Nya tillsynsbeslut från Integritetsskyddsmyndigheten (IMY)

I februari fattade IMY ett gäng tillsynsbeslut. I detta blogginlägg sammanfattas två av besluten. Det ena beslutet gäller RenOptik AB och det andra beslutet gäller S&R Trädfällning Stockholm AB. I båda tillsynsbesluten fattade IMY beslut om reprimand.

RenOptik AB (DI-2022-9861)

IMY konstaterar att RenOptik AB (RenOptik) behandlat klagandens personuppgifter i strid med artikel 32.1 i GDPR. Det har skett genom att klagandens personuppgifter under perioden 18 – 20 oktober 2021, inte skyddats mot exponering mot internet. Klagandens fullständiga namn, personnummer och glasögonrecept var exponerade på internet på så sätt att dessa kunnat sökas fram via Googles sökmotor med hjälp av klagandes personnummer under den aktuella perioden. IMY konstaterar att de aktuella personuppgifterna bland annat avsett uppgifter om hälsa, vilket är känsliga uppgifter. Vidare anses personnummer vara en särskilt skyddsvärd personuppgift.

IMY konstaterar att RenOptik inte vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa ett tillräckligt skydd mot obehörigt röjande av klagandens personuppgifter. Vad gäller överträdelsens allvar så ansåg IMY att det handlade om en mindre överträdelse i ljuset av att exponeringen av personuppgifter pågick under en relativt kort tid, RenOptik vidtog åtgärder när bolaget fick kännedom om exponeringen och informerade klaganden om de vidtagna åtgärderna samt att bolaget infört nya rutiner för att undvika liknande händelser i framtiden. Vidare har bolaget inte tidigare erhållit någon korrigerande åtgärd för överträdelser av GDPR varför IMY landade i att ge RenOptik en reprimand.

S&R Trädfällning Stockholm AB (DI-2022-2949)

IMY konstaterar att S&R Trädfällning Stockholm AB (S&R) behandlat personuppgifter i strid med artikel 15 i GDPR genom att inte ge klaganden tillgång till sina personuppgifter och kompletterande information om behandling. Klaganden hade tidigare varit anställd hos S&R och hade vid två tillfällen under sommaren 2021 begärt tillgång till sina personuppgifter.

S&R hade visserligen svarat på en av klagandens begäran, men IMY ansåg att svaret inte tillgodosåg rätten till tillgång. Anledningen till detta var att svaret inte innehöll några personuppgifter som rörde klaganden och inte heller kopior av personuppgifter, utan endast uppgifter om vissa kategorier av personuppgifter. Dessutom ansåg IMY att informationen som S&R lämnade var ofullständig och oklar.

IMY anser att det är fråga om en mindre överträdelse eftersom överträdelsen drabbat en person samt att S&R inte tidigare varit föremål för korrigerande åtgärder för överträdelser av GDPR. Därför gav IMY bolaget en reprimand.

Denna artikel är skriven av Associate Amanda Boqvist Thiel.