Sverige: Tullverket bötfälls med 300 000 kr för bristande rutiner

Integritetsskyddsmyndigheten (IMY) meddelar i ett pressmeddelande att Tullverket bötfälls med 300 000 kr för bristfälliga rutiner och tekniska spärrar vilket gjort att uppgifter från brottsutredningar överförts från tjänstemobiler till en amerikansk molntjänst.

Enligt IMY:s pressmeddelande är myndigheten klar med en granskning av en personuppgiftsincident hos Tullverket. Ett par medarbetare vid Tullverkets tullkriminalverksamhet har enligt IMY använt molntjänsten Google Foto i sina tjänstemobiler och kopplat sina privata Google Foto-konton till sina tjänstemobiler som automatiskt synkat de foton och filmer som tagits i tjänsten till molntjänsten. Tullverket har angett att användningen av Google Foto inte var tillåten inom myndigheten.

Att användningen av molntjänsten var otillåten fråntar enligt IMY inte Tullverket det ansvar som myndigheten har som personuppgiftsansvarig. Tullverket har enligt IMY inte vidtagit lämpliga tekniska och organisatoriska åtgärder för att förhindra det inträffade genom att befintliga rutiner och tekniska spärrar för att hindra att uppgifter från tjänstemobiler kopieras och lagras i en amerikansk molntjänst varit bristfälliga.

I IMY:s beslut framgår bland annat att det behöver finnas tydliga rutiner och riktlinjer för anställdas användning av tjänstemobiler och att de anställda också behöver få utbildning och information om hur personuppgifter får behandlas på telefonerna. Enligt IMY bör det även finnas tekniska begränsningar för vilka appar som får laddas ner på tjänstemobilerna.

IMY konstaterar dock att det även finns förmildrande omständigheter. Det har varit fråga om ett fåtal medarbetare som utan myndighetens godkännande använt den aktuella molntjänsten. Bilder och filmer som laddats upp till molntjänsten har raderats. Dessutom har Tullverket efter att incidenten upptäckts vidtagit både tekniska och organisatoriska åtgärder för att förebygga liknande incidenter, bland annat genom att förtydliga riktlinjer och begränsa möjligheterna att ladda ner applikationer.

IMY utfärdar mot bakgrund av ovanstående en administrativ sanktionsavgift på 300 000 kr mot Tullverket, vilket är ett avsevärt lägre belopp än vad som varit motiverat utan de förmildrande omständigheterna enligt myndigheten.

Mer information

Myndighet: Integritetsskyddsmyndigheten (IMY)

Land: Sverige

Lagrum: 3 kap. 2 § BDL, 3 kap. 8 § BDL, 3 kap. 1 BDC, 3 kap. 8 § BDC, 3 kap. 11 § BDF, 6 kap. 1 § BDL

Sanktionsavgift: 300 000 kronor

Mottagare: Tullverket

Beslutsnummer: DI-2020-5868

Beslutsdatum: 2020-03-14

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

19 SEP

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och kunskap om hur du kan utveckla och använda AI-system på ett lagenligt sätt.

21 SEP

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.