Integritetsskyddsmyndigheten (IMY) har utfärdat en sanktionsavgift på 100 000 kronor mot Diskrimineringsombudsmannen (DO) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att IMY har granskat en personuppgiftsincident hos DO. Bakgrunden till granskningen är att DO anmälde en personuppgiftsincident till IMY hösten 2021. Incidenten rörde DO:s webbformulär för insamling av tips och klagomål om diskriminering. Under IMY:s granskning framkom att DO hade vidtagit en säkerhetsåtgärd som skulle skydda personuppgifterna som samlades in via webbformuläret, så att de inte inkluderades vid användningsanalyser av DO:s webbplats.
Säkerhetsåtgärden fungerade inte fullt ut, vilket medförde att en del uppgifter, som kunde vara känsliga personuppgifter, blev oavsiktligt röjda för det personuppgiftsbiträde som DO hade anlitat för att göra analyserna. Bedömningen är att cirka 500 tips och klagomål har berörts. Så snart DO blev medveten om det inträffade stängde myndigheten webbformuläret.
IMY anser att DO inte vidtagit tillräckligt effektiva säkerhetsåtgärder enligt artikel 32 GDPR och utfärdar en sanktionsavgift på 100 000 kronor. Motiveringen till sanktionsavgiften på 100 000 kronor är att incidenten pågick under längre tid och kunde omfatta känsliga personuppgifter.