Integritetsskyddsmyndigheten (IMY) meddelar i ett pressmeddelande att Tullverket bötfälls med 300 000 kr för bristfälliga rutiner och tekniska spärrar vilket gjort att uppgifter från brottsutredningar överförts från tjänstemobiler till en amerikansk molntjänst.
Enligt IMY:s pressmeddelande är myndigheten klar med en granskning av en personuppgiftsincident hos Tullverket. Ett par medarbetare vid Tullverkets tullkriminalverksamhet har enligt IMY använt molntjänsten Google Foto i sina tjänstemobiler och kopplat sina privata Google Foto-konton till sina tjänstemobiler som automatiskt synkat de foton och filmer som tagits i tjänsten till molntjänsten. Tullverket har angett att användningen av Google Foto inte var tillåten inom myndigheten.
Att användningen av molntjänsten var otillåten fråntar enligt IMY inte Tullverket det ansvar som myndigheten har som personuppgiftsansvarig. Tullverket har enligt IMY inte vidtagit lämpliga tekniska och organisatoriska åtgärder för att förhindra det inträffade genom att befintliga rutiner och tekniska spärrar för att hindra att uppgifter från tjänstemobiler kopieras och lagras i en amerikansk molntjänst varit bristfälliga.
I IMY:s beslut framgår bland annat att det behöver finnas tydliga rutiner och riktlinjer för anställdas användning av tjänstemobiler och att de anställda också behöver få utbildning och information om hur personuppgifter får behandlas på telefonerna. Enligt IMY bör det även finnas tekniska begränsningar för vilka appar som får laddas ner på tjänstemobilerna.
IMY konstaterar dock att det även finns förmildrande omständigheter. Det har varit fråga om ett fåtal medarbetare som utan myndighetens godkännande använt den aktuella molntjänsten. Bilder och filmer som laddats upp till molntjänsten har raderats. Dessutom har Tullverket efter att incidenten upptäckts vidtagit både tekniska och organisatoriska åtgärder för att förebygga liknande incidenter, bland annat genom att förtydliga riktlinjer och begränsa möjligheterna att ladda ner applikationer.
IMY utfärdar mot bakgrund av ovanstående en administrativ sanktionsavgift på 300 000 kr mot Tullverket, vilket är ett avsevärt lägre belopp än vad som varit motiverat utan de förmildrande omständigheterna enligt myndigheten.