Integritetsskyddsmyndigheten (IMY) har utfärdat en sanktionsavgift på 6 miljoner kronor mot Sportadmin i Skandinavien AB för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att IMY har granskat företaget Sportadmin efter det IT-angrepp som skedde mot Sportadmin i januari 2025 då en stor mängd personuppgifter läckte. Angriparen kom då över uppgifter om fler än 2,1 miljoner personer och publicerade dem sedan på Darknet. Framför allt var det uppgifter om barn och unga, bland annat namn och kontaktuppgifter, personnummer och vilken idrott och förening man var kopplad till. Bland det som läckte förekom även känsliga uppgifter om hälsa och i viss omfattning skyddade personuppgifter.
IMY:s granskning visar på både tekniska och organisatoriska brister. Enligt IMY har Sportadmin inte vidtagit tillräckliga åtgärder för att säkerställa att personuppgifterna som behandlats i bolagets tjänster skyddats mot risken för bland annat obehörigt röjande eller obehörig åtkomst till följd av dataintrång. Vidare har bolaget saknat förmågan att identifiera att de åtgärder som vidtagits i syfte att skydda tjänsterna mot sådana intrång varit bristfälliga. Bolaget har inte heller haft förutsättningar för att upptäcka intrånget i tillräckligt god tid för att förhindra eller i vart fall begränsa konsekvenserna av det. Mot denna bakgrund bedömer IMY att Sportadmin har behandlat personuppgifter i strid med artikel 32.1 GDPR genom att inte ha vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för personuppgifter i tjänsterna innan och vid tidpunkten för den personuppgiftsincident som konstaterades i januari 2025.