IMY kom fram till att det finns brister i skydd av känsliga personuppgifter som ett svenskt universitet hade hanterat. Universitetet har bland annat hanterat uppgifter om personers hälsa och sexualliv i en amerikansk molntjänst, som inte var tillräckligt säker.
Enligt GDPR är det förbjudet enligt huvudregeln att hantera personuppgifter som är känsliga. Däremot finns det undantag, men då måste man behandla personuppgifterna med högre säkerhet. Exempel på känsliga personuppgifter är uppgifter om hälsa som i detta fall, och religös tro eller politiska åsikter m.m.
Brister i skydd av känsliga personuppgifter
IMY (Integritetsskyddsmyndigheten) utfärdade därför en sanktionsavgift mot universitetet. Sanktionsavgiften uppgick till 550 000 kronor.
Kort sagt hade en grupp av forskare skannat dokument som handlade om våldtäkter mot män och laddat upp de inscannade kopiorna i en molntjänst. Dokumenten hade de fått ut från Polisen. De innehöll förutom namn och personnummer, även uppgifter om hälsa och sexualliv. Personnummer är enligt GDPR klassade som integritetskänsliga personuppgifter, medan uppgifter om hälsa är känsliga personuppgifter.
Molntjänsten som forskarna använde var amerikansk och det innebar att de känsliga personuppgifterna hade blivit överförda till ett tredjeland. Vid sådana fall gäller ännu striktare regler enligt GDPR. Dessutom gav inte molntjänsten ett tillräckligt bra skydd för att hantera sådana personuppgifter. Polisen hade även påpekat för forskarna att de inte kunde skicka kompletterande uppgifter på förfrågan, eftersom det innehöll känsliga personuppgifter och att de därmed inte borde bli skickade genom okrypterad mejl.
