Integritetsskyddsmyndigheten (IMY) har granskat en personuppgiftsincident hos Tullverket och konstaterat i sin undersökning att verket har haft bristfälliga tekniska och organisatoriska rutiner vilket har lett till att personuppgifter har överförts till en amerikansk molntjänst. Det beror på att ett antal medarbetare vid verket har använt molntjänsten Google Foto i sina tjänstemobiler, vilket automatiskt synkroniserade foton och filmer tagna i tjänsten. Tullverket menar dock att användningen av Google Foto har varit otillåten inom myndigheten.
IMY konstaterar att det inte fråntar myndighetens ansvar som personuppgiftsansvarig att användningen har ansetts vara otillåten. IMY hävdar att det har saknats tekniska och organisatoriska säkerhetsåtgärder för att förhindra att det ändå kunde ske. De rutiner och tekniska spärrar som införts har varit bristfälliga. I utredningen menar IMY att det behöver finnas tydligare riktlinjer och riktlinjer för anställdas användning av tjänstemobilen samt utbildning om hur personuppgifter får sparas. Det borde även ha funnits tekniska begränsningar gällande vilka appar som kunde laddas ned.
IMY erkänner att det finns förmildrande omständigheter, såsom att incidenten gällde ett fåtal medarbetare och att Tullverket har vidtagit åtgärder för att förebygga liknande händelser Av denna anledning utfärdar IMY en sanktionsavgift på 300 000 kronor.