Den 26 april 2023 utfärdade Integritetsskyddsmyndigheten en sanktionsavgift om 200 000 kronor till en region i Sverige för överträdelse av dataskyddsförordningen. Nedan följer en redogörelse för det aktuella beslutet samt översiktlig information om skyldigheter enligt dataskyddsförordningen.
Den 26 april 2023 ålade Integritetsskyddsmyndigheten en av Sveriges regioner att betala en sanktionsavgift om 200 000 kronor på grund av överträdelse av dataskyddsförordningen. Nedan följer en redogörelse för det aktuella beslutet och övergripande information om skyldigheter enligt dataskyddsförordningen.
Till följd av en inrapporterad personuppgiftsincident och klagomål från registrerade inledde Integritetsskyddsmyndigheten tillsyn mot en av Sveriges regioner. En medarbetare på regionen hade tappat bort ett icke krypterat USB-minne som innehöll personuppgifter om ungefär 2 000 personer.
Integritetsskyddsmyndigheten bedömde att regionen inte hade vidtagit tillräckliga åtgärder för att försäkra sig om en lämplig säkerhetsnivå i förhållande till risken med behandlingen.
Det faktum att säkerhetskraven enligt dataskyddsförordningen inte uppfyllts ansågs vara allvarligt eftersom den aktuella typen av personuppgifter som fanns på USB-minnet krävde ett starkt skydd. Uppgifterna skyddades av sekretess och kopplade ihop uppgifter om hälsa med ett stort antal patienter. Detta innebar enligt Integritetsskyddsmyndigheten en hög risk för de registrerades fri- och rättigheter.
USB-minnet hade vid tillsynen inte återfunnits och det var dessutom oklart vilken spridning personuppgifterna hade fått. Detta var enligt Integritetsskyddsmyndigheten att betrakta som en försvårande omständighet.
Integritetsskyddsmyndigheten beslutade att ålägga regionen en administrativ sanktionsavgift om 200 000 kronor.
Det ställs höga krav på personuppgiftshantering till följd av de krav som följer av dataskyddsförordningen och andra bestämmelser om dataskydd. Integritetsskyddsmyndigheten har genom beslutet den 26 april 2023 ytterligare betonat vikten av åtgärder för att uppnå en lämplig säkerhetsnivå i förhållande till risken med personuppgiftsbehandlingen.
Bestämmelserna om hantering av personuppgifter är, trots att flera år gått sedan Dataskyddförordningen med flera bestämmelser trädde i kraft, fortfarande svåra att hantera i praktiken, inte minst för arbetsgivaren som med avseende på bland annat anställda regelmässigt behandlar flera olika personuppgifter, inte minst känsliga personuppgifter.