Sverige: IMY utfärdar reprimand och föreläggande mot Verifiera

Integritetsskyddsmyndigheten (IMY) utfärdar en reprimand och ett föreläggande mot företaget Verifiera AB som erbjuder en söktjänst för domstolsavgöranden som innehåller uppgifter om tvångsvård på grund av psykisk ohälsa eller missbruk. 

Av beslutet framgår att IMY tagit emot klagomål mot Verifiera varför myndigheten inlett en granskning. Verifiera erbjuder en söktjänst för bland annat bakgrundskontroller. Genom söktjänsten gör Verifiera det möjligt för användare att söka efter känsliga personuppgifter i företagets databas, som bland annat består av domstolsavgöranden från de allmänna förvaltningsdomstolarna.

De känsliga uppgifter som granskningen avser är uppgifter om att någon är eller har varit föremål för tvångsvård på grund av psykisk ohälsa eller missbruk. I Verifieras databas finns alla domstolsavgöranden från 2008 och framåt enligt lagen om psykiatrisk tvångsvård och lagen om vård av missbrukare i vissa fall, totalt cirka 210 000 avgöranden. Resultatet är en uppgiftssamling över alla som sedan år 2008 varit föremål för tvångsvård på grund av psykisk ohälsa eller missbruk.

Enligt IMY rör det sig om mycket integritetskänslig information beträffande personer som är eller har varit i en mycket utsatt situation. För dessa personer kan ett offentliggörande av informationen vid en bakgrundskontroll leda till kännbara konsekvenser, till exempel i form av minskade möjligheter att bli aktuell för en anställning och utanförskap.

Verifiera har ett utgivningsbevis enligt yttrandefrihetsgrundlagen vilket normalt innebär att dataskyddsförordningen inte behöver tillämpas. Genom en grundlagsändring 2019 infördes dock en begränsning av grundlagsskyddet. Begränsningen innebär att dataskyddsförordningen blir tillämplig när vissa särskilt integritetskänsliga uppgiftssamlingar offentliggörs. 

I beslutet slår IMY fast att dataskyddsförordningen är tillämplig eftersom känsliga personuppgifter offentliggörs i en sökbar uppgiftsamling och det finns särskilda risker för otillbörliga intrång i enskildas personliga integritet. Dessutom har IMY funnit att Verifiera inte har någon rättslig grund som gör det möjligt för företaget att behandla känsliga personuppgifter.

Den konstaterade överträdelsen är enligt IMY av sådan art, allvar och omfattning att det normalt sett hade varit påkallat att utfärda en kännbar sanktionsavgift mot företaget. 

Vid bedömningen av om sanktionsavgift ska utfärdas har IMY bland annat tagit hänsyn till att det varit fråga om tolkning av ett undantag från det grundlagsskydd utgivningsbevisen ger samt att undantaget inte tidigare tillämpats av myndigheten eller någon domstol och som lämnat visst utrymme för olika bedömningar. IMY har därför kommit fram till att det i det här fallet inte vore proportionerligt att påföra bolaget en sanktionsavgift för de konstaterade överträdelserna.

I sitt beslut utfärdar dock IMY en reprimand mot Verifiera och förelägger dessutom företaget att vidta åtgärder så att det inte längre ska vara möjligt för användare att vid sökning på personer kunna ta del av uppgift om att den eftersökta personen varit föremål för tvångsvård på grund av psykisk ohälsa eller missbruk. Åtgärderna ska ha vidtagits senast åtta veckor efter att beslutet vunnit laga kraft.

Mer information

Myndighet: Integritetsskyddsmyndigheten (IMY)

Land: Sverige

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 8 GDPR, art. 8 GDPR, art. 9 GDPR, art. 52 GDPR, art. 58 GDPR, art. 83 GDPR, 1 kap. 7 § YGL, 1 kap. 20 § YGL

Sanktionsavgift: N/A

Mottagare: Verifiera AB

Beslutsnummer: IMY-2022-1621

Beslutsdatum: 2022-09-13

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.