Integritetsskyddsmyndigheten (IMY) har utfärdat en reprimand mot Justitiekanslern för överträdelse av artikel 32 i dataskyddsförordningen (GDPR).
Av beslutet framgår att IMY inlett tillsyn mot Justitiekanslern med anledning av ett klagomål där klaganden anfört att myndigheten skickat känsliga personuppgifter om klaganden via e-post den 28 maj 2019. Av klagomålet framgår att Justitiekanslern i ett mål om en annan statlig myndighets bristande hantering av känsliga personuppgifter skickat klagandens känsliga personuppgifter med okrypterad e-post till klaganden.
Justitiekanslern har i ett yttrande till IMY uppgett att e-postmeddelandet till klaganden innehöll bilagor som i sin tur innehöll personuppgifter, däribland namn, adress eller e-postadress, avseende klaganden. Två av handlingarna innehöll känsliga personuppgifter om klagandens hälsa och en av handlingarna innehöll klagandens personnummer. Enligt Justitiekanslern har det aktuella e-postmeddelandet inte krypteringsskyddats på så sätt att det säkerställts att endast den avsedda mottagaren kan ta del av meddelandet. Behandlingen har enligt Justitiekanslern alltså inte varit förenlig med myndighetens riktlinjer och meddelandet skulle inte ha skickats med e-post, utan med vanlig post.
Efter en genomgång av ärendet konstaterar IMY att det aktuella e-postmeddelandet innehöll personuppgifter om hälsa som är känsliga personuppgifter. Behandling av känsliga personuppgifter kan innebära betydande risker för den personliga integriteten. Dessutom innehöll e-postmeddelandet personnummer, vilket anses vara en särskilt skyddsvärd personuppgift. Uppgifterna i e-postmeddelandet var därför av en sådan art att de enligt IMY krävde ett starkare skydd.
Enligt IMY har Justitiekanslern identifierat de risker som behandlingen av känsliga personuppgifter och särskilt skyddsvärda personuppgifter i e-post medför, men inte vidtagit tillräckliga åtgärder för att följa riktlinjerna vid det aktuella tillfället. IMY finner därmed att Justitiekanslern inte har vidtagit åtgärder för att säkerställa att endast den avsedda mottagaren kunde ta del av innehållet i e-postmeddelandet.
Mot denna bakgrund bedömer IMY att Justitiekanslern inte har vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen. Justitiekanslern har därför behandlat personuppgifter i strid med artikel 32.1 GDPR.
Vi val av ingripande konstaterar IMY att överträdelsen drabbat en person i ett enskilt fall och att Justitiekanslern inte tidigare överträtt dataskyddsbestämmelserna. IMY beaktar även att Justitiekanslern har organisatoriska åtgärder i form av riktlinjer för dataskydd för den sortens behandling av personuppgifter som är aktuell i ärendet. IMY bedömer därför att det är fråga om en sådan mindre överträdelse i den mening som avses i skäl 148 i dataskyddsförordningen som medför att Justitiekanslern ska ges en reprimand enligt artikel 58.2 (b) GDPR för den konstaterade överträdelsen.