IMY utfärdar sanktionsavgift mot Region Uppsala

IMY meddelade den 27 januari 2022 att myndigheten utfärdar administrativa sanktionsavgifter mot Region Uppsala på sammanlagt 1,9 miljoner kronor avseende två personuppgiftsincidenter. Regionen har, vid den ena incidenten, skickat känsliga personuppgifter och personnummer via automatiserade e-postmeddelanden till samtliga Region Uppsalas e-postdomäner. E-postmeddelanden har också skickats manuellt till läkare och forskare inom regionen. Den andra incidenten rör hur Akademiska sjukhuset i Uppsala skickat e-postmeddelanden innehållande patientuppgifter till mottagare i tredjeland samt sjukhusets lagring av patientuppgifter, där journalhandlingarna utöver lagringen i huvudjournalsystemet även lagrats i Outlook.

Uppgifter om hälsa utgör känsliga personuppgifter vilka enligt dataskyddsförordningen («GDPR») är förbjudna att behandla, såvida behandlingen inte omfattas av ett angivet undantag i GDPR. Omfattas behandlingen av ett undantag uppställer GDPR krav på att lämpliga tekniska och organisatoriska åtgärder ska vidtas vid behandlingen.

IMY konstaterar att regionen inte har vidtagit lämpliga säkerhetsåtgärder då även informationen i e-postmeddelandena ska skyddas med lämplig säkerhetsåtgärd och inte endast överföringen. Vidare anger IMY att ett e-postsystem såsom Outlook generellt sett utgör en olämplig lagringsplats för känsliga personuppgifter, då personuppgifterna riskerar att exponeras på internet vilket kan resultera i obehörig åtkomst. I denna del granskade IMY enbart säkerheten för behandlade personuppgifter och inte lagligheten i själva tredjelandsöverföringen. Vidare pekar IMY på att Region Uppsala, i båda fallen, behandlat personuppgifter i strid med regionens egna riktlinjer, vilket indikerar brister i de organisatoriska åtgärderna.

Sammantaget visar granskningarna att Region Uppsala inte har vidtagit tillräckliga säkerhetsåtgärder för att skydda känsliga personuppgifter i de e-postmeddelanden som skickats och inte heller vidtagit tillräckliga säkerhetsåtgärder vid lagring av personuppgifter i sjukhusets e-postserver. Behandlingarna har således skett i strid med GDPR.

Grönt ljus att kamerabevaka offentliga platser?

I maj 2017 beviljade Länsstyrelsen i Uppsala kamerabevakning av en bubbelpool i realtid dygnet runt i syfte att upptäcka, begränsa samt förhindra olyckor.

IMY överklagade Länsstyrelsens beslut. Efter att både förvaltningsrätten och kammarrätten avslagit överklagandet tog Högsta förvaltningsdomstolen («HFD») upp målet och prövade frågan om förutsättningarna för att bevilja kamerabevakning var uppfyllda.

För kamerabevakning av en plats som allmänheten har tillträde till krävs enligt kamerabevakningslagen tillstånd i vissa fall. Vid tillståndsprövningen sker en intresseavvägning mellan intresset av bevakning å ena sidan och den enskildes intresse av att inte bli bevakad å andra sidan. Tillstånd ska beviljas om bevakningsintresset väger tyngre än den enskildes intresse av att inte bli bevakad. I förarbetena anges att kamerabevakning ska kunna användas i samtliga skeden av ett olycksförlopp. I syfte att förhindra olyckor väger således bevakningsintresset tungt, därmed kan tillstånd för kamerabevakning ges även vid större integritetsintrång.

HFD anger i domen att det inte är en förutsättning att en olycka faktiskt har inträffat just på den plats som ska bevakas för att en förhöjd risk för olyckor ska anses föreligga. Det är tillräckligt att olyckor har inträffat i närheten av platsen för att olycksrisken ska anses som reell. HFD vägde också in i bedömningen att bubbelpoolen var avsides belägen och skyddad från insyn. Det förelåg en förhöjd risk för olyckor vid bubbelpoolen samt fanns ett starkt behov av kamerabevakning för att förebygga olyckor.

Vad gäller den enskildes intresse av att inte bli bevakad konstaterade HFD att integritetsintresset försvagas då de personer som blir föremål för kamerabevakning är desamma som kamerabevakningen syftar till att skydda. Bevakningen ska vidare endast ske i realtid, utan bildinspelning eller ljudupptagning. Sammantaget bedömde HFD integritetsintrånget som förhållandevis litet. Bevakningsintresset vägde tyngre och badhusets kamerabevakning i realtid är i enlighet med kamerabevakningslagen och tillstånd skulle därmed beviljas.

Förvaltningsrätten sätter ned sanktionsavgift mot SL

IMY utfärdade den 21 juni 2021 en administrativ sanktionsavgift mot SL avseende användningen av kroppsburna kameror i samband med biljettkontroll. Syftet med kamerabevakningen var att förebygga och dokumentera hot och våld samt att säkerställa identiteten på resenärer som ålades betala tilläggsavgift. SL överklagade beslutet till förvaltningsrätten («FR»).

Den 18 februari 2022 slog FR fast att SL behandlat personuppgifter i strid med GDPR.

SL:s användning av kroppsburna kameror för att förebygga och dokumentera hot och våld var visserligen förenlig med GDPR. FR konstaterar däremot att SL inte har haft rätt att använda tekniken för att säkerställa identiteten på resenärer som ska betala tilläggsavgift. Dessutom har SL inte lämnat tillräcklig information, i rätt tid, till de som träffats av kamerabevakningen. IMY bestämde den administrativa sanktionsavgiften till 16 miljoner kronor. FR bestämde sanktionsavgiften till 12 miljoner kronor.