IMY utfärdar reprimand för kamerabevakning på gymanläggningar

IMY bedömer efter granskning av ett gymföretag att företaget sedan februari 2019 har behandlat personuppgifter i strid med artikel 6.1 i GDPR genom att utan rättslig grund bedriva kamerabevakning av träningsytor och dörrar på ett antal av företagets träningsanläggningar. Företaget anser att övervakningen skett av säkerhetsskäl och att deras medlemmar har samtyckt till övervakningen genom att skriva under medlemsavtalet. IMY anser dock att övervakningen inte uppfyller det nödvändighetskriterium som krävs för att personuppgiftsbehandlingen ska vara laglig med stöd av artikel 6.1 f i GDPR, och att bevakningen inte heller kan stödja sig någon annan rättslig grund i artikel 6.1 i GDPR.

IMY bedömer vidare att gymföretaget inte har uppfyllt kravet på att informera de registrerade avseende kamerabevakningen enligt artikel 13 i GDPR. IMY utfärdar därför en reprimand avseende företagets överträdelser av både artikel 6.1 och 13 i GDPR.

IMY utfärdar reprimand för betungande verifieringsmetod gentemot rättighetsutövare

IMY bedömer att ett e-handelsföretag har behandlat personuppgifter i strid med artiklarna 5.1 c, 12.2 och 12.6 i GDPR genom att begära in ytterligare information av registrerade som begärt att få sina personuppgifter raderade. Företaget har bland annat krävt att de registrerade skulle tillhandahålla uppgifter om födelsedatum, folkbokföringsadress, betalningskortets fyra sista siffror och diverse andra referensnummer. IMY fastslår i sitt beslut att företagets begäran har inneburit en allt för betungande verifieringsmetod och att den inte har varit nödvändig för att bekräfta de registrerades identitet. Behandlingen har vidare inneburit att de registrerade inte har kunnat utöva sin rätt till radering enligt artikel 17 i GDPR.

Eftersom företaget redan innan tillsynsärendet hade vidtagit åtgärder och ändrat sina rutiner i syfte att efterleva kraven i GDPR anser IMY att det räcker med att utfärda en reprimand mot företaget med anledning av överträdelserna.

IMY påför sanktionsavgift mot region med anledning av bristfällig personuppgiftshantering

IMY inledde i november 2020 tillsyn mot en region efter att regionen inkommit med en anmälan om en personuppgiftsincident. Incidenten rörde en medarbetare som tappat bort ett okrypterat USB-minne innehållandes personnummer och känsliga personuppgifter om närmare 2 000 personer. USB-minnet hade av misstag glömts kvar i medarbetarens arbetskläder och sedan förvunnit när kläderna skickats till ett tvätteri.

IMY bedömer att regionen inte vidtagit tillräckliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå i förhållande till behandlingens risk. Vidare anser IMY att incidenten inneburit en hög risk för de registrerades fri- och rättigheter då innehållet på USB-minnet möjliggjort kopplingar mellan hälsouppgifter och ett stort antal patienter.

I sitt beslut understryker IMY att det är en försvårande omständighet att USB-minnet inte har lokaliserats och att det således är oklart vilken spridning personuppgifterna har fått. Myndighetens samlade bedömning är därför att regionen ska betala en administrativ sanktionsavgift på 200 000 kronor för överträdelsen.