Här kan du läsa om rättsliga avgöranden där domstolar och myndigheter, främst Integritetsskyddsmyndigheten, förtydligat vad som är rätt och fel. Fallen är från perioden 2020-2025 och är sorterade enligt nyaste först.
Meta-pixel i vårdtjänst läckte användardata
Titel: Beslut efter tillsyn enligt dataskyddsförordningen – Kry International AB
Datum: 19 december 2024
Beslutsfattare: Integritetsskyddsmyndigheten (IMY), Sverige
Sammanfattning:
Kry International AB tillhandahöll en business-to-business-tjänst för vårdsektorn, där användare kunde arrangera digitala videomöten med patienter och vårdgivare via krypterad anslutning. Genom detta system skickades automatiserade inbjudningar till möten via e-post och SMS. Under perioden maj 2020 till maj 2022 användes Meta-pixeln på de webbsidor som kopplades till tjänsten, där funktionen för ”avancerad matchning” (AAM) av misstag var aktiverad. Det ledde till att hashade kontaktuppgifter till slutanvändare, däribland patienter, oavsiktligt överfördes till Meta Platforms.
IMY konstaterade att detta innebar en behandling av känsliga personuppgifter – i detta fall hälsodata – som inte uppfyllde kraven på säkerhet enligt artikel 32 i dataskyddsförordningen (GDPR). Eftersom tjänstens syfte och kontext tydligt pekade mot att det rörde sig om vårdrelaterade uppgifter, betraktades de överförda personuppgifterna som särskilt skyddsvärda. IMY utdelade därför en reprimand mot Kry.
Hur borde organisationen agerat i stället?
Kry borde ha gjort en detaljerad analys av konsekvenserna för integriteten innan implementationen av Meta-pixeln, särskilt med tanke på att användarna hanterade och bjöd in patienter. Det borde ha stått klart att även hashade kontaktuppgifter i denna kontext kunde klassas som känsliga personuppgifter om hälsa. Kry borde också ha inaktiverat icke-nödvändiga funktioner i spårningsverktyg och säkerställt att endast tekniskt nödvändiga cookies och verktyg användes.
Krävdes en avvägning mellan olika principer eller regler?
Ja. En tydlig konflikt förelåg mellan syftet att förbättra tjänstens prestanda och marknadsföring, och skyldigheten att skydda integriteten hos patienter och vårdgivare. IMY ansåg att patientintegriteten enligt artikel 9 och 32 i GDPR vägde tyngre.
Klargörs vad som är tillåtet?
Ja. Beslutet gör klart att företag som tillhandahåller digitala tjänster för hälso- och sjukvård omfattas av ett förstärkt ansvar för att skydda personuppgifter, även vid användning av tredjepartsverktyg. Även om överförda data är hashade kan de i sitt sammanhang betraktas som hälsouppgifter.
Berörda principer och regler
- Artikel 9 i GDPR: Behandling av känsliga personuppgifter, särskilt uppgifter om hälsa, kräver särskilt skydd.
- Artikel 32 i GDPR: Krav på lämpliga tekniska och organisatoriska säkerhetsåtgärder.
- Artikel 24 och 5.2 i GDPR: Ansvarsprincipen, som innebär att Kry måste kunna visa att de efterlever regelverket.
Andra referenser
IMY:s beslut refererar till tidigare tillsynsbeslut kring användning av tredjepartsverktyg i hälsosektorn och pekar på att även ”hashade” uppgifter kan vara känsliga beroende på kontexten. Tjänstens karaktär som kommunikationsplattform för vårdpersonal ansågs starkt bidra till detta.
Konkurrent väckte talan om apoteks behandling av känsliga uppgifter
Titel: EU-domstolen: Konkurrent får invända mot dataskyddsbrott vid hantering av uppgifter om inköp av läkemedel
Datum: 4 oktober 2024
Beslutsfattare: EU-domstolen (mål C-21/23), Luxemburg
Sammanfattning:
Målet rörde det tyska apoteket Lindenapotheke, som drev en webbtjänst där kunder kunde köpa icke receptbelagda läkemedel. Vid köpet behandlades uppgifter som potentiellt kunde utgöra hälsodata enligt GDPR. Ett konkurrerande apotek väckte talan i tysk domstol, med hänvisning till att Lindenapothekes behandling av sådana uppgifter stred mot dataskyddsregler. Frågan gällde om en konkurrent, snarare än en direkt drabbad individ, har rätt att inleda rättsprocess baserat på dataskyddsöverträdelser.
EU-domstolen slog fast att uppgifter om köp av vissa läkemedel kan utgöra känsliga personuppgifter enligt artikel 9 i GDPR, då de indirekt kan avslöja uppgifter om hälsa. Domstolen klargjorde även att medlemsstater får ge enskilda — även konkurrenter — möjlighet att väcka talan vid överträdelser av dataskyddslagstiftningen, i syfte att säkerställa en hög skyddsnivå för personuppgifter.
Hur borde organisationen agerat i stället?
Lindenapotheke borde ha genomfört en noggrann konsekvensbedömning av integritetsriskerna vid försäljning av läkemedel online. De borde ha säkerställt att endast nödvändiga uppgifter behandlas, att informationen hanteras med förstärkt skydd vid hälsodata, och att samtycke eller annan rättslig grund fanns när så krävdes.
Krävdes en avvägning mellan olika principer eller regler?
Ja. Fallet illustrerar konflikten mellan näringsfrihet och konkurrensrätt å ena sidan, och skyddet av den personliga integriteten enligt GDPR å andra sidan. Domstolen betonade att skyddet av känsliga personuppgifter har företräde, men att nationell lag får ge tredje part rätt att påtala brister.
Klargörs vad som är tillåtet?
Ja. Domen klargör att uppgifter om inköp av även receptfria läkemedel kan utgöra hälsouppgifter enligt GDPR. Den fastslår också att medlemsländer inom EU har möjlighet att tillåta rättsmedel via konkurrenter vid brott mot dataskyddsreglerna — vilket breddar tillämpningen av dataskyddet även i affärsjuridiska sammanhang.
Berörda principer och regler
- Artikel 9 i GDPR: Förbud mot behandling av känsliga personuppgifter utan särskilda undantag; inköp av vissa läkemedel kan indirekt avslöja hälsotillstånd.
- Artikel 77–79 i GDPR: Rätt till effektiva rättsmedel för registrerade, men medlemsländer får gå längre.
- Artikel 8 i EU:s stadga om de grundläggande rättigheterna: Skydd av personuppgifter.
- Nationell konkurrensrätt: Möjlighet att väcka talan om rättsstridigt agerande i konkurrensförhållanden.
Andra referenser
Domen hänvisar till tidigare rättspraxis om tolkningen av hälsodata i e-handelskontext, särskilt där känslig information kan härledas indirekt. Den bygger vidare på generaladvokatens förslag till avgörande (EU:C:2024:354) från den 25 april 2024.
GDPR gäller före yttrandefrihetsgrundlagen för databastjänst med känsliga personuppgifter
Titel: Högsta Förvaltningsdomstolens dom i Mål nr 4588-23
Datum: 20 juni 2024
Beslutsfattare: Högsta förvaltningsdomstolen (HFD), Sverige
Sammanfattning:
Verifiera AB, ett bolag med utgivningsbevis, tillhandahöll en databas med domstolsavgöranden om psykiatrisk tvångsvård och vård av missbrukare. Enligt Integritetsskyddsmyndigheten (IMY) utgjorde detta ett otillåtet offentliggörande av känsliga personuppgifter, särskilt uppgifter om hälsa, i strid med dataskyddsförordningen (GDPR). IMY tilldelade bolaget en reprimand och förelade det att upphöra med behandlingen. Efter överklaganden till både förvaltningsrätten och kammarrätten, fastställde Högsta förvaltningsdomstolen att GDPR är tillämplig trots bolagets utgivningsbevis och att yttrandefrihetsgrundlagen (YFL) inte utgör ett undantag i detta fall.
Hur borde organisationen agerat i stället?
Verifiera AB borde ha gjort en noggrann juridisk prövning av GDPR:s tillämplighet innan publicering av känsliga personuppgifter. Särskilt borde bolaget ha beaktat 1 kap. 20 § YFL som klargör att EU-förordningar såsom GDPR kan begränsa yttrandefriheten när det gäller behandling av personuppgifter om hälsa.
Krävdes en avvägning mellan olika principer eller regler?
Ja, en avvägning gjordes mellan yttrandefrihetsprincipen i YFL och skyddet för den personliga integriteten enligt GDPR. HFD konstaterade att det sistnämnda väger tyngre vid behandling av känsliga personuppgifter i detta sammanhang.
Klargörs vad som är tillåtet?
Ja, domen klargör att GDPR gäller även för databastjänster med utgivningsbevis när känsliga personuppgifter behandlas. Yttrandefrihetsgrundlagen ger inte ett generellt undantag från tillämpningen av dataskyddsförordningen.
Berörda principer och regler
- Artikel 9 i GDPR: Förbud mot behandling av känsliga personuppgifter, inklusive hälsouppgifter.
- Artikel 6 och 5.1 a–f i GDPR: Laglig grund och grundläggande principer för behandling av personuppgifter.
- 1 kap. 20 § YFL: Möjlighet till begränsning av yttrandefriheten genom lag, där även EU-förordningar som GDPR omfattas.
- Dataskyddsförordningens företräde framför nationell rätt: Fastställd av HFD.
Andra referenser
Domen hänvisar till förarbeten till YFL (2019) samt praxis kring tolkning av begreppet ”lag” i svensk och EU-rättslig kontext. Den stärker tillämpningen av GDPR även i yttrandefrihetsrelaterade sammanhang där känsliga personuppgifter exponeras för allmänheten.
Samtal till 1177 exponerade på internet
Titel: MedHelp och behandling av personuppgifter
Datum: 12 februari 2024
Beslutsfattare: Förvaltningsrätten i Stockholm
Sammanfattning:
MedHelp bröt mot GDPR genom att låta känsliga personuppgifter från samtal till 1177 Vårdguiden att exponeras på internet utan tillräckligt skydd. De hade även brister i rutiner för säkerhetskopiering och informerade inte vårdsökande tillräckligt om behandlingen av deras personuppgifter. Kammarrätten fastställde en sanktionsavgift på 11,3 miljoner kronor. MedHelp överförde även personuppgifter till ett thailändskt bolag utan rättsligt stöd. Domen tydliggjorde att vårdgivares ansvar för dataskydd och säkerhet inte kan avtalas bort till underleverantörer.
Hur borde organisationen agerat i stället?
MedHelp borde ha säkerställt tillräckligt skydd för känsliga uppgifter, korrekt informerat vårdsökande och haft säkra säkerhetskopieringssystem på plats.
Krävdes en avvägning mellan olika principer eller regler?
Ingen tydlig intresseavvägning framgår, men balans mellan affärsmässiga val och dataskyddslagar var central. MedHelp hade ett ansvar att följa GDPR.
Klargörs vad som är tillåtet?
Ja, domen tydliggör att vårdgivare inte får lagra känsliga uppgifter utan skydd eller brista i informationsskyldigheten till de registrerade.
Berörda principer och regler
- Artikel 5.1(a) GDPR (Laglighet, korrekthet och öppenhet): MedHelp misslyckades med att ge vårdsökande tillräcklig information om hur deras personuppgifter behandlades, vilket strider mot principen om öppenhet.
- Artikel 5.1(f) GDPR (Integritet och konfidentialitet): Personuppgifter exponerades utan adekvat säkerhet, vilket bryter mot kravet att uppgifter ska behandlas på ett säkert sätt.
- Artikel 32 GDPR (Säkerhet vid behandling): MedHelp underlät att vidta tekniska och organisatoriska åtgärder för att skydda känsliga uppgifter mot obehörig åtkomst.
- Artikel 13 GDPR (Information till registrerade): Brister i att informera registrerade om behandlingen av deras personuppgifter, vilket är ett krav för transparens och rättvisa i behandlingen.
- Socialstyrelsens föreskrifter (Säkerhetskopiering): MedHelp säkerställde inte att personuppgifter regelbundet säkerhetskopierades enligt svenska krav.
Andra referenser
EU-domstolens dom i mål C-131/12 Google Spain
Okrypterat USB-minne med patientuppgifter
Titel: Beslut efter tillsyn enligt dataskyddsförordningen – Regionstyrelsen i Region Skåne
Datum: 26 april 2023
Beslutsfattare: Integritetsskyddsmyndigheten (IMY)
Sammanfattning: IMY påförde Region Skåne en sanktionsavgift på 200 000 kronor för att ha förlorat ett okrypterat USB-minne med känsliga personuppgifter om 1 934 patienter. Regionen ansågs inte ha vidtagit tillräckliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32.1 i GDPR.
Hur borde organisationen agerat i stället?
Region Skåne borde ha säkerställt att känsliga personuppgifter lagrades på krypterade medier och implementerat striktare rutiner för hantering av flyttbara lagringsenheter. Detta skulle ha minskat risken för obehörig åtkomst och förlust av data.
Krävdes en avvägning mellan olika principer eller regler?
IMY ansåg att skyddet av patienters personliga integritet vägde tyngre än praktiska överväganden för användning av okrypterade USB-minnen. Det fanns inga motstående regler som kunde väga upp behovet av starkare säkerhetsåtgärder.
Klargörs vad som är tillåtet?
Avgörandet klargör att användning av flyttbara lagringsenheter, som USB-minnen, är tillåtet endast om de är krypterade och säkrade enligt GDPRkrav. Okrypterade enheter med känsliga personuppgifter är inte tillåtna under gällande regelverk.
Berörda principer och regler:
- Artikel 32.1 i GDPR: Kravet på säkerhetsåtgärder, där Region Skåne inte säkerställde en lämplig säkerhetsnivå för känsliga personuppgifter, vilket innebar en risk för obehörig åtkomst och förlust.
- Artikel 5.1 f i GDPR: Principen om integritet och konfidentialitet, där Region Skåne inte tillräckligt skyddade patientuppgifter mot obehörig åtkomst.
Andra referenser:
- Artikel 4.7 i GDPR: Definition av personuppgiftsansvarig, där Region Skåne ansvarade för att säkerställa korrekt hantering av personuppgifter.
- Patientsäkerhetslagen (2010:659) 6 kap. 12 § och Offentlighets- och sekretesslagen (2009:400) 25 kap. 1 §: Sekretessbestämmelser som understryker behovet av att skydda hälsouppgifter.
Kamerabevakning utan att informera
Titel: Beslut efter tillsyn enligt dataskyddsförordningen – Apotea AB kamerabevakning
Datum: 13 mars 2023
Beslutsfattare: Integritetsskyddsmyndigheten (IMY)
Sammanfattning: IMY gav Apotea AB en reprimand för att ha brustit i sin informationsplikt enligt GDPR i samband med kamerabevakning vid sitt logistikcenter. Apotea misslyckades med att ge tydlig information till registrerade om bevakningen och deras rättigheter, vilket strider mot artikel 13 i GDPR.
Hur borde organisationen agerat i stället?
Apotea borde ha inkluderat fullständiga kontaktuppgifter på sina kamerabevakningsskyltar samt tydligt angett var ytterligare information kunde erhållas. Dessutom borde Apotea ha säkerställt att deras personuppgiftspolicy för anställda inkluderade alla rättigheter som föreskrivs i GDPR utan onödiga begränsningar.
Krävdes en avvägning mellan olika principer eller regler?
Ingen specifik intresseavvägning mellan konkurrerande regler krävdes. IMY:s beslut fokuserade på att Apotea inte uppfyllde informationsskyldigheten enligt GDPR.
Klargörs vad som är tillåtet?
Det är tillåtet för företag som Apotea att bedriva kamerabevakning för olika syften som att förebygga brott eller tillhandahålla IT-support, men detta måste ske i enlighet med GDPR:s krav på transparens och information till de registrerade.
Berörda principer och regler:
- Artikel 13 i GDPR: Informationsskyldigheten, där Apotea bröt mot denna regel genom att inte tillhandahålla tillräcklig information till registrerade om kamerabevakningen och deras rättigheter.
- Artikel 6.1 f i GDPR: Laglig grund för behandling, där Apotea använde intresseavvägning som rättslig grund för bevakningen, men brast i att balansera denna med informationsskyldigheten.
Andra referenser:
- Kamerabevakningslagen (2018:1200): Reglerar när kamerabevakning är tillåten och krav på tillstånd, som i detta fall inte var nödvändigt för Apotea.
Känsliga uppgifter synliga i fönsterkuvert
Titel: Beslut efter tillsyn enligt dataskyddsförordningen – Hälso- och sjukvårdsnämnden i Region Dalarna
Datum: 17 januari 2023
Beslutsfattare: Integritetsskyddsmyndigheten (IMY)
Sammanfattning:
IMY påförde Hälso- och sjukvårdsnämnden i Region Dalarna en sanktionsavgift på 200 000 kronor för bristande säkerhetsåtgärder vid utskick av kallelser till vårdbesök. Personuppgifter, inklusive känsliga uppgifter om hälsa, var fullt synliga genom fönsterkuvert, vilket stred mot GDPR:s krav på säker behandling av personuppgifter.
Hur borde organisationen agerat i stället?
Region Dalarna borde ha säkerställt att utskick med känsliga personuppgifter skyddades bättre, exempelvis genom att använda kuvert utan fönster eller kuvert där endast adressinformationen var synlig. Detta skulle ha minimerat risken för obehörig åtkomst till personuppgifterna.
Krävdes en avvägning mellan olika principer eller regler?
IMY ansåg att skyddet av patienternas integritet och konfidentialitet vägde tyngre än praktiska överväganden för användning av fönsterkuvert. Det fanns ingen annan regel som vägde upp behovet av att skydda känsliga personuppgifter.
Klargörs vad som är tillåtet?
Avgörandet klargör att det är tillåtet att skicka kallelser via post, men att detta måste ske på ett sätt som skyddar känsliga personuppgifter från att bli synliga för obehöriga, vilket i praktiken innebär att fönsterkuvert måste användas med stor försiktighet eller undvikas.
Berörda principer och regler:
- Artikel 32.1 i GDPR: Kravet på säkerhetsåtgärder, där Region Dalarna inte säkerställde en lämplig säkerhetsnivå vid hanteringen av känsliga personuppgifter, vilket exponerade dessa uppgifter för obehöriga.
- Artikel 5.1 f i GDPR: Principen om integritet och konfidentialitet, där Region Dalarna misslyckades med att skydda personuppgifter från obehörig åtkomst.
Andra referenser:
- Offentlighets- och sekretesslagen (2009:400) 25 kap. 1 §: Sekretessbestämmelser för uppgifter om hälsa, vilket understryker behovet av att skydda känsliga personuppgifter.
- Dataskyddslagen (2018:218): Kompletterande bestämmelser till GDPR, som ger IMY befogenhet att påföra sanktionsavgifter för överträdelser.
Behörighetsbegränsning i journalsystem
Titel: Kammarrättens dom om sanktionsavgift mot Capio S:t Görans Sjukhus AB
Datum: 16 maj 2022
Beslutsfattare: Kammarrätten i Stockholm
Sammanfattning:
Kammarrätten upphävde IMY:s beslut om att påföra Capio S:t Görans Sjukhus AB en sanktionsavgift på 30 miljoner kronor för bristande behovs- och riskanalys samt otillräcklig behörighetsbegränsning i journalsystemen. Rätten ansåg att IMY inte bevisat att sjukhuset brustit i sina skyldigheter enligt GDPR.
Hur borde organisationen agerat i stället?
IMY hävdade att sjukhuset borde ha genomfört och dokumenterat en behovs- och riskanalys innan behörigheter tilldelades i journalsystemen. Sjukhuset borde också ha begränsat behörigheter i större utsträckning för att säkerställa en hög säkerhetsnivå. Kammarrätten ansåg dock att de åtgärder som sjukhuset vidtagit var tillräckliga och uppfyllde kraven.
Krävdes en avvägning mellan olika principer eller regler?
Rätten gjorde en avvägning mellan behovet av en god och säker vård och skyddet för patienternas personuppgifter. Rätten ansåg att sjukhusets åtgärder var tillräckliga för att balansera dessa intressen.
Klargörs vad som är tillåtet?
Kammarrätten klargjorde att det är tillåtet för vårdgivare att ge bred behörighet till personal inom ramen för en god och säker vård, så länge tillräckliga tekniska och organisatoriska säkerhetsåtgärder vidtas.
Berörda principer och regler:
- Artikel 32 i GDPR: Kravet på säkerhetsåtgärder, där sjukhuset anklagades för att inte ha säkerställt en lämplig säkerhetsnivå, men rätten fann att tillräckliga säkerhetsåtgärder hade vidtagits.
- Artikel 5 i GDPR: Principen om integritet och konfidentialitet, där rätten bedömde att sjukhuset hade följt principen om integritet och konfidentialitet genom sina tekniska och organisatoriska åtgärder.
Andra referenser:
- Patientdatalagen (2008:355): Regler om hantering av personuppgifter inom hälso- och sjukvård.
- Socialstyrelsens föreskrifter (HSLF-FS 2016:40): Specifika krav på behörighetsstyrning och riskbedömning vid hantering av patientuppgifter.
Mejl med personuppgifter i okrypterade filer
Titel: Beslut efter tillsyn enligt dataskyddsförordningen – Regionstyrelsen i Region Uppsala
Datum: 26 januari 2022
Beslutsfattare: Integritetsskyddsmyndigheten (IMY)
Sammanfattning:
IMY påförde Region Uppsala en sanktionsavgift på 300 000 kronor för att ha skickat okrypterade Excelfiler med känsliga personuppgifter via e-post inom regionen, i strid med GDPR. Regionen misslyckades med att implementera tillräckliga säkerhetsåtgärder och följde inte sina egna riktlinjer.
Hur borde organisationen agerat i stället?
Region Uppsala borde ha krypterat själva innehållet i Excelfilerna som skickades via e-post, inte bara transporten av e-posten, för att förhindra obehörig åtkomst till känsliga personuppgifter. Dessutom borde de ha följt sina egna riktlinjer om hantering av känsliga uppgifter via e-post.
Krävdes en avvägning mellan olika principer eller regler?
Ingen specifik avvägning mellan konkurrerande regler framkom i detta beslut. Skyddet av patienternas integritet och säkerhet vägde tyngst, och regionen borde ha implementerat lämpliga tekniska åtgärder för att säkerställa detta.
Klargörs vad som är tillåtet?
Det är tillåtet att skicka känsliga personuppgifter via e-post inom en organisation, men endast om själva innehållet i filerna är krypterat och skyddat från obehörig åtkomst. Enbart kryptering av transporten av e-posten är inte tillräckligt enligt GDPR.
Berörda principer och regler:
- Artikel 32.1 i GDPR: Kravet på säkerhetsåtgärder, där Region Uppsala inte säkerställde en tillräcklig säkerhetsnivå vid hanteringen av känsliga personuppgifter, vilket innebar att uppgifterna var utsatta för risker som kunde ha förhindrats
- Artikel 5.1 f i GDPR: Principen om integritet och konfidentialitet, som kräver att personuppgifter skyddas från obehörig åtkomst, vilket Region Uppsala misslyckades med att säkerställa.
Andra referenser:
- Artikel 4.7 i GDPR: Definition av personuppgiftsansvarig, som i detta fall var Region Uppsala, ansvarig för behandlingen av personuppgifter.
- Dataskyddslagen (2018:218) 6 kap. 2 §: Bestämmelser om sanktionsavgifter för offentliga myndigheter vid överträdelser av GDPR.
- Offentlighets- och sekretesslagen (2009:400): Sekretessregler relaterade till hantering av känsliga personuppgifter inom offentlig verksamhet.
Patientjournaler på Darknet
Titel: Administrativ sanktionsavgift mot psykoterapicentrum Vastaamo för dataskyddsöverträdelser
Datum: 5 januari 2022
Beslutsfattare: Ställföreträdande Dataskyddsombudsmannen och sanktionsnämnden vid Dataskyddsombudsmannens kansli, Finland
Sammanfattning:
Vastaamo försummade sitt ansvar för att skydda patientdata och rapportera ett dataintrång i tid, vilket ledde till ett GDPR-brott och ett bötesbelopp på 608 000 EUR. Attacken resulterade i att cirka 40 000 patientjournaler hamnade på Darknet och enskilda patienter utpressades att betala stora summor till hackarna. Vastaamo gick sedermera i konkurs.
Hur borde organisationen agerat i stället?
Organisationen borde ha implementerat grundläggande säkerhetsåtgärder för att skydda patientdata och omedelbart rapporterat dataintrånget till både tillsynsmyndigheten och berörda individer.
Krävdes en avvägning mellan olika principer eller regler?
En avvägning gjordes mellan integritetsprincipen och ansvarsprincipen. Skyddet för personuppgifter (Art. 5 GDPR) ställdes mot behovet av snabb rapportering vid dataintrång (Art. 33 och 34 GDPR).
Klargörs vad som är tillåtet?
Ja, beslutet klargör att organisationer är skyldiga att säkerställa ett adekvat dataskydd och omedelbart rapportera dataintrång till både myndigheter och drabbade individer.
Berörda principer och regler
- Artikel 5.1 f i GDPR: Principen om integritet och konfidentialitet, där Vastaamo misslyckades med att skydda patientdata.
- Artikel 24 och 5.2 i GDPR: Ansvarsprincipen, där Vastaamo inte kunde visa att de följt säkerhetskraven.
Andra referenser
Beslutet hänvisar till GDPR, särskilt artiklarna 33, 34, 5(1)(f), 24 och 25, samt tidigare rättsfall rörande personuppgiftsbrott inom hälsovårdssektorn.
Insamling av personuppgifter utan att informera
Titel: Beslut efter tillsyn enligt dataskyddsförordningen mot Regionstyrelsen i Region Sörmland
Datum: 7 juni 2021
Beslutsfattare: Integritetsskyddsmyndigheten (IMY)
Sammanfattning: IMY påförde Regionstyrelsen i Region Sörmland en sanktionsavgift på 250 000 kronor för att inte ha informerat vårdsökande om insamling av telefonnummer och kommun-ID vid samtal till 1177. Regionen bröt mot GDPR:s krav på öppenhet och information till registrerade.
Hur borde organisationen agerat i stället? Regionen borde ha säkerställt att vårdsökande blev tydligt informerade om insamlingen av deras personuppgifter, inklusive telefonnummer och kommun-ID, vid samtal till 1177. Informationen borde ha varit lätt tillgänglig och begriplig, i enlighet med GDPR:s krav.
Krävdes en avvägning mellan olika principer eller regler? Ingen specifik avvägning mellan konkurrerande regler behövde göras. IMY betonade att kraven på öppenhet och information till registrerade enligt GDPR var överordnade.
Klargörs vad som är tillåtet? Det är tillåtet att samla in personuppgifter som telefonnummer och kommun-ID vid samtal till 1177, men det måste ske med tydlig och korrekt information till de registrerade om insamlingens syfte och deras rättigheter.
Berörda principer och regler:
- Artikel 5.1 a i GDPR: Regionen bröt mot principen om laglighet, korrekthet och öppenhet genom att inte ge vårdsökande tillräcklig information om behandlingen av deras personuppgifter.
- Artikel 13 i GDPR: Regionen underlät att tillhandahålla den information som krävs enligt GDPR när personuppgifter samlas in, vilket begränsade vårdsökandes rätt att förstå och kontrollera hur deras uppgifter behandlades.
Andra referenser:
- Hälso- och sjukvårdslagen (2017:30): Reglerar vårdgivares och huvudmäns ansvar inom hälso- och sjukvård.
- Dataskyddslagen (2018:218): Kompletterande bestämmelser till GDPR, som ger IMY befogenhet att påföra sanktionsavgifter för överträdelser
Kamerabevakning på boende utan rättslig grund
Titel: Beslut efter tillsyn enligt dataskyddsförordningen – Kamerabevakning på ett LSS-boende i Gnosjö kommun
Datum: 24 november 2020
Beslutsfattare: Integritetsskyddsmyndigheten (IMY)
Sammanfattning:
IMY påförde Gnosjö kommun en sanktionsavgift på 200 000 kronor för att ha kamerabevakat en boende på ett LSS-boende utan laglig grund. Bevakningen bröt mot flera GDPR-artiklar och kamerabevakningslagen eftersom den utfördes utan rättslig grund och utan att tillhandahålla tillräcklig information.
Hur borde organisationen agerat i stället?
Gnosjö kommun borde ha genomfört en konsekvensbedömning innan kamerabevakningen påbörjades och sökt alternativa, mindre ingripande metoder för att övervaka den boende. De borde också ha säkerställt att den boende informerades på ett korrekt och fullständigt sätt om bevakningen.
Krävdes en avvägning mellan olika principer eller regler?
En avvägning mellan skyddet av den boendes integritet och behovet av säkerhet gjordes, men IMY ansåg att integritetsskyddet vägde tyngre eftersom mindre ingripande alternativ inte hade utretts.
Klargörs vad som är tillåtet?
IMY:s beslut klargör att kamerabevakning av enskilda på ett LSS-boende är tillåten endast om det finns en stark rättslig grund och att alla GDPR-krav på informationsplikt och konsekvensbedömning är uppfyllda.
Berörda principer och regler:
- Artikel 5.1 a i GDPR: Principen om laglighet, korrekthet och öppenhet, där Gnosjö kommun bröt mot denna genom att kamerabevaka utan rättslig grund.
- Artikel 6.1 i GDPR: Laglig grund för behandling, där Gnosjö kommun behandlade personuppgifter utan att det fanns en giltig rättslig grund.
- Artikel 9.2 i GDPR: Behandling av känsliga personuppgifter, där Gnosjö kommun behandlade sådana uppgifter utan stöd av något av de undantag som tillåter detta.
- Artikel 35 och 36 i GDPR: Kravet på konsekvensbedömning och förhandssamråd, där Gnosjö kommun bröt mot reglerna genom att inte genomföra dessa innan kamerabevakningen inleddes.
Andra referenser:
- Kamerabevakningslagen (2018:1200): Reglerar krav på information och tillstånd vid kamerabevakning. Kommunen bröt mot 15 § i lagen genom att inte lämna tillräcklig information om bevakningen.
Webbpublicering av känsliga personuppgifter
Titel: Beslut efter tillsyn enligt dataskyddsförordningen mot Hälso- och sjukvårdsnämnden i Region Örebro län
Datum: 2020-05-11
Beslutsfattare: Integritetsskyddsmyndigheten (IMY)
Sammanfattning:
IMY påförde Region Örebro län en sanktionsavgift på 120 000 kronor för att ha publicerat känsliga personuppgifter, inklusive personnummer, på sin webbplats utan laglig grund och utan att vidta tillräckliga organisatoriska åtgärder för att förhindra detta. Publiceringen stred mot flera artiklar i GDPR och dataskyddslagen.
Hur borde organisationen agerat i stället?
Region Örebro län borde ha infört skriftliga rutiner och instruktioner för webbpubliceringar som säkerställer att känsliga personuppgifter inte publiceras utan laglig grund. Dessutom borde de ha utbildat sin personal i GDPR och säkerställt att endast nödvändiga uppgifter publiceras.
Krävdes en avvägning mellan olika principer eller regler?
Ingen specifik intresseavvägning mellan konkurrerande regler behövdes. IMY betonade att skyddet av känsliga personuppgifter och principen om ändamålsbegränsning var överordnade.
Klargörs vad som är tillåtet?
Det är tillåtet att publicera personuppgifter på en offentlig webbplats för att ge allmänheten insyn i den kommunala verksamheten, men detta måste ske i enlighet med GDPR:s krav på laglig grund och skydd av känsliga uppgifter.
Berörda principer och regler:
- Artikel 5 i GDPR: Principen om ändamålsbegränsning och uppgiftsminimering, där regionen bröt mot denna genom att publicera fler personuppgifter än nödvändigt.
- Artikel 6 i GDPR: Laglig grund för behandling, där regionen saknade rättslig grund för att publicera personuppgifterna.
- Artikel 9 i GDPR: Behandling av känsliga personuppgifter, där regionen behandlade sådana uppgifter utan stöd i något undantag, vilket är förbjudet enligt GDPR.
- Artikel 32 i GDPR: Kravet på säkerhetsåtgärder, där regionen brast i att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från obehörig publicering.
- Dataskyddslagen (2018:218) 3 kap. 10 §: Bestämmelser om behandling av personnummer, som regionen bröt mot genom att publicera personnummer utan nödvändig grund.
Andra referenser:
- Artikel 58 i GDPR: Tillsynsmyndigheternas befogenheter, där detta fall illustrerar hur en tillsynsmyndighet kan vidta åtgärder som förelägganden och sanktionsavgifter vid bristande efterlevnad
Otillräcklig anonymisering av kunduppgifter
Titel: Tilsyn med Taxa 4×35’s behandling af personoplysninger
Datum: 18 mars 2019
Beslutsfattare: Datatilsynet (Danmark)
Sammanfattning: Taxa 4×35 sparade personuppgifter från taxiresor i upp till fem år trots att företaget uppgav att uppgifter anonymiserades efter två år. I praktiken togs endast namn bort – telefonnummer och andra uppgifter som kunde identifiera kunden behölls. Företaget saknade både rättslig grund för lagringen och tekniska lösningar för korrekt radering. Datatilsynet ansåg att detta stred mot grundläggande dataskyddsprinciper och anmälde bolaget till polisen. Fallet tydliggjorde att tekniska eller ekonomiska svårigheter inte ursäktar bristande efterlevnad av GDPR.
Hur borde organisationen agerat i stället? Taxa 4×35 borde ha säkerställt verklig anonymisering eller radering av uppgifter enligt angiven tidsfrist. De borde ha anpassat sina IT-system så att personuppgifter inte kunde kopplas till enskilda personer efter två år och dokumenterat raderingsrutiner korrekt.
Krävdes en avvägning mellan olika principer eller regler? En intresseavvägning kan ha varit aktuell mellan affärsutveckling och dataskydd, men företaget kunde inte visa att en rättslig grund fanns för fortsatt lagring. Enligt Datatilsynet väger registrerades rätt till dataskydd tyngre än företags tekniska eller ekonomiska bekymmer.
Klargörs vad som är tillåtet? Ja, beslutet tydliggör att påstådd anonymisering inte är tillräcklig om identifiering fortfarande är möjlig – till exempel via telefonnummer. Det klargör också att företag inte får behålla personuppgifter längre än nödvändigt och att tekniska begränsningar inte befriar från ansvar enligt GDPR.
Berörda principer och regler;
- Artikel 5.1(c) GDPR (Dataminimering):
Företaget sparade mer data än nödvändigt. Det fanns inget behov av att behålla identifierbara uppgifter i fem år för den verksamhet som bedrevs. - Artikel 5.1(e) GDPR (Lagringsminimering):
Taxa 4×35 uppgav att de anonymiserade uppgifter efter två år, men eftersom telefonnummer behölls kunde kunden fortfarande identifieras. Det är inte förenligt med principen om att uppgifter bara får lagras så länge det är nödvändigt. - Artikel 6 GDPR (Laglig grund för behandling):
Bolaget kunde inte visa vilken rättslig grund de stödde sig på för fortsatt behandling av personuppgifter. All behandling måste ha en giltig grund enligt GDPR. - Artikel 5.2 GDPR (Ansvarsskyldighet):
Företaget hade inte tillräcklig dokumentation eller interna kontroller för att visa efterlevnad av raderingsrutiner och skyddsåtgärder. - Artikel 25 GDPR (Inbyggt dataskydd):
Bristen på tekniska lösningar för korrekt radering visar att företaget inte hade dataskydd inbyggt i sina IT-system, vilket krävs enligt GDPR.