Integritetsskyddsmyndigheten inleder GDPR-tillsyn efter omfattande dataintrång

Av Klara Thyrén, arbetar som associate inom Tech & IP på Advokatfirman Delphi.

Integritetsskyddsmyndigheten (IMY) inledde den 15 april 2025 tillsyn mot Sportsadmin AB (”Sportsadmin”) för att granska de säkerhetsåtgärder som företaget tillämpar i sin tjänst, mot bakgrund av artikel 32 i GDPR. Tillsynen omfattar de tekniska och organisatoriska säkerhetsåtgärder som vidtagits för att skydda personuppgifter som behandlas i det digitala verktyg som idrottsföreningar och andra organisationer använder sig av för administration. Verktyget används bland annat för fakturering, kommunikation och medlemshantering.

Tillsynen sker med anledning av ett omfattande dataintrång den 16 januari 2025 som ledde till att personuppgifter för omkring två miljoner svenska individer extraherades och publicerades av angriparen på darknet. En betydande del av de drabbade är barn som deltagit i olika föreningar, och vissa av de exponerade uppgifterna tillhör dessutom personer med skyddade identiteter.

Över 1 650 anmälningar från idrottsföreningar och andra organisationer som använder administrationsverktyget har nu inkommit till IMY. Sportsadmin agerar här som personuppgiftsbiträde, vilket innebär ett ansvar enligt artikel 28 GDPR att säkerställa att personuppgifter behandlas på ett sätt som uppfyller förordningens krav, skyddar den registrerades rättigheter samt att lämpliga tekniska och organisatoriska åtgärder vidtas. Enligt artikel 33 GDPR är personuppgiftsbiträdet dessutom skyldigt att utan onödigt dröjsmål anmäla personuppgiftsincidenter till den personuppgiftsansvarige. De personuppgiftsansvarige måste i sin tur, enligt samma bestämmelse, anmäla incidenter till IMY inom 72 timmar. Sportsadmin har även själva anmält incidenten till IMY.

Genom att inleda tillsyn har IMY skickat tillsynsskrivelse till Sportsadmin med en redogörelse för granskningens syfte och de frågor bolaget ska besvara. Myndigheten kommer att bedöma om de genomförda säkerhetsåtgärderna är proportionerliga i förhållande till riskerna vid personuppgiftsbehandling. Centralt för granskningen är därmed en utvärdering av de tekniska och organisatoriska åtgärderna som bolaget infört för att skydda uppgifterna i tjänsten. Om dessa åtgärder inte anses tillräckliga kan IMY besluta att utfärda en reprimand, förelägga bolaget att vidta ytterligare åtgärder eller påföra administrativa sanktionsavgifter.

Detta ärende understryker vikten av att införa och upprätthålla adekvata säkerhetsåtgärder vid hantering av personuppgifter. Mot bakgrund av den stora mängden berörda individer och känslig information väntas IMY:s beslut kunna väcka betydande uppmärksamhet och få konsekvenser för hur liknande digitala tjänster förstår och tar ansvar för dataskyddsfrågor framöver. Vilket ställningstagande IMY slutligen gör återstår att se.