Sanktionsavgift för överträdelse dataskyddsförordningen

Det var i september 2021 som det upptäcktes att personuppgifter oavsiktligt hade överförts till ett företag som haft ett analysverktyg som DO använt för att skapa ökad förståelse kring besökares användning av DO:s webbplats. Vid tidpunkten hade DO nyligen infört en möjlighet att göra en DO-anmälan via ett formulär på webbplatsen, och det var i samband med användningen av det formuläret som analysverktyget i vissa fall kunde inhämta och lagra personuppgifter.

I sitt beslut konstaterar IMY att DO vid tillfället hade vidtagit flera lämpliga tekniska och organisatoriska åtgärder för att upprätthålla säkerheten. Till exempel skedde överföringen av uppgifter från webbformuläret till personuppgiftsbiträdet genom krypterad överföring vilket innebar att det inte rörde sig om ett okontrollerat röjande där uppgifterna exempelvis var åtkomliga via internet. IMY konstaterar också att överföringen skedde till en aktör som genom avtal var ett så kallat personuppgiftsbiträde i förhållande till DO.

Det har inte heller framkommit att personuppgiftsbiträdet eller någon annan faktiskt tagit del av personuppgifterna som överförts. IMY konstaterar att DO efter incidenten vidtog relevanta åtgärder genom att upphöra med insamlingen av personuppgifter via webbformuläret och genom att kontakta personuppgiftsbiträdet för att utreda incidenten. DO säkerställde även att biträdet upphörde med behandlingen av personuppgifterna.

Samtidigt konstaterar IMY att det har varit fråga om en oavsiktlig överföring av personuppgifter vilket är att betrakta som ett obehörigt röjande. Att det har varit fråga om ett personuppgiftsbiträde förändrar inte det eftersom det inte har varit DO:s avsikt att föra över uppgifterna.

IMY har i en samlad bedömning kommit fram till att det är en överträdelse av låg allvarlighetsgrad och beslutat att DO ska betala en sanktionsavgift på 100 000 kronor.