKR ska kunna vidta åtgärder så att personuppgifter inte längre behandlas i databasen.
Datum för beslut: 2024-12-18
Korrigerande åtgärder: reprimand och förbud att behandla personuppgifter vid förandet av väntetidsdatabasen. Förbudet börjar gälla 24 månader efter att beslutet vunnit laga kraft.
Lagrum: Artiklarna 6 och 9 i dataskyddsförordningen, GDPR.
Nyckelord: Känsliga personuppgifter, uppgifter om hälsa, rättslig grund
Överklagan: Ja
Vunnit laga kraft: Nej
Läs tillsynsbeslutet
IMY har bedrivit tillsyn mot Apoteket AB och Apohem AB som använt den så Meta-pixeln på sina webbplatser. Genom att aktivera en ny delfunktion i Meta-pixeln förde bolagen över integritetskänsliga personuppgifter till Meta. Överföringen omfattade kunders kontaktuppgifter och uppgifter om produkter som kunderna köpt i form av bland annat receptfria läkemedel för behandling av specifika hälsobesvär, självtester och behandling av könssjukdomar och sexleksaker. Uppgifter om köp av receptbelagda mediciner fördes inte över.
IMY:s granskning visade att bolagen inte vidtagit tillräckliga skyddsåtgärder för att skydda kundernas personuppgifter. Bristerna bestod av att bolagen inte vidtagit några tekniska åtgärder för att begränsa vilka uppgifter som fördes över till Meta. Bolagen hade inte heller de rutiner som krävdes för att själva upptäcka bristerna. Överföringen av personuppgifterna pågick därför under en längre tid och stoppades först efter att bolagen fått kännedom om händelsen av utomstående.
Datum för besluten: 2024-08-29
Korrigerande åtgärd: Sanktionsavgifter om 37 miljoner för Apoteket AB och
8 miljoner för Apohem AB
Lagrum: Artikel 32 i dataskyddsförordningen, GDPR
Nyckelord: Tekniska och organisatoriska säkerhetsåtgärder
Överklagan: Nej (Apoteket), Ja (Apohem)
Vunnit laga kraft: Ja (Apoteket), Nej (Apohem)
IMY har granskat fem organisationer för att se om det föreligger intressekonflikt genom att dataskyddsombuden har andra uppdrag i verksamheten, exempelvis som informationssäkerhetschef eller Risk Manager. IMY har även kontrollerat ytterligare en verksamhet för att se om ombudet har den roll och de resurser som krävs.
I ett av fallen bedömer IMY att det föreligger en intressekonflikt genom att dataskyddsombudet har uppdrag att som regionjurist ge råd i dataskyddsfrågor till verksamheten. Dataskyddsombudet tvingas därmed granska det dataskyddsarbete som utförts som rådgivare, vilket gör att ombudets oberoende kan ifrågasättas. I de övriga fallen bedömer IMY att det i det enskilda fallet inte råder någon intressekonflikt.
I granskningen av ombudets roll och resurser konstateras att verksamheten bland annat inte säkerställt att dataskyddsombudet i god tid deltar i alla frågor som rör skyddet av personuppgifter eller att ombudet rapporterar direkt till den högsta förvaltningsnivå.
Datum för beslut: 24-06-27
Korrigerande åtgärder: Region Västerbotten får en reprimand och ett föreläggande. Socialnämnden i Örebro får en reprimand. Ingen korrigerande åtgärd till övriga verksamheter.
Lagrum: Artikel 38.1–3 och 38.6 i dataskyddsförordningen
Nyckelord: Dataskyddsombud – ställning
Överklagan: Nej
Vunnit laga kraft: Ja
Läs tillsynsbesluten
IMY har bedrivit tillsyn mot Avanza Bank AB som använt den så kallade Meta-pixeln på sin webbplats. Genom att aktivera en ny delfunktion i Meta-pixeln förde banken över integritetskänsliga personuppgifter till Meta. De personuppgifter som överförts har bland annat innefattat personnummer och omfattande ekonomisk information. Informationen, däribland detaljerade uppgifter om kunders ekonomi, har i flera fall överförts i klartext.
IMY:s granskning visade att banken inte vidtagit tillräckliga skyddsåtgärder för att skydda kundernas personuppgifter. Bristerna bestod av att banken inte vidtagit några tekniska åtgärder för att begränsa vilka uppgifter som fördes över till Meta. Banken hade inte heller de rutiner som krävdes för att själva upptäcka bristerna. Överföringen av personuppgifterna pågick därför under en längre tid och stoppades först efter att banken fått kännedom om händelsen av utomstående.
Datum för beslutet: 2024-06-24
Korrigerande åtgärd: Sanktionsavgifter om 15 miljoner
Lagrum: Artikel 32 i dataskyddsförordningen, GDPR
Nyckelord: Tekniska och organisatoriska säkerhetsåtgärder
Överklagan: Nej
Vunnit laga kraft: Ja
Läs tillsynsbeslutet
En kund hos Klarna Bank AB har gjort en begäran om rättelse av sin e-postadress kopplad till sitt Klarna-kort. Bolaget har inte tillmötesgått begäran utan istället hänvisat kunden till att beställa ett nytt kort. Motiveringen har varit att det inte är tekniskt möjligt att rätta e-postadressen. IMY har prövat hur bolagets hantering förhåller sig till kundens rätt till rättelse och skyldigheten för bolaget att underlätta utövandet av kundens rätt till rättelse.
Som kund har man rätt att få felaktiga personuppgifter rättade. Bolaget har haft en skyldighet och ett ansvar att rätta kundens e-postadress. Genom att hänvisa kunden till att beställa ett nytt kort har bolaget frångått denna skyldighet.
Klarna Bank AB har en skyldighet att proaktivt utforma lösningar som gör det lättare för registrerade att utöva sina rättigheter. Bolaget kan inte frångå denna skyldighet genom utformningen av sina system. Bolaget har, genom sin motivering att det inte är tekniskt möjligt att rätta e-postadressen, inte underlättat för klaganden att utöva sin rätt till rättelse.
Datum för beslut: 2024-01-09
Korrigerande åtgärd: reprimand
Lagrum: artikel 16, 12.2, 5.1 d och 25 dataskyddsförordningen, GDPR
Nyckelord: Kunder, Bank och finans, rättelse, underlätta utövandet
Överklagan: Nej
Vunnit laga kraft: Ja
Läs tillsynsbeslutet