Universitet ska betala en sanktionsavgift på 550 000 kr

Universitet ska betala en sanktionsavgift digitala juristerna

Umeå universitet ska betala en sanktionsavgift på 550 000 kr enligt ett beslut från Integritetskyddsmyndigheten. Anledningen är att universitetet har hanterat känsliga personuppgifter i en molntjänst och inte skyddat dem tillräckligt. De känsliga uppgifterna handlade om sexualliv och hälsa. 

Det var en grupp forskare vid universitetet som hade begärt ut protokoll från förundersökningar rörande våldtäkt mot män. Forskarna har sedan scannat av flera hundra dokument och laddat upp kopiorna i en amerikansk molntjänst. Dokumenten innehöll känsliga uppgifter om bland annat sexualliv och hälsa. Dessutom innehöll dem uppgifter om misstanke om brott, namn, personnummer, kontaktuppgifter m.m. 

Universitetet hade dock genom sitt intranät informerat om att känsliga uppgifter inte ska bli lagrade i den amerikanska molntjänsten som var tillgänglig. Men detta hade forskarna gjort ändå. 

Universitetet får även kritik från Integritetsskyddsmyndigheten för att de inte har anmält inträffade personuppgiftsincidenter. Enligt GDPR ska incidenter bli anmälda till myndigheten inom 72 timmar.

En av incidenterna som inträffat var att forskargruppen skickade ett meddelande till polisen med en förfrågan om kompletterande uppgifter. I e-postmeddelandet hade forskargruppen bifogat ett inskaffat protokoll, som innehöll känsliga uppgifter. Polisen hade påpekat för forskargruppen att det var olämpligt att skicka känsliga uppgifter via oskyddad e-post, men forskargruppen upprepade händelsen vid ett senare skede. 
Förutom anmälningsskyldigheten av personuppgiftsincidenter, är personuppgiftsansvariga även skyldiga att föra intern redovisning och uppföljning av det inträffade. Exempelvis ska förhindrande åtgärder bli noterade och vilka åtgärder som har företagits för att minimera riskerna för upprepade incidenter i framtiden. 

Efter granskningen, konstaterade Integritetskyddsmyndigheten att universitetet brutit mot dataskyddsförordningen (GDPR). De har brutit mot GDPR genom att inte ha tillämpat tillräckliga tekniska och organisatoriska åtgärder för att skydda de känsliga uppgifterna som de har hanterat. 

På grund av bristerna ska Umeå universitet betala en sanktionsavgift på 550 000 SEK.

Integritetskyddsmyndighetens beslut

Här kan du läsa hela beslutet i ärendet.

Vi på Digitala Juristerna arbetar enbart med att skriva och granska avtal till företag och företagare på distans till fasta priser

Kontakta oss

Välkommen!

Här kan du lära dig mer om vanliga juridiska begrepp och få svar på frågor inom både affärsjuridik och avtalsrätt. Vi skriver även olika smarta guider, olika tips samt information om viktiga nyheter.

Kategorier

Sök på sidan

Utforska vidare

Fler intressanta artiklar

Rulla till toppen
Call Now Button