Datainspektionen har nyligen utfärdat en sanktionsavgift på 4 miljoner kronor, i enlighet med GDPR, mot nämnd för att ha vidtagit bristfälliga tekniska åtgärder för att skydda personuppgifter från obehörig behandling.
Utbildningsnämnden i Stockholms stad nyttjar ett flertal system och e-tjänster som en del i dess administrativa verksamhet. Nämnden är personuppgiftsansvarig för den digitala plattformen, Skolplattformen, där elevers och vårdnadshavares personuppgifter behandlas i olika delsystem.
Av artikel 5.1 (f) GDPR följer att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig behandling. Den personuppgiftsansvarige ska vidta lämpliga tekniska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Sådana lämpliga åtgärder kan vara att fortlöpande säkerställa konfidentialitet hos behandlingsystemen och regelbundet testa effektiviteten hos de tekniska åtgärderna som ska säkerställa behandlingens säkerhet. Om en behandling av personuppgifter ska ske med ny teknik ställs ett särskilt krav på personuppgiftsansvarige, enligt artikel 35 GDPR, att göra en bedömning av behandlingens konsekvenser för skyddet av personuppgifter (konsekvensbedömning).
Svagheter i nämndens system har inneburit att obehöriga fått tillgång till uppgifter av särskilt känslig karaktär bl.a. uppgifter om elever som går på resursskola eller grundsärskola samt uppgifter om elever med skyddad identitet. Av utredningen framgick även att tilldelad behörighet till uppgifterna var mer omfattande än vad som var nödvändigt.
Mot bakgrund av personuppgifternas mycket skyddsvärda/integritetskänsliga art samt riskerna för registrerades fri och rättigheter ansåg Datainspektionen att det bör ställas höga krav på tekniska och organisatoriska åtgärder. Med hänsyn till att obehöriga har kunnat beredas åtkomst till känsliga och integritetskränkande uppgifter har nämnden brustit i sin förmåga att fortlöpande säkerställa konfidentialitet för uppgifterna som behandlats i systemen samt att regelbundet testa effektiviteten hos de tekniska och organisatoriska åtgärderna.
Efter en bedömning av förmildrande omständigheter, bl.a. åtgärdande av brister efter upptäckt och försvårande omständigheter så som att nämnden dröjt med att åtgärda bristerna, de risker som överträdelserna inneburit för enskildas liv och att brister upptäckts av vårdnadshavare istället för av nämnden, beslutade Datainspektionen att utfärda en sanktionsavgift på 4 000 000 SEK.
Datainspektionens beslut hittar du här.
Om du vill veta mer om Datainspektionens beslut eller har övriga frågor om dataskydd är ni välkomna att kontakta Esa Kymäläinen, advokat och partner, eller Caroline Lorentzen, biträdande jurist, på TIME DANOWSKY Advokatbyrå.
