Här kan du läsa om rättsliga avgöranden där domstolar och myndigheter, främst Integritetsskyddsmyndigheten, förtydligat vad som är rätt och fel. Fallen är från perioden 2020-2025 och är sorterade enligt nyaste först.
Samtal till 1177 exponerade på internet
Titel: MedHelp och behandling av personuppgifter
Datum: 12 februari 2024
Beslutsfattare: Förvaltningsrätten i Stockholm
Sammanfattning:
MedHelp bröt mot GDPR genom att låta känsliga personuppgifter från samtal till 1177 Vårdguiden att exponeras på internet utan tillräckligt skydd. De hade även brister i rutiner för säkerhetskopiering och informerade inte vårdsökande tillräckligt om behandlingen av deras personuppgifter. Kammarrätten fastställde en sanktionsavgift på 11,3 miljoner kronor. MedHelp överförde även personuppgifter till ett thailändskt bolag utan rättsligt stöd. Domen tydliggjorde att vårdgivares ansvar för dataskydd och säkerhet inte kan avtalas bort till underleverantörer.
Hur borde organisationen agerat i stället?
MedHelp borde ha säkerställt tillräckligt skydd för känsliga uppgifter, korrekt informerat vårdsökande och haft säkra säkerhetskopieringssystem på plats.
Krävdes en avvägning mellan olika principer eller regler?
Ingen tydlig intresseavvägning framgår, men balans mellan affärsmässiga val och dataskyddslagar var central. MedHelp hade ett ansvar att följa GDPR.
Klargörs vad som är tillåtet?
Ja, domen tydliggör att vårdgivare inte får lagra känsliga uppgifter utan skydd eller brista i informationsskyldigheten till de registrerade.
Berörda principer och regler
- Artikel 5.1(a) GDPR (Laglighet, korrekthet och öppenhet): MedHelp misslyckades med att ge vårdsökande tillräcklig information om hur deras personuppgifter behandlades, vilket strider mot principen om öppenhet.
- Artikel 5.1(f) GDPR (Integritet och konfidentialitet): Personuppgifter exponerades utan adekvat säkerhet, vilket bryter mot kravet att uppgifter ska behandlas på ett säkert sätt.
- Artikel 32 GDPR (Säkerhet vid behandling): MedHelp underlät att vidta tekniska och organisatoriska åtgärder för att skydda känsliga uppgifter mot obehörig åtkomst.
- Artikel 13 GDPR (Information till registrerade): Brister i att informera registrerade om behandlingen av deras personuppgifter, vilket är ett krav för transparens och rättvisa i behandlingen.
- Socialstyrelsens föreskrifter (Säkerhetskopiering): MedHelp säkerställde inte att personuppgifter regelbundet säkerhetskopierades enligt svenska krav.
Andra referenser
EU-domstolens dom i mål C-131/12 Google Spain
Okrypterat USB-minne med patientuppgifter
Titel: Beslut efter tillsyn enligt dataskyddsförordningen – Regionstyrelsen i Region Skåne
Datum: 26 april 2023
Beslutsfattare: Integritetsskyddsmyndigheten (IMY)
Sammanfattning: IMY påförde Region Skåne en sanktionsavgift på 200 000 kronor för att ha förlorat ett okrypterat USB-minne med känsliga personuppgifter om 1 934 patienter. Regionen ansågs inte ha vidtagit tillräckliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32.1 i GDPR.
Hur borde organisationen agerat i stället?
Region Skåne borde ha säkerställt att känsliga personuppgifter lagrades på krypterade medier och implementerat striktare rutiner för hantering av flyttbara lagringsenheter. Detta skulle ha minskat risken för obehörig åtkomst och förlust av data.
Krävdes en avvägning mellan olika principer eller regler?
IMY ansåg att skyddet av patienters personliga integritet vägde tyngre än praktiska överväganden för användning av okrypterade USB-minnen. Det fanns inga motstående regler som kunde väga upp behovet av starkare säkerhetsåtgärder.
Klargörs vad som är tillåtet?
Avgörandet klargör att användning av flyttbara lagringsenheter, som USB-minnen, är tillåtet endast om de är krypterade och säkrade enligt GDPRkrav. Okrypterade enheter med känsliga personuppgifter är inte tillåtna under gällande regelverk.
Berörda principer och regler:
- Artikel 32.1 i GDPR: Kravet på säkerhetsåtgärder, där Region Skåne inte säkerställde en lämplig säkerhetsnivå för känsliga personuppgifter, vilket innebar en risk för obehörig åtkomst och förlust.
- Artikel 5.1 f i GDPR: Principen om integritet och konfidentialitet, där Region Skåne inte tillräckligt skyddade patientuppgifter mot obehörig åtkomst.
Andra referenser:
- Artikel 4.7 i GDPR: Definition av personuppgiftsansvarig, där Region Skåne ansvarade för att säkerställa korrekt hantering av personuppgifter.
- Patientsäkerhetslagen (2010:659) 6 kap. 12 § och Offentlighets- och sekretesslagen (2009:400) 25 kap. 1 §: Sekretessbestämmelser som understryker behovet av att skydda hälsouppgifter.
Kamerabevakning utan att informera
Titel: Beslut efter tillsyn enligt dataskyddsförordningen – Apotea AB kamerabevakning
Datum: 13 mars 2023
Beslutsfattare: Integritetsskyddsmyndigheten (IMY)
Sammanfattning: IMY gav Apotea AB en reprimand för att ha brustit i sin informationsplikt enligt GDPR i samband med kamerabevakning vid sitt logistikcenter. Apotea misslyckades med att ge tydlig information till registrerade om bevakningen och deras rättigheter, vilket strider mot artikel 13 i GDPR.
Hur borde organisationen agerat i stället?
Apotea borde ha inkluderat fullständiga kontaktuppgifter på sina kamerabevakningsskyltar samt tydligt angett var ytterligare information kunde erhållas. Dessutom borde Apotea ha säkerställt att deras personuppgiftspolicy för anställda inkluderade alla rättigheter som föreskrivs i GDPR utan onödiga begränsningar.
Krävdes en avvägning mellan olika principer eller regler?
Ingen specifik intresseavvägning mellan konkurrerande regler krävdes. IMY:s beslut fokuserade på att Apotea inte uppfyllde informationsskyldigheten enligt GDPR.
Klargörs vad som är tillåtet?
Det är tillåtet för företag som Apotea att bedriva kamerabevakning för olika syften som att förebygga brott eller tillhandahålla IT-support, men detta måste ske i enlighet med GDPR:s krav på transparens och information till de registrerade.
Berörda principer och regler:
- Artikel 13 i GDPR: Informationsskyldigheten, där Apotea bröt mot denna regel genom att inte tillhandahålla tillräcklig information till registrerade om kamerabevakningen och deras rättigheter.
- Artikel 6.1 f i GDPR: Laglig grund för behandling, där Apotea använde intresseavvägning som rättslig grund för bevakningen, men brast i att balansera denna med informationsskyldigheten.
Andra referenser:
- Kamerabevakningslagen (2018:1200): Reglerar när kamerabevakning är tillåten och krav på tillstånd, som i detta fall inte var nödvändigt för Apotea.
Känsliga uppgifter synliga i fönsterkuvert
Titel: Beslut efter tillsyn enligt dataskyddsförordningen – Hälso- och sjukvårdsnämnden i Region Dalarna
Datum: 17 januari 2023
Beslutsfattare: Integritetsskyddsmyndigheten (IMY)
Sammanfattning:
IMY påförde Hälso- och sjukvårdsnämnden i Region Dalarna en sanktionsavgift på 200 000 kronor för bristande säkerhetsåtgärder vid utskick av kallelser till vårdbesök. Personuppgifter, inklusive känsliga uppgifter om hälsa, var fullt synliga genom fönsterkuvert, vilket stred mot GDPR:s krav på säker behandling av personuppgifter.
Hur borde organisationen agerat i stället?
Region Dalarna borde ha säkerställt att utskick med känsliga personuppgifter skyddades bättre, exempelvis genom att använda kuvert utan fönster eller kuvert där endast adressinformationen var synlig. Detta skulle ha minimerat risken för obehörig åtkomst till personuppgifterna.
Krävdes en avvägning mellan olika principer eller regler?
IMY ansåg att skyddet av patienternas integritet och konfidentialitet vägde tyngre än praktiska överväganden för användning av fönsterkuvert. Det fanns ingen annan regel som vägde upp behovet av att skydda känsliga personuppgifter.
Klargörs vad som är tillåtet?
Avgörandet klargör att det är tillåtet att skicka kallelser via post, men att detta måste ske på ett sätt som skyddar känsliga personuppgifter från att bli synliga för obehöriga, vilket i praktiken innebär att fönsterkuvert måste användas med stor försiktighet eller undvikas.
Berörda principer och regler:
- Artikel 32.1 i GDPR: Kravet på säkerhetsåtgärder, där Region Dalarna inte säkerställde en lämplig säkerhetsnivå vid hanteringen av känsliga personuppgifter, vilket exponerade dessa uppgifter för obehöriga.
- Artikel 5.1 f i GDPR: Principen om integritet och konfidentialitet, där Region Dalarna misslyckades med att skydda personuppgifter från obehörig åtkomst.
Andra referenser:
- Offentlighets- och sekretesslagen (2009:400) 25 kap. 1 §: Sekretessbestämmelser för uppgifter om hälsa, vilket understryker behovet av att skydda känsliga personuppgifter.
- Dataskyddslagen (2018:218): Kompletterande bestämmelser till GDPR, som ger IMY befogenhet att påföra sanktionsavgifter för överträdelser.
Behörighetsbegränsning i journalsystem
Titel: Kammarrättens dom om sanktionsavgift mot Capio S:t Görans Sjukhus AB
Datum: 16 maj 2022
Beslutsfattare: Kammarrätten i Stockholm
Sammanfattning:
Kammarrätten upphävde IMY:s beslut om att påföra Capio S:t Görans Sjukhus AB en sanktionsavgift på 30 miljoner kronor för bristande behovs- och riskanalys samt otillräcklig behörighetsbegränsning i journalsystemen. Rätten ansåg att IMY inte bevisat att sjukhuset brustit i sina skyldigheter enligt GDPR.
Hur borde organisationen agerat i stället?
IMY hävdade att sjukhuset borde ha genomfört och dokumenterat en behovs- och riskanalys innan behörigheter tilldelades i journalsystemen. Sjukhuset borde också ha begränsat behörigheter i större utsträckning för att säkerställa en hög säkerhetsnivå. Kammarrätten ansåg dock att de åtgärder som sjukhuset vidtagit var tillräckliga och uppfyllde kraven.
Krävdes en avvägning mellan olika principer eller regler?
Rätten gjorde en avvägning mellan behovet av en god och säker vård och skyddet för patienternas personuppgifter. Rätten ansåg att sjukhusets åtgärder var tillräckliga för att balansera dessa intressen.
Klargörs vad som är tillåtet?
Kammarrätten klargjorde att det är tillåtet för vårdgivare att ge bred behörighet till personal inom ramen för en god och säker vård, så länge tillräckliga tekniska och organisatoriska säkerhetsåtgärder vidtas.
Berörda principer och regler:
- Artikel 32 i GDPR: Kravet på säkerhetsåtgärder, där sjukhuset anklagades för att inte ha säkerställt en lämplig säkerhetsnivå, men rätten fann att tillräckliga säkerhetsåtgärder hade vidtagits.
- Artikel 5 i GDPR: Principen om integritet och konfidentialitet, där rätten bedömde att sjukhuset hade följt principen om integritet och konfidentialitet genom sina tekniska och organisatoriska åtgärder.
Andra referenser:
- Patientdatalagen (2008:355): Regler om hantering av personuppgifter inom hälso- och sjukvård.
- Socialstyrelsens föreskrifter (HSLF-FS 2016:40): Specifika krav på behörighetsstyrning och riskbedömning vid hantering av patientuppgifter.
Mejl med personuppgifter i okrypterade filer
Titel: Beslut efter tillsyn enligt dataskyddsförordningen – Regionstyrelsen i Region Uppsala
Datum: 26 januari 2022
Beslutsfattare: Integritetsskyddsmyndigheten (IMY)
Sammanfattning:
IMY påförde Region Uppsala en sanktionsavgift på 300 000 kronor för att ha skickat okrypterade Excelfiler med känsliga personuppgifter via e-post inom regionen, i strid med GDPR. Regionen misslyckades med att implementera tillräckliga säkerhetsåtgärder och följde inte sina egna riktlinjer.
Hur borde organisationen agerat i stället?
Region Uppsala borde ha krypterat själva innehållet i Excelfilerna som skickades via e-post, inte bara transporten av e-posten, för att förhindra obehörig åtkomst till känsliga personuppgifter. Dessutom borde de ha följt sina egna riktlinjer om hantering av känsliga uppgifter via e-post.
Krävdes en avvägning mellan olika principer eller regler?
Ingen specifik avvägning mellan konkurrerande regler framkom i detta beslut. Skyddet av patienternas integritet och säkerhet vägde tyngst, och regionen borde ha implementerat lämpliga tekniska åtgärder för att säkerställa detta.
Klargörs vad som är tillåtet?
Det är tillåtet att skicka känsliga personuppgifter via e-post inom en organisation, men endast om själva innehållet i filerna är krypterat och skyddat från obehörig åtkomst. Enbart kryptering av transporten av e-posten är inte tillräckligt enligt GDPR.
Berörda principer och regler:
- Artikel 32.1 i GDPR: Kravet på säkerhetsåtgärder, där Region Uppsala inte säkerställde en tillräcklig säkerhetsnivå vid hanteringen av känsliga personuppgifter, vilket innebar att uppgifterna var utsatta för risker som kunde ha förhindrats
- Artikel 5.1 f i GDPR: Principen om integritet och konfidentialitet, som kräver att personuppgifter skyddas från obehörig åtkomst, vilket Region Uppsala misslyckades med att säkerställa.
Andra referenser:
- Artikel 4.7 i GDPR: Definition av personuppgiftsansvarig, som i detta fall var Region Uppsala, ansvarig för behandlingen av personuppgifter.
- Dataskyddslagen (2018:218) 6 kap. 2 §: Bestämmelser om sanktionsavgifter för offentliga myndigheter vid överträdelser av GDPR.
- Offentlighets- och sekretesslagen (2009:400): Sekretessregler relaterade till hantering av känsliga personuppgifter inom offentlig verksamhet.
Patientjournaler på Darknet
Titel: Administrativ sanktionsavgift mot psykoterapicentrum Vastaamo för dataskyddsöverträdelser
Datum: 5 januari 2022
Beslutsfattare: Ställföreträdande Dataskyddsombudsmannen och sanktionsnämnden vid Dataskyddsombudsmannens kansli, Finland
Sammanfattning:
Vastaamo försummade sitt ansvar för att skydda patientdata och rapportera ett dataintrång i tid, vilket ledde till ett GDPR-brott och ett bötesbelopp på 608 000 EUR. Attacken resulterade i att cirka 40 000 patientjournaler hamnade på Darknet och enskilda patienter utpressades att betala stora summor till hackarna. Vastaamo gick sedermera i konkurs.
Hur borde organisationen agerat i stället?
Organisationen borde ha implementerat grundläggande säkerhetsåtgärder för att skydda patientdata och omedelbart rapporterat dataintrånget till både tillsynsmyndigheten och berörda individer.
Krävdes en avvägning mellan olika principer eller regler?
En avvägning gjordes mellan integritetsprincipen och ansvarsprincipen. Skyddet för personuppgifter (Art. 5 GDPR) ställdes mot behovet av snabb rapportering vid dataintrång (Art. 33 och 34 GDPR).
Klargörs vad som är tillåtet?
Ja, beslutet klargör att organisationer är skyldiga att säkerställa ett adekvat dataskydd och omedelbart rapportera dataintrång till både myndigheter och drabbade individer.
Berörda principer och regler
- Artikel 5.1 f i GDPR: Principen om integritet och konfidentialitet, där Vastaamo misslyckades med att skydda patientdata.
- Artikel 24 och 5.2 i GDPR: Ansvarsprincipen, där Vastaamo inte kunde visa att de följt säkerhetskraven.
Andra referenser
Beslutet hänvisar till GDPR, särskilt artiklarna 33, 34, 5(1)(f), 24 och 25, samt tidigare rättsfall rörande personuppgiftsbrott inom hälsovårdssektorn.
Insamling av personuppgifter utan att informera
Titel: Beslut efter tillsyn enligt dataskyddsförordningen mot Regionstyrelsen i Region Sörmland
Datum: 7 juni 2021
Beslutsfattare: Integritetsskyddsmyndigheten (IMY)
Sammanfattning: IMY påförde Regionstyrelsen i Region Sörmland en sanktionsavgift på 250 000 kronor för att inte ha informerat vårdsökande om insamling av telefonnummer och kommun-ID vid samtal till 1177. Regionen bröt mot GDPR:s krav på öppenhet och information till registrerade.
Hur borde organisationen agerat i stället? Regionen borde ha säkerställt att vårdsökande blev tydligt informerade om insamlingen av deras personuppgifter, inklusive telefonnummer och kommun-ID, vid samtal till 1177. Informationen borde ha varit lätt tillgänglig och begriplig, i enlighet med GDPR:s krav.
Krävdes en avvägning mellan olika principer eller regler? Ingen specifik avvägning mellan konkurrerande regler behövde göras. IMY betonade att kraven på öppenhet och information till registrerade enligt GDPR var överordnade.
Klargörs vad som är tillåtet? Det är tillåtet att samla in personuppgifter som telefonnummer och kommun-ID vid samtal till 1177, men det måste ske med tydlig och korrekt information till de registrerade om insamlingens syfte och deras rättigheter.
Berörda principer och regler:
- Artikel 5.1 a i GDPR: Regionen bröt mot principen om laglighet, korrekthet och öppenhet genom att inte ge vårdsökande tillräcklig information om behandlingen av deras personuppgifter.
- Artikel 13 i GDPR: Regionen underlät att tillhandahålla den information som krävs enligt GDPR när personuppgifter samlas in, vilket begränsade vårdsökandes rätt att förstå och kontrollera hur deras uppgifter behandlades.
Andra referenser:
- Hälso- och sjukvårdslagen (2017:30): Reglerar vårdgivares och huvudmäns ansvar inom hälso- och sjukvård.
- Dataskyddslagen (2018:218): Kompletterande bestämmelser till GDPR, som ger IMY befogenhet att påföra sanktionsavgifter för överträdelser
Kamerabevakning på boende utan rättslig grund
Titel: Beslut efter tillsyn enligt dataskyddsförordningen – Kamerabevakning på ett LSS-boende i Gnosjö kommun
Datum: 24 november 2020
Beslutsfattare: Integritetsskyddsmyndigheten (IMY)
Sammanfattning:
IMY påförde Gnosjö kommun en sanktionsavgift på 200 000 kronor för att ha kamerabevakat en boende på ett LSS-boende utan laglig grund. Bevakningen bröt mot flera GDPR-artiklar och kamerabevakningslagen eftersom den utfördes utan rättslig grund och utan att tillhandahålla tillräcklig information.
Hur borde organisationen agerat i stället?
Gnosjö kommun borde ha genomfört en konsekvensbedömning innan kamerabevakningen påbörjades och sökt alternativa, mindre ingripande metoder för att övervaka den boende. De borde också ha säkerställt att den boende informerades på ett korrekt och fullständigt sätt om bevakningen.
Krävdes en avvägning mellan olika principer eller regler?
En avvägning mellan skyddet av den boendes integritet och behovet av säkerhet gjordes, men IMY ansåg att integritetsskyddet vägde tyngre eftersom mindre ingripande alternativ inte hade utretts.
Klargörs vad som är tillåtet?
IMY:s beslut klargör att kamerabevakning av enskilda på ett LSS-boende är tillåten endast om det finns en stark rättslig grund och att alla GDPR-krav på informationsplikt och konsekvensbedömning är uppfyllda.
Berörda principer och regler:
- Artikel 5.1 a i GDPR: Principen om laglighet, korrekthet och öppenhet, där Gnosjö kommun bröt mot denna genom att kamerabevaka utan rättslig grund.
- Artikel 6.1 i GDPR: Laglig grund för behandling, där Gnosjö kommun behandlade personuppgifter utan att det fanns en giltig rättslig grund.
- Artikel 9.2 i GDPR: Behandling av känsliga personuppgifter, där Gnosjö kommun behandlade sådana uppgifter utan stöd av något av de undantag som tillåter detta.
- Artikel 35 och 36 i GDPR: Kravet på konsekvensbedömning och förhandssamråd, där Gnosjö kommun bröt mot reglerna genom att inte genomföra dessa innan kamerabevakningen inleddes.
Andra referenser:
- Kamerabevakningslagen (2018:1200): Reglerar krav på information och tillstånd vid kamerabevakning. Kommunen bröt mot 15 § i lagen genom att inte lämna tillräcklig information om bevakningen.
Webbpublicering av känsliga personuppgifter
Titel: Beslut efter tillsyn enligt dataskyddsförordningen mot Hälso- och sjukvårdsnämnden i Region Örebro län
Datum: 2020-05-11
Beslutsfattare: Integritetsskyddsmyndigheten (IMY)
Sammanfattning:
IMY påförde Region Örebro län en sanktionsavgift på 120 000 kronor för att ha publicerat känsliga personuppgifter, inklusive personnummer, på sin webbplats utan laglig grund och utan att vidta tillräckliga organisatoriska åtgärder för att förhindra detta. Publiceringen stred mot flera artiklar i GDPR och dataskyddslagen.
Hur borde organisationen agerat i stället?
Region Örebro län borde ha infört skriftliga rutiner och instruktioner för webbpubliceringar som säkerställer att känsliga personuppgifter inte publiceras utan laglig grund. Dessutom borde de ha utbildat sin personal i GDPR och säkerställt att endast nödvändiga uppgifter publiceras.
Krävdes en avvägning mellan olika principer eller regler?
Ingen specifik intresseavvägning mellan konkurrerande regler behövdes. IMY betonade att skyddet av känsliga personuppgifter och principen om ändamålsbegränsning var överordnade.
Klargörs vad som är tillåtet?
Det är tillåtet att publicera personuppgifter på en offentlig webbplats för att ge allmänheten insyn i den kommunala verksamheten, men detta måste ske i enlighet med GDPR:s krav på laglig grund och skydd av känsliga uppgifter.
Berörda principer och regler:
- Artikel 5 i GDPR: Principen om ändamålsbegränsning och uppgiftsminimering, där regionen bröt mot denna genom att publicera fler personuppgifter än nödvändigt.
- Artikel 6 i GDPR: Laglig grund för behandling, där regionen saknade rättslig grund för att publicera personuppgifterna.
- Artikel 9 i GDPR: Behandling av känsliga personuppgifter, där regionen behandlade sådana uppgifter utan stöd i något undantag, vilket är förbjudet enligt GDPR.
- Artikel 32 i GDPR: Kravet på säkerhetsåtgärder, där regionen brast i att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från obehörig publicering.
- Dataskyddslagen (2018:218) 3 kap. 10 §: Bestämmelser om behandling av personnummer, som regionen bröt mot genom att publicera personnummer utan nödvändig grund.
Andra referenser:
- Artikel 58 i GDPR: Tillsynsmyndigheternas befogenheter, där detta fall illustrerar hur en tillsynsmyndighet kan vidta åtgärder som förelägganden och sanktionsavgifter vid bristande efterlevnad
Otillräcklig anonymisering av kunduppgifter
Titel: Tilsyn med Taxa 4×35’s behandling af personoplysninger
Datum: 18 mars 2019
Beslutsfattare: Datatilsynet (Danmark)
Sammanfattning: Taxa 4×35 sparade personuppgifter från taxiresor i upp till fem år trots att företaget uppgav att uppgifter anonymiserades efter två år. I praktiken togs endast namn bort – telefonnummer och andra uppgifter som kunde identifiera kunden behölls. Företaget saknade både rättslig grund för lagringen och tekniska lösningar för korrekt radering. Datatilsynet ansåg att detta stred mot grundläggande dataskyddsprinciper och anmälde bolaget till polisen. Fallet tydliggjorde att tekniska eller ekonomiska svårigheter inte ursäktar bristande efterlevnad av GDPR.
Hur borde organisationen agerat i stället? Taxa 4×35 borde ha säkerställt verklig anonymisering eller radering av uppgifter enligt angiven tidsfrist. De borde ha anpassat sina IT-system så att personuppgifter inte kunde kopplas till enskilda personer efter två år och dokumenterat raderingsrutiner korrekt.
Krävdes en avvägning mellan olika principer eller regler? En intresseavvägning kan ha varit aktuell mellan affärsutveckling och dataskydd, men företaget kunde inte visa att en rättslig grund fanns för fortsatt lagring. Enligt Datatilsynet väger registrerades rätt till dataskydd tyngre än företags tekniska eller ekonomiska bekymmer.
Klargörs vad som är tillåtet? Ja, beslutet tydliggör att påstådd anonymisering inte är tillräcklig om identifiering fortfarande är möjlig – till exempel via telefonnummer. Det klargör också att företag inte får behålla personuppgifter längre än nödvändigt och att tekniska begränsningar inte befriar från ansvar enligt GDPR.
Berörda principer och regler;
- Artikel 5.1(c) GDPR (Dataminimering):
Företaget sparade mer data än nödvändigt. Det fanns inget behov av att behålla identifierbara uppgifter i fem år för den verksamhet som bedrevs. - Artikel 5.1(e) GDPR (Lagringsminimering):
Taxa 4×35 uppgav att de anonymiserade uppgifter efter två år, men eftersom telefonnummer behölls kunde kunden fortfarande identifieras. Det är inte förenligt med principen om att uppgifter bara får lagras så länge det är nödvändigt. - Artikel 6 GDPR (Laglig grund för behandling):
Bolaget kunde inte visa vilken rättslig grund de stödde sig på för fortsatt behandling av personuppgifter. All behandling måste ha en giltig grund enligt GDPR. - Artikel 5.2 GDPR (Ansvarsskyldighet):
Företaget hade inte tillräcklig dokumentation eller interna kontroller för att visa efterlevnad av raderingsrutiner och skyddsåtgärder. - Artikel 25 GDPR (Inbyggt dataskydd):
Bristen på tekniska lösningar för korrekt radering visar att företaget inte hade dataskydd inbyggt i sina IT-system, vilket krävs enligt GDPR.