En kan konstatera att det har varit en händelserik vår hos Integritetsskyddsmyndigheten (IMY), inte minst på tillsynsområdet. Här kommer en snabb överblick över några av de tillsynsbeslut som fattades under första halvåret av 2021.
I februari kom ett beslut mot Polismyndigheten gällande deras användning av applikationen Clearview AI som är en sökmotor med ansiktsigenkänningstjänst som matchar ansikten mot en databas med bilder. IMY kom fram till att Polisens användande av applikationen stred mot brottsdatalagen (lag som reglerar hur brottsbekämpande myndigheter får behandla personuppgifter) och utfärdade en sanktionsavgift på 2.5 miljoner kronor tillsammans med en rad förelägganden.
I början av sommaren kom det beslut många väntat på då IMY blev klar med sin granskning av 1177-incidenten. Denna tillsyn inleddes 2019 då uppgifter i massmedia gjorde gällande att inspelade samtal till rådgivningsnumret 1177 legat tillgängliga utan lösenordsskydd eller annan säkerhet på en webbserver. IMY inledde tillsyn mot sex aktörer varav tre företag och tre regioner. IMY har uppgett att det har varit komplicerat att utreda ansvarsförhållandet mellan de olika aktörer men kom fram till att det är två parter, Medhelp och Voice Integrate, som bär det yttersta ansvaret för det inträffade som berodde på att en nätverksansluten lagringsenhet felkonfigurerats. Medhelp hade även lagt ut vårduppdrag och personuppgiftsbehandling till ett thailändskt bolag som inte omfattas av svensk hälso- och sjukvårdslagstiftning eller av den lagreglerade tystnadsplikt som finns i vården. IMY utfärdade en sanktionsavgift på 12 miljoner kronor mot Medhelp och 650 000 kronor mot Voice Integrate då de hade en skyldighet som personuppgiftsbiträde att vidta lämpliga åtgärder för att skydda ljudfilerna. IMY riktade även kritik mot de tre regionerna för brister i informationen till vårdsökande som ringer 1177 och utfärdade en sanktionsavgift på 500 000 kronor mot Region Stockholm och 250 000 kronor för de två andra regionerna. Den största lärdomen från detta beslut är vikten av att som personuppgiftsansvarig ha koll på sina personuppgiftsbiträden och se till att de uppfyller sina åtaganden.
Strax därefter kom två beslut som rörde kamera. I den ena tillsynen har IMY granskat flera brandstationer i Östra Skaraborg som haft bevakningskameror som filmat utrymmen där brandmän byter om vid utryckning. IMY kom fram till att trots att räddningstjänsten haft tungt vägande skäl för sin kamerabevakning bör den begränsas så att den endast aktiveras vid larm och att delar av platsen för ombyte maskeras så att endast nödvändig information fångas i bild. IMY utfärdade en sanktionsavgift på 350 000 kronor. Den andra tillsynen rörde SL:s användning av kroppsburna kameror. SL hade utrustat sina biljettkontrollanter med kroppsburna kameror som löpande spelade in bild och ljud. Materialet lagras i en minut och raderas därefter om inte biljettkontrollanten trycker på inspelningsknappen på kameran. IMY konstaterade att tekniken med kontinuerlig inspelning innebär i praktiken att en stor mängd resenärer riskerar att övervakas med bild- och ljudinspelning och riktade kritik mot att SL brustit i sitt sätt att informera om kamerabevakningen. För de sammantagna bristerna utfärdade IMY en sanktionsavgift på 16 miljoner kronor.
I mars fattade IMY beslut om en ny tillsynspolicy och en plan för de tillsyner som ska genomföras under de kommande två åren. Det övergripande fokuset kommer vara att utreda klagomål från enskilda. Detta är en stor skillnad från myndighetens tidigare tillsynstradition där fokus har legat på så kallad riskbaserad tillsyn som ofta har varit egeninitierad tillsyn och omfattat stora och mer komplicerade ärenden. Nu kommer huvuddelen av tillsynsärenden att bygga på klagomål från enskilda. Detta skifte i fokus följer av ett gemensamt ställningstagande i Europeiska dataskyddsstyrelsen (EDPB) om ett harmoniserat arbetssätt kring klagomålshantering.
Under första halvåret av 2021 har även en del tillsynsärenden inletts. Några av det senare rör bland annat Utbildningsnämnden i Stockholms stad där en skola har bedrivit kamerabevakning dygnet runt utan att någon information har getts till elever eller föräldrar. Sedan har två tillsynsärenden inletts mot Avanza och Länsförsäkringar till följd av anmälda personuppgiftsincidenter där det har framgått att personuppgifter har under en längre tid löpande förts över till Facebook. Det blir onekligen en spännande höst!
