Sanktionsavgift mot modehuset H&M och fondrådgivaren Indecap
Sanktionsavgift mot H&M
Den svenska Integritetsskyddsmyndigheten (”IMY”) meddelade den 17 oktober 2023 beslut i ett tillsynsärende mot Hennes & Mauritz GBC AB (”H&M”) avseende hantering av begäranden från enskilda som inte vill få direktmarknadsföring.
Beslutet omfattar klagomål från sex registrerade från olika medlemsstater. Samtliga hade fått vissa nyhetsbrev från H&M trots att de använt sig av den avprenumerationslänk som fanns i nyhetsbreven och kontaktat kundtjänst med en begäran om att få avprenumerera från framtida nyhetsbrev. IMY konstaterade att H&M brustit i sina interna processer för att hantera invändningar från enskilda och att H&M, efter sådan invändning, fortsatt behandlingen av de registrerades personuppgifter utan någon rättslig grund. IMY noterade vidare att eftersom den registrerade alltid har rätt att invända mot direktmarknadsföring så krävs det ingen individuell prövning, varför en sådan invändning ska hanteras skyndsamt.
Enligt beslutet hade H&M fått vetskap om bristerna från flera klagande under juni 2018 men åtgärdat bristerna i oktober 2019. IMY fann att det var alldeles för lång tid och påpekade att H&M, mot bakgrund av omständigheterna i de enskilda fallen, borde ha hanterat begäran inom två dagar.
Då H&M upprepande hade brustit i sin hantering av invändningar och uppgifterna hade behandlats utan rättslig grund under en lång period fann IMY det motiverat med en administrativ sanktionsavgift.
Vid bedömning av överträdelsernas allvarlighetsgrad konstaterade IMY att det rörde sig om den centrala rättigheten till invändning. Som förmildrande omständigheter angav IMY att H&M i och för sig hade försökt vidta åtgärder i samband med klagomål under 2018, om än otillräckliga, och två av klagomålen hade inträffat i nära samband med att GDPR trädde i kraft. Vidare konstaterade IMY att det inte rörde sig om känsliga personuppgifter och, i relation till antalet nyhetsbrev som skickas av H&M, fann IMY att det var relativt få överträdelser i sammanhanget. IMY beslutade därför om en administrativ sanktionsavgift på 350 000 kronor.
Beslutet visar på hur ett fåtal klagomål, följt av bristande rutiner, kan få relativt stor genomslagskraft eftersom det rör centrala rättigheter i dataskyddsförordningen.
Sanktionsavgift mot Indecap
Den 7 november 2023 utfärdade IMY en sanktionsavgift på grund av ett felaktigt skickat e-postmeddelande från fondbolaget Indecap AB (”Indecap”). Mejlet som skickades av Indecap i januari 2021 innehöll en fil med andra kunders personuppgifter. IMY inledde tillsyn efter att de mottagit ett klagomål.
Indecap uppgav att felet berodde på den mänskliga faktorn. En medarbetare hade samlat information om kunder i en Excel-fil utanför den IT-miljö som vanligtvis användes för behandlingen. Filen sparades senare ned i ett namn som var snarlikt den PDF-rapport som medarbetaren skulle bifoga i ett utskick till kunder. När utskicket togs fram råkade medarbetaren bifoga Excel-filen i stället för PDF-rapporten. Excel-filen innehöll uppgifter om strax över 52 000 kunder, b.la. personnummer, bank, mejladress, vald risknivå och fördelning på fonder (begränsat till enskilt fondval). Filen nådde upp till cirka 2 800 kunder och var varken krypterad eller begränsad med lösenord. När misstaget upptäcktes stoppade Indecap all planerad kundkommunikation och tillsatte en incidentutredning med externa experter. Sedan det inträffade har Indecap också uppdaterat sina rutiner, dualitetsprocesser, haft extra utbildningsinsatser och vidtagit tekniska säkerhetsåtgärder.
IMY konstaterade att behandlingen inneburit en hög risk då uppgifterna rörde ett stort antal personer och var av skyddsvärd karaktär då det rörde sig om personnummer och ekonomiska uppgifter. IMY noterade att Indecap borde haft preventiva mekanismer på plats, b.la. för att se till att skyddsvärd information hölls separat från publika dokument. De borde ha använt lösenord eller kryptering för filer med skyddsvärd information, samt ha tillsatt tekniska åtgärder som varnar när ett mejlutskick innehåller en bifogad fil.
Givet att det var en större mängd skyddsvärd information som röjts till obehöriga fann IMY att en sanktionsavgift var nödvändig. I försvårande riktning angavs att uppgifterna omfattats av lagstadgad tystnadsplikt samt att Indecap hade gjort avsteg från särskilda kontrollrutiner utan att vidta andra skyddsåtgärder. Som förmildrande omständighet angavs att Indecap sedan tidigare hade börjat implementera ett nytt och säkrare system för mejlutskick. Därtill hade Indecap omedelbart, innan IMY inledde tillsyn, informerat de registrerade på ett tydligt sätt om vad som inträffat och begärt att mottagare av det felaktiga mejlutskicket skulle bekräfta att mejlet raderats.
IMY konstaterade att incidenten var av medelhög allvarlighetsgrad och att sanktionsavgiften skulle beräknas på Indecaps moderbolags totala nettoomsättning. Indecap påfördes slutligen en sanktionsavgift på 500 000 kronor. I skrivande stund kan beslutet fortfarande komma att överklagas.
Den mänskliga faktorn är den vanligaste orsaken till personuppgiftsincidenter, enligt IMY:s rapport från föregående år. Beslutet demonstrerar vilka konsekvenser som ett felskick kan medföra samt vikten av att tekniska och organisatoriska säkerhetsåtgärder finns på plats i flera led av behandlingen. Vilka åtgärder som är lämpliga beror i sin tur på den enskilda behandlingen.