Sanktionsavgift för publicering av känsliga personuppgifter

Datainspektionen utfärdar administrativ sanktionsavgift på 120 000 SEK mot nämnd för publicering av känsliga personuppgifter och bristande rutiner för webbplatspublicering.

Hälso- och sjukvårdsnämnden i Region Örebro (”Nämnden”) publicerade en JO-anmälan om rättspsykiatrisk vård för en patient på sin offentliga webbplats. Handlingen låg publicerad i flera månader och innehöll bl.a. kontaktinformation, personnummer och hälsouppgifter.

Datainspektionen bedömer att det varken föreligger en laglig grund som krävs för personuppgiftsbehandling enligt artikel 6 GDPR eller ett tillämpligt undantag för publiceringen av särskilda kategorier av personuppgifter (s.k. känsliga personuppgifter) i enlighet med artikel 9 GDPR. Därutöver anses villkoren för behandling av personnummer i enlighet med 3 kap. 10 § Dataskyddslagen (SFS 2018:218) ouppfyllda. Nämnden saknar dessutom ett berättigat ändamål eftersom publicering av en privatpersons korrespondens med myndighet på webbplats anses ligga utanför det ursprungliga ändamålet för publiceringen, dvs. ett allmänt intresse av insyn i myndighetens verksamhet.

Publicering av personuppgifter bör alltid föregås av en bedömning utifrån dataskyddslagstiftningen. I enlighet med artikel 32 GDPR och Datainspektionens tidigare beslut ska en myndighet ha implementerat skriftliga rutiner för publicering av personuppgifter på webbplats. Sådana rutiner ska bl.a. omfatta hur länge uppgifterna ska bevaras på webbplatsen, hur maskering av känsliga och/eller sekretessbelagda uppgifter görs samt vem som ansvarar för eventuell borttagning av personuppgifter. Nämnden har endast instruerat medarbetare muntligen om publiceringen och har därmed inte vidtagit tillräckliga organisatoriska säkerhetsåtgärder.

Efter en bedömning av försvårande omständigheter, bl.a. känsliga personuppgifters publicering till en stor krets under lång tid, och förmildrande omständigheter, så som att publiceringen inte skett avsiktligt och att nämnden genast vidtagit åtgärder för att förmildra skadan, beslutar Datainspektionen om en sanktionsavgift på 120 000 SEK. Av totalbeloppet avser 80 000 SEK överträdelserna hänförliga till webbplatspubliceringen och 40 000 SEK bristen på rutiner för publicering av personuppgifter på webbplats.

Datainspektionens beslut finner ni här.

Om ni vill veta mer om beslut ovan eller har andra frågor om dataskydd är ni välkomna att kontakta Alexander Berger, partner och ansvarig för Compliance på TIME DANOWSKY Advokatbyrå.